距離「一般資料保護規定」( General Data Protection Regulation ,簡稱GDPR ) 生效日僅剩整整八個月,屆時與歐盟居民有業務往來的所有組織得確保其運作符合 GDPR 規範。根據 Spiceworks 近期的研究報告指出,僅有兩成五的組織針對此重大法令規範做好相應措施。微軟積極力助企業客戶加速 GDPR 的合規性,在今年初,微軟隱私長 ( Chief Privacy Officer ) 布蘭登·林區 ( Brendon Lynch ) 宣布,微軟將恪守 GDPR 原則,並承諾協助組織成功遵守這項新的規範。
今天我們將分享兩個Windows資源:透過Windows 10加速GDPR的合規性以及透過Windows Server 2016加速GDPR的合規性兩份白皮書,協助企業客戶為即將生效的GDPR做好計畫和因應準備。
這些重要資源詳載了 Windows 的安全特色與功能,能協助您符合 GDPR 的規範,並幫助您執行技術及組織的安全措施,以確保個資安全。 Windows 10 的合規能力包括:
- 威脅防護:資料外洩前的威脅防護
- 威脅防護:資料外洩後的偵測與回應
- 身分識別保護
- 資訊防護
Windows Server 的其他合規能力包含:
- 驗證資訊與管理員權限保護
- 確保能執行應用程式與網路基礎架構的作業系統
- 安全虛擬化
要執行適當的技術與組織安全措施以確保個資安全往往耗費時間,為符合 GPDR 規範,您必須從流程、專業及教育訓練做起。若您才要開始落實 GDPR 合規性,我們建議您從以下四個主要步驟開始:
【主要的 GDPR 步驟】
- 覺察— 識別您的個人資料及儲存地點
- 管理— 管控個人資料使用及存取的方式
- 防護— 建立安全控管機制以防護、偵測並回應資安弱點及資料外洩
- 通報— 執行資料請求、通報資料外洩並保存必要文件
儘管這些要求看似困難, Windows 卻可協助您高效率地有效因應 GDPR 的多項要求。
威脅、身分識別及資訊防護
一如布萊德·史密斯 (Brad Smith) 在今年夏天曾提到,沒有資安就沒有隱私。這也是為什麼我們總是著重 Windows 作業系統的資安技術與隱私功能,以協助您保護資料安全。
有了 Windows 10,面對任何會導致資料外洩的攻擊事件時,您將能大大提升防護、偵測與防禦的能力。有鑑於 GDPR 對於資料外洩通知的嚴格規範,它能確保您的桌機與筆電系統具備有效防禦能力,可降低日後昂貴的資料外洩分析與通知的風險。
GDPR 其中一項重要的規定是資料安全的設計與預設機制。Windows 10 有許多功能可協助您符合上述法規,像是 BitLocker 裝置加密。它運用了信賴平台模組 ( Trusted Platform Module,簡稱 TPM ) 技術,能提供以硬體為基礎的資安相關功能。該密碼處理器晶片包含多個實體安全機制,使其具備防竄改功能,且惡意軟體無法破壞 TPM 的安全功能。
我們鼓勵您瞭解更多關於透過Windows 10加速GDPR的合規性這份白皮書裡所提到的資安技術。
身分識別保護、驗證資訊管理與網路基礎架構安全
資安漏洞對組織的影響甚鉅。 Windows Server 2016 內建威脅降低功能,能協助執行技術及組織的安全措施,確保個資安全,包括可執行應用程式與網路基礎架構的安全作業系統、可保護您的作業環境免受威脅及漏洞攻擊的防毒技術,還有身分識別與驗證資訊管理解決方案,能讓您不再依賴密碼而享有更安全的驗證方式。這些是我們深度防禦策略的重要元素,我們將這些要素與資訊防護層結合,內建於硬體與虛擬系統中。
GDPR 要求您執行技術及組織的安全措施以確保個資與處理系統的安全。以 GDPR 的脈絡來說,實體與虛擬伺服器環境都有可能處理個人及敏感資料。所謂「處理」指的是任何運算或運算集 ( set of operations ) ,如資料蒐集、儲存及檢索等。
個資及敏感資料有可能透過桌機或筆電儲存或存取,而透過採取先進的驗證功能及存取管理的方式,您可強化個資及敏感資料的保護能力。
當您開始落實 GDPR 合規性時,請務必了解在建立、存取、處理、儲存及管理那些以 GDPR 的標準可能被認定為個人或敏感資料時,您的實體及虛擬伺服器所扮演的角色。 Windows Server 提供能協助您符合 GDPR 規範的功能,以執行適當的技術及組織的安全措施以確保個資安全。
其他細節可參考透過Windows Server 2016加速GDPR的合規性白皮書。
就從今天開始吧!
輔以微軟全面性雲端組合以及今日所推出的 Microsoft 365 解決方案,這些 Windows 資源會讓您在因應這些規範上有長足的進步。在此鼓勵您參考這些資訊,了解 Windows 如何協助您簡化 GDPR 合規性的歷程。
在未來幾個月,我們將持續和您分享 Windows 如何因應 GDPR 規範以及何以透過 Windows 能協助您順利展開 GDPR 合規性的發展。我們也想聽聽您的意見,請您持續與我們分享意見與隱私權問題。