一般資料保護規定 (GDPR)
針對 Microsoft 環境簡化的 GDPR 法規遵循
一般資料保護規定 (GDPR) 將會要求各組織 (「資料控管方」及「資料處理方」) 強化資料保護與安全性措施,以保護歐盟公民的個人身分識別資訊 (PII),並證明自身在任何時候都確實遵循法規規範,此規定於 2018 年 5 月 25 日起生效。 更具體地說,組織必須遵守以下事項:
- 僅將相關存取權提供給可擁有該存取權之人員
- 採取合理措施,可保護資料避免未經授權的存取
- 資料存取者的責任歸屬
- 即時準確地掌握資料外洩範圍
GDPR 將影響所有組織中超過 250 名的員工,範圍涵蓋各個產業與地區,甚至包括在歐盟地區外收集與儲存歐盟公民個人資訊的組織。 這項新規定也帶來一些重大挑戰,其中包括:
- 需持續 符合規範與進行稽核 : 組織必須證明自身在任何時候都確實遵循法規,而不僅是某年或某月。
- 強制性的資料外洩通知 : GDPR 將資料外洩定義為「意外或非法摧毀、遺失、更改、未經授權揭露或存取已傳輸、儲存或處理過的個人資料。」 發生資料外洩時,組織必須在 72 小時內通知當地的資料保護主管機關 (DPA) 及所有受影響客戶,否則將承受巨額罰鍰與聲譽損壞的風險。
為了避免在 GDPR 生效後成為第一個受罰對象 — 請現在就開始準備改善您的安全性狀態,並強化您整個 內部、雲端及混合 Microsoft 環境 的資料保護安全措施。 這麼做將協助您達成並持續遵循 GDPR 法規,以及避免遭處高額罰鍰與聲譽損壞。 透過 Quest 解決方案,您將能持續評估、監控及控管您的環境,以便維持更高的生產效益、更安全的環境,同時符合 GDPR 的規範。
能力
探索與評估
瞭解誰能存取可能存在於整個 Windows 檔案伺服器、NAS 裝置、SQL 伺服器、Office 365、Active Directory (AD) 等環境中非結構化的個人資料。 透過評估與報告現有的安全性原則、系統組態設定及優先存取權,識別不具適當存取權的使用者,以降低資料外洩的風險。 評估重要 IT 資產的目前狀態,例如使用者、電腦與群組資訊、直接與巢狀群組成員資格、OU 與檔案/資料夾權限、擁有權等等,確保僅有正確的人員可存取這些資產。
監控
透過對整個 Windows 檔案伺服器、NAS 裝置、SQL 伺服器、Office 365、AD 等環境的所有重要組態、使用者和管理員變更,進行即時的稽核、深度鑑識和全面性安全監控,來簡化 GDPR 法規遵循報告,並降低個人資料外洩的風險。 偵測可疑的活動或任何未經授權存取含有個人資料之檔案或系統的行為,並迅速判定哪些人員執行哪些變更,以及執行變更的時間地點與工作站/來源。 透過預防重大變更或未經授權的敏感資料存取行為,落實主動式控管機制,並獲得即時資料外洩警示,以便立即通知您的資料保護主管與其他重要利害關係人,避免任何罰鍰與聲譽損壞。 基於法規遵循與安全性目的,請用保留與壓縮長期記錄的方式來封存事件記錄資料,並透過迅速調查資料外洩事件來即時回應警示,以找出根本原因及瞭解資料外洩範圍。
