Kế hoạch hành động tuân thủ GDPR với Microsoft 365: Ưu tiên trong 30 ngày, 90 ngày và xa hơn
Cập nhật: Tháng 5/2025
Đối tượng: Doanh nghiệp sử dụng Microsoft 365
Tài liệu này cung cấp kế hoạch hành động chi tiết để khách hàng của BSD (gọi chung là Khách hàng của BSD) triển khai tuân thủ Quy định Bảo vệ Dữ liệu Chung (GDPR – General Data Protection Regulation) khi sử dụng Microsoft 365. Kế hoạch được phát triển với sự hợp tác của Protiviti, đối tác Microsoft chuyên về tuân thủ quy định, và chia thành ba giai đoạn: 30 ngày, 90 ngày, và sau 90 ngày, với các nhiệm vụ ưu tiên để đáp ứng yêu cầu GDPR.
Lưu ý pháp lý: Tài liệu này cung cấp thông tin tham khảo, không phải tư vấn pháp lý. Khách hàng của BSD nên phối hợp với Nhân viên Bảo vệ Dữ liệu (DPO – Data Protection Officer) nội bộ, cố vấn pháp lý, hoặc chuyên gia quyền riêng tư để đảm bảo tuân thủ GDPR.
1. Kết quả của kế hoạch hành động #
Kế hoạch hành động được chia thành ba giai đoạn, mỗi giai đoạn có các kết quả cụ thể để giúp Khách hàng của BSD đáp ứng yêu cầu GDPR một cách logic và hiệu quả. Các kết quả này được thiết kế để xây dựng nền tảng tuân thủ, triển khai các biện pháp bảo mật, và duy trì quản trị dữ liệu lâu dài. Bảng dưới đây trình bày đầy đủ các kết quả của từng giai đoạn, bao gồm tất cả các mục tiêu chi tiết như trong tài liệu gốc.
| Giai đoạn | Kết quả |
|---|---|
| 30 ngày | – Hiểu các yêu cầu GDPR và cân nhắc hợp tác với Đối tác Tư vấn GDPR của Microsoft (như Protiviti). – Đánh giá mức độ sẵn sàng của tổ chức và nhận đề xuất cho các bước tiếp theo. – Làm việc với Đối tác Tư vấn GDPR để: – Thiết lập hướng dẫn nội bộ để xử lý Yêu cầu của chủ thể dữ liệu (DSR – Data Subject Request). – Thực hiện phân tích khoảng cách tuân thủ GDPR cho tổ chức. – Xây dựng lộ trình tuân thủ GDPR với các mốc thời gian cụ thể. – Bắt đầu khám phá các loại dữ liệu cá nhân đang lưu trữ và vị trí lưu trữ để đáp ứng DSR. – Sử dụng Content Search và eDiscovery trong các trung tâm bảo mật và tuân thủ để khám phá dữ liệu cá nhân trên toàn tổ chức. – Với khối lượng nội dung lớn, sử dụng Microsoft Purview eDiscovery (Premium), tích hợp công nghệ máy học, để thực hiện tìm kiếm nội dung hiệu quả và chính xác hơn. |
| 90 ngày | – Bắt đầu triển khai các yêu cầu tuân thủ bằng cách sử dụng các khả năng quản trị dữ liệu và tuân thủ của Microsoft 365. – Đánh giá và quản lý rủi ro tuân thủ bằng Microsoft Purview Compliance Manager. – Hỗ trợ người dùng xác định và phân loại dữ liệu cá nhân, theo định nghĩa của GDPR. – Sử dụng các khả năng bảo mật của Microsoft 365 để ngăn chặn vi phạm dữ liệu và triển khai các biện pháp bảo vệ dữ liệu cá nhân. – Bảo vệ tài khoản quản trị viên và người dùng cuối bằng xác thực mạnh mẽ. – Bảo vệ chống mã độc và triển khai các biện pháp ngăn chặn và phản hồi vi phạm dữ liệu. – Sử dụng ghi nhật ký kiểm toán (audit logging) để giám sát hoạt động đáng ngờ và hỗ trợ phân tích pháp y khi xảy ra vi phạm dữ liệu. – Sử dụng chính sách Ngăn chặn Mất Dữ liệu (DLP – Data Loss Prevention) để xác định và bảo vệ dữ liệu nhạy cảm. – Ngăn chặn các vectơ tấn công phổ biến, bao gồm email lừa đảo và tài liệu Office chứa liên kết hoặc đính kèm độc hại. |
| Sau 90 ngày | – Sử dụng các công cụ quản trị dữ liệu nâng cao và bảo vệ thông tin của Microsoft 365 để triển khai chương trình quản trị dữ liệu liên tục cho dữ liệu cá nhân. – Tự động xác định thông tin cá nhân trong tài liệu và email. – Bảo vệ dữ liệu cá nhân lưu trữ trên thiết bị trong toàn tổ chức và đảm bảo chỉ các thiết bị doanh nghiệp tuân thủ được sử dụng để truy cập dữ liệu nhạy cảm. – Đảm bảo thông tin cá nhân nhạy cảm được lưu trữ và truy cập theo chính sách doanh nghiệp. – Triển khai chính sách lưu trữ dữ liệu để đảm bảo chỉ giữ dữ liệu cá nhân trong thời gian cần thiết. – Giám sát tuân thủ liên tục trên Microsoft 365 và các ứng dụng đám mây khác. – Đáp ứng yêu cầu cư trú dữ liệu EU cho dữ liệu cá nhân. |
Ví dụ: Trong 30 ngày, Khách hàng của BSD sử dụng Microsoft Purview Compliance Manager để đánh giá mức độ sẵn sàng GDPR, thiết lập quy trình DSR, và khám phá dữ liệu trong SharePoint bằng eDiscovery. Đến 90 ngày, họ triển khai DLP để bảo vệ dữ liệu tài chính và bật MFA cho tất cả tài khoản. Sau 90 ngày, họ sử dụng Multi-Geo Capabilities để lưu trữ dữ liệu tại Ireland và Microsoft Intune để quản lý thiết bị.
2. Kế hoạch hành động tuân thủ GDPR #
Kế hoạch hành động được chia thành ba giai đoạn, với các nhiệm vụ cụ thể, công cụ Microsoft 365, và hướng dẫn thực hiện. Mỗi giai đoạn tập trung vào các ưu tiên để đáp ứng yêu cầu GDPR, từ hiểu yêu cầu cơ bản, triển khai bảo mật, đến quản trị dữ liệu liên tục.
2.1 Giai đoạn 1: 30 ngày – Nhanh chóng tuân thủ GDPR #
Mục tiêu:
- Hiểu yêu cầu GDPR và đánh giá mức độ sẵn sàng của tổ chức.
- Thiết lập hướng dẫn nội bộ để xử lý Yêu cầu của chủ thể dữ liệu (DSR).
- Bắt đầu khám phá dữ liệu cá nhân và xác định vị trí lưu trữ để đáp ứng DSR.
Nhiệm vụ và hướng dẫn:
2.1.1 Hiểu yêu cầu GDPR và hợp tác với đối tác tư vấn GDPR của Microsoft #
- Đánh giá rủi ro GDPR bằng Microsoft Purview Compliance Manager:
- Sử dụng Microsoft Purview Compliance Manager trong Microsoft Purview Portal để thực hiện đánh giá GDPR toàn diện.
- Công cụ cung cấp điểm số tuân thủ, xác định lỗ hổng (như thiếu DLP, xác thực yếu), và đề xuất hành động ưu tiên (bật mã hóa, triển khai MFA).
- Báo cáo đánh giá giúp hiểu mức độ sẵn sàng và xác định các lĩnh vực cần cải thiện ngay.
- Thiết lập hướng dẫn nội bộ cho DSR:
- Hợp tác với Protiviti hoặc đối tác tư vấn GDPR của Microsoft để xây dựng hướng dẫn nội bộ xử lý DSR, bao gồm:
- Quy trình phản hồi yêu cầu truy cập, sửa chữa, xóa, hạn chế xử lý, hoặc di chuyển dữ liệu trong 30 ngày, theo Điều 15-22 GDPR.
- Các trường hợp ngoại lệ DSR, như dữ liệu phải giữ theo quy định tài chính hoặc pháp lý (ví dụ: hồ sơ thuế trong 7 năm).
- Chỉ định đội ngũ phụ trách (IT, pháp lý) và kênh nhận yêu cầu (biểu mẫu website, email hỗ trợ).
- Hướng dẫn cần xác định thời gian phản hồi, mẫu thông báo, và quy trình xác minh danh tính (như ID khách hàng).
- Hợp tác với Protiviti hoặc đối tác tư vấn GDPR của Microsoft để xây dựng hướng dẫn nội bộ xử lý DSR, bao gồm:
- Thực hiện phân tích khoảng cách tuân thủ GDPR:
- Làm việc với đối tác tư vấn để tiến hành phân tích khoảng cách (gap analysis), so sánh hiện trạng với yêu cầu GDPR.
- Phân tích xác định các lĩnh vực cần cải thiện, như bảo mật dữ liệu, quản trị dữ liệu, hoặc phản hồi vi phạm.
- Xây dựng lộ trình tuân thủ với các mốc thời gian:
- 30 ngày: Đánh giá rủi ro, thiết lập DSR.
- 90 ngày: Triển khai DLP, MFA, giám sát.
- Sau 90 ngày: Quản trị dữ liệu nâng cao, cư trú dữ liệu EU.
- Tìm hiểu GDPR Dashboard và khả năng DSR:
- Sử dụng GDPR Dashboard trong Microsoft Purview Portal để theo dõi tiến độ tuân thủ, quản lý DSR, và xem báo cáo đánh giá.
- Tìm hiểu quy trình DSR qua Hướng dẫn DSR của Microsoft 365, bao gồm tìm kiếm dữ liệu, xuất báo cáo, và phản hồi khách hàng.
Ví dụ: Khách hàng của BSD sử dụng Microsoft Purview Compliance Manager để đánh giá, đạt điểm tuân thủ 65/100, xác định cần triển khai DLP và MFA. Họ hợp tác với Protiviti để xây dựng hướng dẫn DSR, quy định phản hồi trong 30 ngày qua biểu mẫu website, và lập lộ trình tuân thủ trong 90 ngày.
Hành động đề xuất:
- Đăng nhập vào Microsoft Purview Portal (https://compliance.microsoft.com) để chạy đánh giá GDPR, lưu báo cáo vào Hồ sơ hoạt động xử lý dữ liệu (ROPA) trong 7 ngày.
- Liên hệ BSD hoặc Protiviti để thực hiện phân tích khoảng cách và xây dựng lộ trình tuân thủ trong 14 ngày.
- Đào tạo đội IT/pháp lý về GDPR Dashboard và quy trình DSR trong 7 ngày.
- Thiết kế biểu mẫu DSR trên website (HTTPS, mã hóa dữ liệu), hoàn thành trong 21 ngày.
- Lưu hướng dẫn DSR và lộ trình tuân thủ vào ROPA.
2.1.2 Khám phá dữ liệu cá nhân và vị trí lưu trữ #
- Sử dụng Content Search và eDiscovery (Standard):
- Tìm kiếm dữ liệu cá nhân trong Exchange mailboxes, Microsoft 365 Groups, Microsoft Teams, SharePoint sites, OneDrive for Business, và Skype for Business conversations bằng Content Search trong Security & Compliance Center.
- Sử dụng loại thông tin nhạy cảm (sensitive information types) để xác định dữ liệu EU, như số hộ chiếu, mã số thuế, số thẻ tín dụng, hoặc dữ liệu y tế.
- Chức năng Content Search hỗ trợ:
- Xem trước kết quả: Kiểm tra tài liệu/email trước khi xuất.
- Thống kê từ khóa: Phân tích tần suất xuất hiện của dữ liệu nhạy cảm.
- Chỉnh sửa hàng loạt: Quản lý nhiều tìm kiếm cùng lúc.
- Xuất kết quả: Tạo báo cáo CSV hoặc PDF để xử lý DSR.
- Sử dụng Microsoft Purview eDiscovery (Premium):
- Với khối lượng nội dung lớn, sử dụng eDiscovery (Premium), tích hợp máy học, để tìm kiếm nhanh và chính xác hơn.
- Công cụ lọc tài liệu liên quan đến DSR (như hồ sơ khách hàng EU) với độ chính xác cao, giảm thời gian xử lý.
- Hỗ trợ xuất báo cáo chi tiết để phản hồi DSR hoặc lưu trữ kiểm toán.
Ví dụ: Khách hàng của BSD sử dụng Content Search để tìm email chứa số hộ chiếu EU trong Exchange, xuất báo cáo CSV để đáp ứng DSR trong 24 giờ. Với khối lượng lớn, họ kích hoạt eDiscovery (Premium) để lọc tài liệu khách hàng EU trong SharePoint, hoàn thành trong 12 giờ.
Hành động đề xuất:
- Đăng nhập vào Security & Compliance Center (https://protection.office.com) để chạy Content Search, lưu kết quả vào ROPA trong 7 ngày.
- Kích hoạt eDiscovery (Premium) nếu xử lý khối lượng dữ liệu lớn, liên hệ BSD để hỗ trợ cấu hình trong 14 ngày.
- Xác định vị trí dữ liệu cá nhân (Exchange, SharePoint, OneDrive) và ghi vào ROPA trong 21 ngày.
- Đào tạo đội IT sử dụng sensitive information types trong 7 ngày.
2.2 Giai đoạn 2: 90 ngày – Tăng cường tuân thủ #
Mục tiêu:
- Triển khai các biện pháp tuân thủ thông qua quản trị dữ liệu và bảo mật.
- Ngăn chặn vi phạm dữ liệu và bảo vệ dữ liệu cá nhân.
- Giám sát hoạt động đáng ngờ và hỗ trợ phân tích vi phạm.
Nhiệm vụ và hướng dẫn:
2.2.1 Triển khai yêu cầu tuân thủ #
- Quản lý tuân thủ với Microsoft Purview Compliance Manager:
- Tiếp tục sử dụng Microsoft Purview Compliance Manager để theo dõi tiến độ, thực hiện các hành động đề xuất từ đánh giá 30 ngày (như triển khai DLP, bật mã hóa, cấu hình lưu trữ dữ liệu).
- Tạo báo cáo tuân thủ định kỳ để theo dõi cải thiện điểm số tuân thủ, sẵn sàng trình bày cho DPA nếu kiểm toán.
- Phân loại dữ liệu cá nhân:
- Triển khai Office 365 Labels để phân loại dữ liệu nhạy cảm trong Exchange email, SharePoint sites, OneDrive for Business, và Microsoft 365 Groups.
- Xây dựng lược đồ phân loại cho dữ liệu GDPR, như “Thông tin cá nhân”, “Dữ liệu tài chính”, “Dữ liệu y tế”.
- Đào tạo người dùng gắn nhãn thủ công hoặc cấu hình nhãn tự động dựa trên sensitive information types.
- Tham khảo Hướng dẫn triển khai bảo vệ thông tin.
Ví dụ: Khách hàng của BSD triển khai nhãn “Thông tin cá nhân” trong SharePoint, yêu cầu người dùng gắn nhãn cho tài liệu chứa dữ liệu khách hàng EU, và cấu hình nhãn tự động cho số thẻ tín dụng trong email Exchange.
Hành động đề xuất:
- Cấu hình Office 365 Labels trong Microsoft Purview Portal trong 14 ngày.
- Đào tạo người dùng về phân loại dữ liệu trong 21 ngày, liên hệ BSD để hỗ trợ.
- Lưu lược đồ phân loại và hướng dẫn nhãn vào ROPA.
2.2.2 Bảo mật dữ liệu cá nhân #
- Tăng cường xác thực:
- Bật MFA cho tất cả tài khoản trong Microsoft Cloud.
- Áp dụng Modern Authentication cho tất cả ứng dụng, tham khảo Cấu hình truy cập danh tính và thiết bị.
- Ngăn chặn mã độc:
- Triển khai Microsoft Defender for Endpoint trên tất cả máy tính.
- Giám sát hoạt động:
- Bật Audit Logging và Mailbox Auditing trong Security & Compliance Center.
- Chính sách DLP:
- Cấu hình DLP để bảo vệ hơn 80 loại dữ liệu nhạy cảm, thử nghiệm trong 14 ngày trước khi triển khai chính thức.
- Ngăn chặn tấn công phổ biến:
- Sử dụng Microsoft Defender for Office 365 để chặn email lừa đảo và tài liệu độc hại.
Ví dụ: Khách hàng của BSD bật MFA, triển khai Defender for Endpoint trên 500 máy tính, và cấu hình DLP để chặn email chứa số thẻ tín dụng.
Hành động đề xuất:
- Cấu hình MFA và Modern Authentication trong Azure AD trong 7 ngày.
- Triển khai Defender for Endpoint và DLP, thử nghiệm DLP trong 14 ngày.
- Bật Audit Logging và Mailbox Auditing, kiểm tra báo cáo hàng tuần.
- Cấu hình Defender for Office 365 trong 14 ngày, liên hệ BSD để hỗ trợ.
2.3 Giai đoạn 3: Sau 90 ngày – Tiếp tục bảo vệ dữ liệu, quản trị dữ liệu và báo cáo #
Mục tiêu:
- Áp dụng quản trị dữ liệu nâng cao và bảo vệ thiết bị.
- Đảm bảo lưu trữ/truy cập dữ liệu theo chính sách.
- Giám sát tuân thủ và đáp ứng yêu cầu cư trú dữ liệu EU.
Nhiệm vụ và hướng dẫn:
2.3.1 Tiếp tục bảo vệ dữ liệu và quản trị dữ liệu #
- Triển khai nhãn độ nhạy:
- Sử dụng Sensitivity Labels trong Microsoft Purview Portal để tự động phát hiện thông tin cá nhân (như số hộ chiếu, dữ liệu y tế), áp dụng mã hóa hoặc hạn chế chia sẻ.
- Quản lý thiết bị với Microsoft Intune:
- Triển khai Intune để quản lý thiết bị, đảm bảo chỉ thiết bị tuân thủ truy cập dữ liệu nhạy cảm.
- Chính sách truy cập có điều kiện:
- Cấu hình Conditional Access với Intune để kiểm soát truy cập.
- Chính sách lưu trữ dữ liệu:
- Triển khai Microsoft Purview Data Lifecycle Management và Retention Policies để lưu trữ dữ liệu chỉ trong thời gian cần thiết.
Ví dụ: Khách hàng của BSD triển khai Sensitivity Labels để mã hóa email y tế, sử dụng Intune để chặn truy cập từ thiết bị không tuân thủ.
Hành động đề xuất:
- Cấu hình Sensitivity Labels và Retention Policies trong 14 ngày.
- Triển khai Intune và Conditional Access trong 30 ngày.
- Đào tạo người dùng trong 21 ngày, liên hệ BSD để hỗ trợ.
2.3.2 Giám sát tuân thủ và báo cáo #
- Giám sát ứng dụng đám mây:
- Sử dụng Microsoft Defender for Cloud Apps để giám sát hoạt động, cấu hình cảnh báo nâng cao.
- Theo dõi báo cáo DLP để điều chỉnh chính sách.
- Đáp ứng yêu cầu cư trú dữ liệu EU:
- Sử dụng Multi-Geo Capabilities để lưu trữ dữ liệu tại EU/EFTA, tuân thủ chương trình EU Data Boundary.
Ví dụ: Khách hàng của BSD cấu hình Multi-Geo để lưu trữ dữ liệu tại Ireland, sử dụng Defender for Cloud Apps để cảnh báo chia sẻ dữ liệu nhạy cảm.
Hành động đề xuất:
- Triển khai Defender for Cloud Apps, cấu hình cảnh báo trong 14 ngày.
- Cấu hình Multi-Geo Capabilities trong Microsoft 365 Admin Center trong 7 ngày, liên hệ BSD để hỗ trợ.
- Lưu cấu hình vào ROPA.
Bạn có thể xem chi tiết của tài liệu Microsoft ở đây
