Die Datenschutz-Grundverordnung (DSGVO) ist ein Gesetz der Europäischen Union zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Unser Produkt ist ein mehrstufiger Prozess zum Auffinden und Durchsuchen von Datenquellen innerhalb Ihres Unternehmens nach personenbezogenen Daten. Das Ergebnis des Discovery-Prozesses ist eine detaillierte Bestandsaufnahme Ihrer Datenquellen und der darin enthaltenen Daten. Darüber hinaus gibt es Aufschluss darüber, wie viele sensible personenbezogene Daten enthalten sind, die möglicherweise der DSGVO unterliegen.

Dauer: 28 Tage

Beschreibung

Bitte beachten Sie, dass das GDPR Discovery Toolkit kein Compliance-Zertifizierungstool ist. Der Nachweis Ihrer eigenen DSGVO-Compliance ist eine geteilte Verantwortung unserer Kunden und Ihrer Rechts- und Compliance-Teams.

Unser Ziel ist es, personenbezogene Daten im Zusammenhang mit der DSGVO zu identifizieren und zu inventarisieren. Wir möchten das Verständnis der DSGVO erhöhen und unseren Kunden dabei helfen DSGVO einzuhalten.

Ein Projekt gilt als erfolgreich, wenn es Antworten auf folgende Fragen gibt:

• Wie viele Daten haben Sie?
• Wo sind Ihre Daten?
• Welche Daten sind von der DSGVO betroffen? (Zum Beispiel, wenn es PII – Personal Identifiable Information enthält)

Verantwortlichkeiten der IT NEXT GEN GmbH 

• Wir identifizieren, welche persönlichen Daten Sie haben und wo sie sich befinden
• Wir melden, wie personenbezogene Daten verwendet und abgerufen werden
• Wir empfehlen, wie Sie Sicherheitskontrollen einrichten, um Schwachstellen und Datenschutzverletzungen zu erkennen, zu verhindern und darauf zu reagieren
• Wir beraten sie, wie Sie die erforderliche Dokumentation aufbewahren und Datenanfragen und Benachrichtigungen über Sicherheitsverletzungen verwalten

Verantwortlichkeiten des Kunden

• Gewähren Sie Zugriff auf Datenspeicherorte (nicht unterstützte Speicherorte in personal OneDrive), Datenbanken (SQL Server, SQL Online, Access, andere), lokale Speicher (Workstation, Laptop, Tablet, Mobiltelefon), Wechselmedien (USB-Laufwerke, mobile Festplatten), Sicherungsmedien/Anwendungen von Drittanbietern (nicht von Microsoft stammende Cloud-Lösungen)
• Koordinieren Sie Ressourcen und Zeitpläne für die Umstellung, ihrer Mitarbeiter
• Überprüfen und genehmigen Sie die Arbeitsergebnisse zeitnah
• Bereitschaft zur Implementierung von Microsoft Purview

Voraussetzungen

• Compliance Administrator Rechte
• Compliance data Administrator Rechte
• Security Administrator Rechte
• Global Administrator Rechte
• Microsoft E5 Lizenzen oder E3 + Security & Mobility

Plan 

Kick-off-Meeting 

Bei diesem Treffen werden die Teammitglieder vorgestellt und das Team wird über bevorstehende Aktivitäten, vorgeschlagene Zeitpläne und erwartete Ergebnisse informiert. Beschreibt die technischen Details des Scanvorgangs, wie er funktioniert und was zu scannen ist. Zu den Hauptdiskussionsthemen gehören unter anderem der Umfang des Discovery-Prozesses, die erforderlichen Voraussetzungen und die erwarteten Ergebnisse.

Schritt 1 – Identifizieren und bewerten 

Die erste Aktivität besteht darin, alle möglichen Datenquellen in Ihrer Organisation zu identifizieren. Die gefundenen Datenquellen werden in einem Katalog dokumentiert, der als Input für den nächsten Schritt dient. Für jede Datenquelle erfassen wir Informationen über den genauen Ort und die Art des Zugriffs sowie die Art der Daten und deren Besitzer.

Schritt 2 – Planen Sie die automatisierte Klassifizierung und Kennzeichnung 

Nachdem wir nun alle möglichen Datenquellen identifiziert haben, besteht der nächste Schritt zur Einhaltung der DSGVO darin, zu bewerten, ob die DSGVO für die Organisation gilt, und wenn ja, in welchem ​​Umfang. Microsoft bietet für die automatisierte Datenermittlung und -klassifizierung das tool Microsoft Purview an. Diese Lösung hilft bei der automatisierten Klassifizierung von Dokumenten auf der Konfiguration von Richtlinien, Bezeichnungen und Bedingungen.

Als Ergebnis werden wir:

• definieren wir gesetzliche und geschäftliche Anforderungen in ein endgültiges Klassifizierungsschema, das Richtlinien, Bezeichnungen und Bedingungen enthält.
• das Klassifikationsschema für die weitere Bearbeitung in aufeinanderfolgenden Schritten dokumentieren.

Schritt 3 – Wählen Sie die richtige Lösung 

Microsoft bietet derzeit zwei Lösungen für Data Governance an: Microsoft Information Protection und Microsoft Advanced Data Governance. Während beide die Datenklassifizierung, (automatische) Kennzeichnung basierend auf sensiblen Datentypen und viele andere Datenschutz- und Sicherheitsfunktionen unterstützen, hat jede Lösung ihre eigenen Implementierungsszenarien.

Schritt 4 (lokal) – Implementieren Sie Microsoft Information Protection 

Der MIP-Scannerdienst wird auf einem in die Domäne eingebundenen lokalen Server installiert und stützt sich auf den cloudbasierten Microsoft Information Protection für Richtlinien- und Bezeichnungsinformationen. Diese Art von Vorgang erfordert eine integrierte Bereitstellung, die sowohl das lokale Active Directory als auch Azure Active Directory synchronisiert.

Schritt 5 (lokal) – Vorhandene Datenquellen scannen 

Mit Microsoft Information Protection (MIP) Scanner können Sie Dateien in den folgenden Datenspeichern erkennen, klassifizieren und schützen:

• Lokale Ordner auf dem Windows Server, auf dem der Scanner ausgeführt wird
• Netzwerkfreigaben (über UNC-Pfade), die das Common Internet File System (CIFS)-Protokoll verwenden
• Websites und Bibliotheken für SharePoint Server 2016 und SharePoint Server 2013

Schritt 4 (online) – Suche und Entdeckung vorbereiten 

Die Erkennung personenbezogener Daten (PII) in Microsoft 365-Datenquellen basiert auf der automatischen Datenklassifizierung durch Erkennung sensibler Datentypen. Sie können den Datenklassifizierungsprozess automatisieren, um vorhandene Daten automatisch zu scannen und zu kennzeichnen und neue Daten bei der Erstellung zu klassifizieren. Microsoft 365 Labels und Advanced Data Government (ADG) werden verwendet, um Ihre Daten zu klassifizieren und zu kennzeichnen. Die Klassifizierung kann automatisch erfolgen oder indem Benutzern erlaubt wird, den Inhalt manuell zu kennzeichnen. Das Markieren und Kategorisieren ermöglicht es Ihnen, Ihre Daten durch zusätzliche Mittel zu schützen oder nach dem Vorhandensein bestimmter Wörter oder Datentypen zu suchen.

Schritt 5 (online) – Suche und Erkennung in Microsoft 365 

Wir verwenden die Inhaltssuche im Microsoft 365 Purview, um das Inventar zu erstellen. Mit der Inhaltssuche können Sie alle Inhaltsspeicherorte in Ihrer Microsoft 365-Organisation durchsuchen. Dies umfasst alle Postfächer (einschließlich inaktiver Postfächer und der Postfächer für alle Microsoft 365-Gruppen und Microsoft Teams), alle SharePoint- und OneDrive for Business-Websites (einschließlich der Websites für alle Microsoft 365-Gruppen und Microsoft Teams) und alle öffentlichen Ordner.

Ergebnisse 

• Inventar der Datenquelle. Sie können die Datenquellen innerhalb der Organisation online und lokal identifizieren und dokumentieren
• Einstufung und Kennzeichnung. Dies erleichtert die Diskussion mit den Rechts-, Geschäfts- und IT-Teams
• Definieren einer Datenklassifizierungsschemas und eines Bezeichnungsschemas basierend auf gesetzlichen und geschäftlichen Anforderungen
• Benachrichtigung bei einem Datenschutzverstoßes