microsoft brand templatedownload.microsoft.com/documents/hun/events/2018/0311_future-decoded/... ·...
TRANSCRIPT
Azonosítani a kezelt személyes adatokat és
hogy hol tárolódnakFeltérképezés1
Szabályozni a személyes adatok felhasználását
és az azokhoz való hozzáféréstKezelés2
Biztonsági kontrollok létrehozása a
sérülékenységek és adatbetörések
megakadályozására, felismerésére és
elhárítására
Védelem3
Az adatkérésekhez és jelentési kötelezettségez
szükséges dokumentációk létrehozása és belső
felderítés támogatása
Riportolás4
Tapasztalatok alapján TOP 3 kezdetikihívás
Fizikai és logikai biztonság egyöntetűen magas szintű megvalósítása minden érintett rendszerben
GDPR értintett adatkör gyakorlati felderítése valamint azadatkezelési eljárások egységes érvényre juttatása minden kapcsolódó rendszerben
Az információvédelmi / adatkezelési eljárások meghatározása és gyakorlatba átültetése
__________________
És az előző kihívásokra adott válaszokidőben folyamatos fenntartása
Fizikai és logikai biztonság
egyöntetűen magas szintű megvalósítása
minden érintett rendszerben
Transzformátor és generátor állomás
Jelenlegi Adatközpont
Épülő adatközpont második ütem
Beléptető kapu
Határ
Szerver terem
Épület
Szeizmikus
szenzorok
Biztonsági
irányítási központ
24X7
biztonsági
személyzet
Többnapos
áramszünet
áthidalás
Kamerák Riasztók
Többfaktoros hozzáférés védelem:
Biometrikus, kártyás, mágneskapu
stb.
Fizikai behajtásgátlók Kerítés
Adat szétválasztás
Ügyfelek adatainak többszintű logikai
elkülönítése egymástól.
Továbbított adatok védelme
Iparági szabványú titkosító protokollokkal
minden ügyfél – adatközpont
kommunikáció titkosított
alapértelmezetten
Adat redundancia és mentés
A szolgáltatások folyamatos mentés alatt
vannak és adatközponton belüli, valamint
geo-rendundáns (EU-n belül!)
másolatokat képzünk, legalább 3-at.
Tárolt adatok titkosítása
Minden tárolt adat alapértelmezetten
titkosított. A titkosítő kulcs az ügyfél
kezelésében vagy birtokában is lehet.
Belső védelem
Az adatközpontban nincsenek állandó
adminisztrátori szerepkörök. Minden
karbantartási feladathoz egyedileg kell
jogosultságok kérni és külön csapat
ellenőrizni a kérést és tevékenységet is.
Adatmegsemmisítés
Ha az ügyfél elhagyja a szolgáltatás adatai
garantálton törlésre kerülnek.
Adathordozó nem hagyja el az
adatközpontot, helyen darálják őket.
Több mint 1000 kontroll, az Office 365-be betervezett megfelelőségi keretrendszere alapján a szolgáltatásunk világszinten megfelel a legkülönbözőbb adatvédelmi elvárásoknak.
A Microsoft szolgáltatások folyamatosan külső fél által auditáltak. Microsoft rendszeres- ön és külső auditokon vesz részt. A külső auditokat független 3rd party cégek végzik.
United StatesCJIS
CSA CCM
DISA
FDA CFR Title 21 Part 11
FEDRAMP
FERPA
FIPS 140-2
FISMA
HIPPA/HITECH
HITRUST
IRS 1075
ISO/IEC 27001, 27018
MARS-E
NIST 800-171
Section 508 VPATs
SOC 1, 2
ArgentinaArgentina PDPA
CSA CCM
IRAP (CCSL)
ISO/IEC 27001, 27018
SOC 1, 2
SpainCSA CCM
ENISA IAF
EU Model Clauses
EU-U.S. Privacy Shield
ISO/IEC 27001, 27018
SOC 1, 2
Spain ENS
LOPD
United KingdomCSA CCM
ENISA IAF
EU Model Clauses
ISO/IEC 27001, 27018
NIST 800-171
SOC 1, 2, 3
UK G-Cloud
JapanCSA CCM
CS Mark (Gold)
FISC
ISO/IEC 27001, 27018
Japan My Number Act
SOC 1, 2
SingaporeCSA CCM
ISO/IEC 27001, 27018
MTCS
SOC 1, 2
New ZealandCSA CCM
ISO/IEC 27001, 27018
NZCC Framework
SOC 1, 2
AustraliaCSA CCM
IRAP (CCSL)
ISO/IEC 27001, 27018
SOC 1, 2
European
UnionCSA CCM
ENISA IAF
EU Model Clauses
EU-U.S. Privacy Shield
ISO/IEC 27001,
27018
SOC 1, 2,
GDPR – *2018-tól
ChinaChina GB 18030
China MLPS
China TRUCS
Adat-klasszifikáció & elszámoltathatóság
Kliens és végponti védelem
Identitás és hozzáférés kezelés
Alkalmazás szintű kontrollok
Hálózati kontrollok
Host infrastruktúra
Fizikai védelem
Adatkezelő Adatfeldolgozó
Felelősség On-Prem IaaS PaaS SaaS
Office 365
GDPR értintett adatkör gyakorlati felderítése
valamint az adatkezelési eljárások egységes érvényre juttatása minden kapcsolódó
rendszerben
1
3
Ingestion of data outside Office 365 In-Place DLP, retention and archiving In-Place eDiscovery
Auditing
GDPR megközelítés 360 fokos nézetben – O365 esetén
Identify and Protect Data (Azure Information Protection)
Microsoft InformationProtection:
IT biztonsági eszközök
Adatszivárgás elleni
eszközök
Adatkezelési házirendek
Adatklasszifikációs eszközök
Felderítést támogató
eszközök
Megoldások
Az információvédelmi /
adatkezelési eljárások
meghatározása és gyakorlatba átültetése.
Ügyfél magánszféra
védelme a GDPR által
Három komponensű megközelítés
Ügyfél magánszféra
védelme a GDPR által
Három komponensű megoldás
The Microsoft GDPR Discovery and Assessment Toolkit
https://partner.microsoft.com/en-us/marketing/details/gdpr#/
áttekintéseEszközcsomag
GDPR által érintett adatkör felderítése
Személyes adatok megtalálása
Helyi és felhős rendszerek felderítése
Adatok osztályozása és címkézése
Alap amire lehet építeni
Eszközök és szolgáltatások implementálása az adatok kezelésére, védelmére, jelentés készítés
Adatbiztonság és megfelelőségi kihívások azonosítása
Jelenlegi állapot meghatározása módszertanok és biztosított eszközök segítségével
Sablonok
Kiértékelés
Leírás
Leírás
Aktivitások
Iránymutatás és ajánlás az aktivitások előkészítéséhez
Releváns példák a kezdéshez
Linkek a folytatáshoz
Előre készített prezentációk, adatforrás leltár
Sablon az első megbeszéléshez (PPT)
Adatforrás leltár (Excel)
Előre készített Excel felmérési sablon
Automatizált kiértékelés
Ügyfél magánszféra
védelme a GDPR által
Három komponensű megoldás
Demo:Microsoft GDPR Compliance Manager
A biztonsági osztályokra meghatározott követelmények alapját a
NIST SP 800-53-as kvázi szabványban lefektetett irányelvek és
követelmények képezik!
Hódy Árpád
Sr. Solution Sales Professional
KÖSZÖNJÜK A FIGYELMET!
Zombory Zoltán
Office 365 Most Valuable Professional