데이터 개인 정보 보호 및 보호 – 데이터 보호 및 관리
Microsoft Priva 및 Microsoft Purview: 데이터 보호 및 관리를 사용하여 데이터 개인 정보 보호 및 데이터 보호를 관리하는 2단계를 시작합니다.
개인 데이터가 무엇인지, 어디에 있는지, 규정 요구 사항을 알고 있는 경우 해당 데이터를 보호하기 위해 데이터를 배치해야 할 때입니다. Microsoft는 다음과 같은 두 가지 방법으로 개인 데이터를 보호하는 데 도움이 되는 포괄적이고 강력한 기능을 제공합니다.
- IT 관리자가 중요한 항목을 분류하고 보호 조치를 취하도록 설정한 기능 및
- 직원들이 데이터 개인 정보 보호 문제를 신속하게 발견하고 수정하고 건전한 데이터 처리 사례를 학습할 수 있도록 지원하는 기능입니다.
수행할 작업
작업 | 설명 | 세부 정보 가져오기 |
---|---|---|
보호가 필요한 항목을 알 수 있도록 중요한 정보 유형을 식별합니다. | organization 관리하는 중요한 항목을 식별하고 분류하는 것은 Information Protection 분야의 첫 번째 단계입니다. Microsoft Purview는 사용자가 a) 수동으로 분류할 수 있도록 항목을 식별하는 세 가지 방법, b) 중요한 정보 유형과 같은 자동화된 패턴 인식 및 c) 기계 학습을 제공합니다. SIT(중요한 정보 유형)는 패턴 기반 분류자입니다. 사회 보장, 신용 카드 또는 은행 계좌 번호와 같은 중요한 정보를 감지하여 중요한 항목을 식별합니다. |
중요한 정보 유형에 대해 자세히 알아보기 중요한 정보 유형의 전체 목록 보기 |
콘텐츠를 보호하는 기능을 적용할 수 있도록 콘텐츠를 분류하고 레이블을 지정합니다. | 콘텐츠를 적절히 보호하고 처리할 수 있도록 콘텐츠를 분류하고 레이블을 지정하는 것이 정보 보호 분야의 시작점입니다. Microsoft 365에는 콘텐츠를 분류하는 세 가지 방법이 있습니다. | 학습 가능한 분류자에 대해 자세히 알아보기 |
데이터를 로밍하는 경우에도 민감도 레이블을 적용하여 데이터를 보호합니다. | 중요한 데이터를 식별하면 해당 데이터를 보호할 수 있습니다. 사람들이 organization 안팎에서 다른 사람들과 공동 작업할 때 종종 어려운 일입니다. 해당 데이터는 디바이스, 앱 및 서비스에서 모든 곳에서 로밍할 수 있습니다. 또한 로밍할 때 organization 비즈니스 및 규정 준수 정책을 충족하는 안전하고 보호된 방식으로 로밍하기를 원합니다. Microsoft Purview Information Protection의 민감도 레이블을 사용하면 조직의 데이터를 분류하고 보호하는 동시에 사용자 생산성과 공동 작업 기능이 방해되지 않도록 할 수 있습니다. |
민감도 레이블에 대해 자세히 알아보기 |
데이터 손실 방지 정책을 사용하여 개인 데이터 공유를 방지합니다. | 조직은 재무 데이터, 독점 데이터, 신용 카드 번호, 건강 기록 또는 사회 보장 번호와 같은 중요한 정보를 제어합니다. 중요한 정보를 보호하고 위험을 줄이려면 사용자가 정보를 갖지 않아야 하는 사람들과 부적절하게 공유하는 것을 방지하는 방법이 필요합니다. 이러한 관행을 데이터 손실 방지(DLP)라고 합니다. Microsoft Purview 데이터 손실 방지 사용하여 DLP 정책을 정의하고 적용하여 Teams, Exchange, SharePoint 및 OneDrive와 같은 Microsoft 365 서비스에서 중요한 항목을 식별, 모니터링 및 자동으로 보호합니다. office 응용 프로그램(예: Word, Excel 및 PowerPoint) Windows 10, Windows 11 및 macOS(현재 버전 및 이전 두 버전의 macOS) 엔드포인트( 비 Microsoft 클라우드 앱) 및 온-프레미스 파일 공유 및 온-프레미스 SharePoint. 이 DLP 솔루션은 간단한 텍스트 검색이 아니라 심층 콘텐츠 분석을 사용하여 중요한 항목을 검색합니다. 콘텐츠는 키워드에 대한 기본 데이터 일치, 정규식 평가, 내부 함수 유효성 검사 및 기본 데이터 일치와 근접한 보조 데이터 일치에 의해 분석됩니다. 또한 DLP는 기계 학습 알고리즘 및 기타 메서드를 사용하여 DLP 정책과 일치하는 콘텐츠를 검색합니다. |
데이터 손실 방지에 대해 자세히 알아보기 |
규정 준수 또는 규정 요구 사항에 대한 Microsoft 365 데이터 제어 | GDPR(일반 데이터 보호 규정), HIPAA-HITECH(미국 의료 개인 정보 보호법), CCPA(캘리포니아 소비자 보호법) 및 LGPD(브라질 데이터 보호법)와 관련된 숫자를 포함하여 데이터 개인 정보 보호 규정 준수 요구 사항을 해결하기 위해 사용자 환경에서 정보 거버넌스 제어를 사용할 수 있습니다. Microsoft Purview 데이터 수명 주기 관리 및 Microsoft Purview 레코드 관리 보존 정책, 보존 레이블 및 레코드 관리 기능의 형태로 이러한 컨트롤을 제공합니다. | Microsoft Purview를 사용하여 데이터 거버넌스 솔루션을 배포하는 방법 알아보기 |
Microsoft Teams에서 개인 데이터의 보안 스토리지를 설정합니다. | 매우 중요한 개인 데이터를 Teams에 저장하려는 경우 개인 팀을 구성하고 팀 및 해당 내 파일에 대한 액세스를 보호하도록 특별히 구성된 민감도 레이블을 사용할 수 있습니다. | 보안 격리를 사용하여 팀 구성에 대해 자세히 알아보기 |
사용자가 잠재적인 위험을 발견하고 문제를 해결할 수 있도록 합니다. | 사용자가 만들고 관리하는 데이터의 위험을 즉시 식별할 수 있도록 Priva 개인 정보 위험 관리 데이터 처리 정책을 만듭니다. 알림 전자 메일은 사용자가 organization 외부에서 개인 데이터로 항목을 전송하거나, 콘텐츠에 너무 광범위하게 액세스할 수 있도록 하거나, 너무 오랫동안 개인 데이터를 보관할 때 사용자에게 경고합니다. 알림은 사용자에게 개인 데이터를 보호하기 위한 즉각적인 수정 단계를 수행하고 organization 기본 설정 개인 정보 학습에 대한 링크를 포함하라는 메시지를 표시합니다. |
개인 정보 보호 위험 관리에 대해 자세히 알아보기 데이터 전송, 과다 노출 또는 비장 방지 정책 만들기 사용자가 처리하는 콘텐츠 문제를 해결하도록 알림 설정 |
비즈니스, 법률 또는 규정 레코드 보관 요구 사항에 대해 관리해야 하는 고부가가치 항목에 레코드 관리를 사용합니다. | 레코드 관리 시스템은 조직에서 규정, 법률 및 중요 비즈니스용 레코드를 관리하는 솔루션입니다. Microsoft Purview 레코드 관리 organization 법적 의무를 관리하는 데 도움이 되며, 규정 준수를 입증할 수 있는 기능을 제공하며, 더 이상 보존할 필요가 없거나, 더 이상 가치가 없거나, 비즈니스 목적으로 더 이상 필요하지 않은 품목을 정기적으로 처리하여 효율성을 높입니다. |
레코드 관리에 대해 자세히 알아보기 |
성공을 위한 전략 설정
SIT(중요한 정보 유형) 식별, 콘텐츠 분류 및 레이블 지정, DLP(데이터 손실 방지) 정책 배포는 정보 보호 전략의 주요 단계입니다. 위 표의 링크를 통해 이러한 필수 작업을 수행하기 위한 자세한 지침을 확인할 수 있습니다.
또한 데이터 보호는 작업 업무 과정에서 개인 데이터를 확인, 생성 및 처리하는 organization 모든 사용자의 책임입니다. 각 사용자는 organization 어디에 있든 개인 데이터를 보호하기 위해 organization 내부 및 규제 책임을 알고 준수해야 합니다. 이를 위해 Priva는 사용자가 자신의 책임을 알고, 위험한 방식으로 데이터를 처리할 때 정보를 얻고, organization 대한 개인 정보 보호를 최소화하기 위한 즉각적인 조치를 취할 수 있도록 도와줍니다.
Priva 개인 정보 위험 관리 사용할 수 있는 세 가지 데이터 처리 정책은 사용자가 organization 데이터 보호 전략에서 사전 대응적 역할을 하는 데 도움이 됩니다. 기본 제공 수정 작업이 포함된 Email 알림은 사용자에게 필요한 보호를 적용하고 organization 지정된 개인 정보 교육을 받도록 지시합니다. 이러한 인식과 행동 능력은 향후 개인 정보 보호 문제를 방지하기 위한 더 나은 습관을 조성하는 데 도움이 될 수 있습니다.
첫 번째 Priva 데이터 처리 정책에 대한 권장 사항
정책의 동작 방식을 파악하고 요구 사항에 맞게 최적화할 수 있도록 단계적 접근 방식으로 정책을 배포하는 것이 좋습니다. 첫 번째 단계에서는 하나의 사용자 지정 정책을 만들어 이해의 기초로 사용하는 것이 좋습니다. 다른 사용자가 너무 광범위하게 액세스할 수 있는 개인 데이터가 포함된 콘텐츠 항목을 식별하는 데이터 과다 노출 정책을 만드는 예제를 사용해 보겠습니다. 자세한 정책 만들기 지침은 여기에서 확인할 수 있습니다.
정책 만들기 마법사의 모니터링할 데이터 선택 단계에 도착하면 개별 중요한 정보 유형 옵션을 선택하고 organization 가장 관련성이 큰 SID를 선택하는 것이 좋습니다. 예를 들어 유럽에 고객을 두고 있는 금융 서비스 회사인 경우 EU 직불 카드 번호를 SID 중 하나로 포함할 수 있습니다. 여기에서 SIT 정의 목록을 찾습니다.
이 정책의 적용을 받는 사용자 및 그룹 선택 단계에서 특정 사용자 또는 그룹을 선택하고 이 정책에 대한 scope 있는 사용자의 작은 내부 원을 선택하는 것이 좋습니다.
정책의 조건 선택 단계에서는 더 관리하기 쉬운 수준에서 모니터링해야 하는 총 데이터 양을 유지하면서 더 위험할 수 있는 데이터를 추적할 수 있도록 외부만 선택하는 것이 좋습니다.
경고 및 임계값 지정 단계에서 경고를 켜고아래 조건 중 하나가 충족되면 경고의 빈도 옵션을 선택하는 것이 좋습니다. 경고를 켜면 관리자가 경고의 심각도 및 빈도가 요구 사항을 충족하는지 여부를 측정하는 데 도움이 됩니다. 정책은 소급하여 작동하지 않으므로 처음에 경고를 해제하고 나중에 켜기로 결정한 경우 경고를 켜기 전에 발생한 일치 항목에 대한 경고가 표시되지 않습니다.
정책 모드 결정 상태에서는 정책을 테스트 모드로 유지하고 최소 5일 동안 성능을 모니터링하는 것이 좋습니다. 이를 통해 어떤 종류의 정책 조건이 일치하는지, 경고가 어떻게 발생되는지 확인할 수 있습니다.
점진적으로 더 많은 정책 설정 및 성능 미세 조정
첫 번째 정책을 설정하고 실행한 후 다른 두 정책 유형과 동일한 작업을 수행할 수 있습니다. 이 단계는 두 번째 단계일 수 있으며, 이 단계에서는 기능 사용을 점진적으로 시작하고 설정을 최적화할 수 있습니다. 예를 들어 정책에서 검색한 일치 항목 수를 확인하는 동안 처음에는 사용자 메일 알림 보내지 않도록 선택할 수 있습니다. 그런 다음 정책이 테스트 모드인 동안(정책 설정의 결과 정의 단계에서) 메일 알림 켜기로 결정할 수 있습니다. 사용자가 전자 메일을 너무 많이 받는 경우 정책의 결과 설정으로 돌아가 알림 빈도를 조정합니다. 이 모든 미세 조정은 organization 전체에서 정책을 보다 광범위하게 배포하기 전에 사용자에게 미치는 원하는 영향을 측정하는 데 도움이 될 수 있습니다.
다른 두 정책 유형에 대한 권장 설정
다음은 첫 번째 데이터 전송 및 데이터 과다 노출 정책을 만들 때 주요 설정에 대한 특정 권장 사항입니다.
데이터 전송:
- 모니터링할 데이터의 경우 특정 SID를 선택합니다.
- 이 정책의 적용을 받는 사용자 및 그룹 선택에서 사용자의 내부 링을 선택합니다.
- 정책의 조건 선택에서 가장 중요한 조건을 선택합니다.
- 정책 일치가 검색될 때 결과 정의의 경우 메일 알림 켭니다.
- 경고 및 임계값 지정의 경우 활동이 발생할 때마다 경고를 켭니다.
- 정책 결정 모드의 경우 정책 모드를 켭니다(테스트 모드를 해제).
데이터 최소화:
- 모니터링할 데이터의 경우 특정 SID 또는 분류 그룹을 선택합니다.
- 이 정책의 적용을 받는 사용자 및 그룹 선택에서 사용자의 내부 링을 선택합니다.
- 정책의 조건 선택에서 30, 60, 90 또는 120일을 선택합니다.
- 정책 결정 모드의 경우 정책을 테스트 모드로 유지합니다.
개인 정보 위험을 최소화하기 위한 정책 성능 극대화
정책이 최소 2~4주 동안 실행되도록 허용합니다. 이 시간 동안 다음 결과를 검토하고 문서화해야 합니다.
- 각 정책 유형과 가양성 및 가음성의 인스턴스에서 생성된 일치 항목
- 최종 사용자 및 관리자의 영향 및 피드백
이제 결과에 따라 다음을 수행하여 정책 성능을 조정할 수 있습니다.
- 기본 제공 및 사용자 지정 SID 또는 분류 그룹 포함 또는 제외
- 대상 지정을 보다 효율적으로 만들기 위해 조건 및 사용자 그룹을 사용하여 정책 버전 만들기
- 사용자에게 전자 메일 빈도, 모니터링할 일 수 등을 포함하여 정책의 임계값 조정
이것을 세 번째 단계로 생각하세요. 각 정책 유형의 더 많은 버전을 만들고 전체 organization 배포할 수 있습니다. 즉, 사용자의 50%를 포함하는 첫 번째 라운드와 사용자의 100%를 포함하는 두 번째 라운드입니다.
또한 Priva에 설명된 대로 사용자 동작에 따라 학습을 누적하고 정책의 사용자 메일 알림 포함할 수 있는 사용자에 대한 특정 개인 정보 학습을 만드는 단계이기도 합니다.