创建和管理隐私评估 (预览版)

  • 项目

Microsoft Priva 隐私评估 (预览版) 允许组织发现和记录个人数据的实例,以捕获所使用的数据类型以及有关其使用性质的关键详细信息。

若要创建隐私评估,请遵循创建可自定义问卷的过程。 首先,可以使用具有预先确定的问题(可以修改)的模板。 或者,可以从空白评估开始,以生成符合需求的自定义评估。 组织可以维护和使用可能具有不同用例或应用程序的多个评估。 可以将评估分配给无限数量的项目或其他业务资产。

注意

用户需要隐私策展人角色才能创建、发布和管理本文中所述的评估。 详细了解 用于处理隐私评估的角色, (预览版)

评估管理页

可以在 “评估管理员”页中创建评估、查看组织评估的状态以及管理响应和资产。

“资产”选项卡

资产 ”选项卡列出了组织在设置元模型以使用隐私评估时注册的所有资产的详细信息。 在此处,可以与资产上下文中的评估进行交互。

  • 选择资产名称以查看和编辑注册资产时定义的属性。

  • 从资产左侧导航栏中选择“ 隐私 ”,查看与该资产相关的所有隐私评估。

将资产分配给评估

  • 在资产的 “隐私 ”页中,选择“ 分配 ”命令 (剪贴板图标) 。
  • 此时会显示一个面板,其中列出了所有活动评估。 选中要分配给资产的评估旁边的框。

“评估”选项卡

评估 ”选项卡列出了所有评估和基本状态信息,包括:

  • 状态草稿,尚未可用于分配;或 已发布,可以分配和响应。

    注意

    评估可以在嵌套列表中多次列在表中。 例如,你可能有可用于响应的已发布版本的评估,同时你可能也在编辑该评估。 在这种情况下,评估在表中显示,并带有用于展开列表的箭头。 展开后,一行将列出状态为 “已发布” 的评估,另一行列出具有 “草稿” 状态的评估新版本。

  • 版本:对现有评估进行编辑时,将创建按顺序编号的新版本。 这样,就可以跟踪已响应评估的版本。

  • 创建者:创建评估的用户。

  • 上次更新时间:上次修改评估的日期和时间。

“评估响应”选项卡

评估响应 ”选项卡列出了评估提交,其中包含答案详细信息,包括提交该答复的用户、响应分配到的项目或其他资产,以及上次与提交交互的日期和时间。 通过此视图,隐私团队或具有隐私策展人角色的用户可以查看评估响应。

选择评估名称以查看为问题提供的答案。 还会看到基于提供的答案的评估 的风险评分 。 详细了解 如何了解风险评分

创建评估

创建评估时,会生成一个调查问卷,调查对象将回答并提交以供审阅和批准。 可以选择从头开始执行空白评估,还是从包含可修改的预配置问题的模板开始。 无论哪种情况,你都可以自定义问题及其组织方式以满足你的需求。

开始生成评估之前要考虑的事项:

  • 名称。
  • 组织中的人员应查看响应并充当审批者。
  • 在风险寄存器中设置风险设置,以便你可以将风险因素分配给问题,并将特定风险级别分配给答案。

基本步骤:

  1. 创建评估。

  2. 生成并保存调查表。

  3. 发布评估。

  4. 根据需要分配资产并设置指定的审阅者。

  5. 指定的审阅者审阅并可以批准或拒绝响应。 如果被拒绝,被调查者可以更正任何问题并再次提交,直到获得批准。

创建评估

  1. 在隐私评估中,转到 “评估管理 ”页。

  2. 在“ 评估 ”选项卡上,选择“ 新建评估”。 从下拉菜单中选择以下选项:

    • 从模板:从隐私影响评估模板或基本数据使用清单评估模板中进行选择,该模板提供可以自定义的建议问题。 在进行选择之前,可以预览每个模板。 提供的模板仅供参考,不应解释为法律建议。

    • 自定义:生成一组问题。

  3. 输入评估的“名称和说明”,然后选择“下一步”。

  4. “分配审阅者”中,将显示具有“隐私策展人”角色的用户列表。 选中要指定为已提交评估审阅者和审批者的用户旁边的复选框。 选择多个用户后,任何单个用户都有权评审和批准已提交以供评审的评估。 只有指定的审阅者才能批准或拒绝评估响应。 如果未选择审阅者,则任何具有隐私策展人角色的用户都可以批准或拒绝特定于该评估的响应。

  5. 选择“创建”。

评估生成器将关闭,你将到达 “编辑评估 ”页。 可在此页生成或自定义评估问题。

编辑评估问卷

生成调查表时,可以选择问题类型、将问题排列为各节,并向问题添加逻辑。 还可以指定问题可以识别的风险因素,以及要与每个答案选项关联的风险级别。 请参阅 配置风险

添加和配置问题

每个问题都分组到部分标题下。 分区 允许将问题分组到各节中,并为每个部分命名。 空白问卷会自动填充第 1 部分块。 添加节的名称和说明。

“编辑评估 ”页上的顶部命令栏中,选择“ 问题 ”下拉菜单,然后选择要插入的问题类型。 问题选项如下所述:

  • 文本:允许答复者在自由文本字段中输入响应。

  • 选择:创建答复者通过单选按钮选择的答案选项。 这是一个单选选项。 如果将问题编辑为“多选”,格式将更改为 “复选框”。

  • 复选框:创建答复者通过复选框选择的答案选项。 复选框是多选选项。 如果将问题编辑为单选,格式将更改为 “选择”。

  • 日期:答复者可以从日历中选择日期。

  • 信息性:此块不需要答案;它是一个自由文本字段,你可以在问卷中的某个时间点提供指导、链接或任何其他信息。 此信息对答复者可见,并成为提交响应记录的一部分。

复选框问题自动填充为“多选”。 可以在问题块中关闭多选切换,这会将其更改为单选 选择 类型问题。 同样, 选择 题自动填充为单一选择;如果打开 “多选” 开关,格式将更改为 “复选框”。

每个问题的字段

  • 短标题和问题:输入 短标题 和问题的文本。 对于 “选项”“复选框 ”问题,请填充答案选项,根据需要添加任意数量。 添加分区标题和简短标题时,它们将显示在屏幕左侧。

  • 需要回答:可以通过打开“ 需要回答 ”切换 (切换区域填充蓝色) 来提出被调查者需要的问题。

  • 允许附件:可以通过打开“允许附件”开关来允许上传 附件 。 打开切换开关后, “附件” 区域将显示在问题块底部。 如果需要 附件 ,请选择“需要附件”。 在文本字段中,解释最能提供证据或回答问题的信息类型。

    评估最多可附加六个文件。 每个文件的大小限制为 5 MB。 支持的文件类型包括:

    • csv
    • doc/docx
    • gif
    • jpeg/jpg
    • ppt/pptx
    • txt
    • xls/xlsx

  • 配置风险:打开 “配置风险 ”开关,为问题分配风险因素。 获取 有关如何配置风险的详细信息

预览问卷

在评估创建或编辑期间,可以随时预览评估对受访者的显示方式,方法是选择屏幕右上角的“ 预览 ”。 在预览版中,可以测试答案功能,并确保应用于问题的任何逻辑都按预期工作。 若要退出预览模式并返回到评估编辑器,请选择“ 关闭预览”。

应用逻辑来隐藏或显示问题

可以应用逻辑,根据上一问题的答案向答复者显示或隐藏问题。 从要隐藏或显示的问题开始,选择问题块顶部的 “添加逻辑 ”命令,其图标类似于 L。 问题下方会显示 “条件” 部分。

选择要显示或隐藏此问题的条件。 可以在 “任何”(表示必须满足任何条件)或 “全部”之间进行选择,这意味着必须满足所有条件。 满足条件时, “操作” 选项为 “隐藏 ”或 “显示 问题”。 可以通过选择“ 预览 ”并回答上述问题来测试逻辑的工作方式。

逻辑条件基于先前选择或复选框题类型的答案定义。 若要创建条件,请选择上一个问题的短标题字段,该答案确定此问题是隐藏还是显示。 通过指示哪些答案或答案组合将使条件为 true 来完成逻辑条件。 然后确定真实条件是否应隐藏或显示问题。

逻辑只能应用于单个问题,而不能应用于分区。

配置风险

你可以为问题分配风险因素,以便指定答案所显示的风险类型和答案中描述的风险级别。

若要为问题设置风险参数,请将 “配置风险 切换”开关滑动到右侧,即 on 位置。 切换开关下方会显示 “风险类型 ”字段。 “风险类型”下拉菜单中的选项对应于在“风险设置”中设置的风险类别。

对于 “选择”“复选框问题” ,如果选择风险类型,每个答案选项旁边会显示一个下拉菜单。 对于每个答案,请选择一个风险级别:

  • 无风险
  • 低风险
  • 中等风险
  • 高风险

风险级别定义由组织确定。 有关为组织确定风险框架的详细信息,请参阅 设置风险设置

注意

如果为问题配置了风险,则受访者在填写评估时看不到该风险信息。 只有评估的创建者和审阅者才能查看风险信息。

保存调查表

评估会随着你而自动保存。 添加完问题后,最好选择屏幕右上角的“ 保存 ”。 评估处于 “草稿” 状态,这意味着尚未 发布。 可以通过从评估管理页上的“ 评估 ”选项卡上的行中选择评估来继续编辑 评估 。 然后在评估详细信息页上,选择 “编辑”。

必须 发布 评估,才能将其从草稿状态移出并使其可分配。

在风险寄存器中设置风险设置

“风险注册 ”页上,你可以根据个人数据的使用方式来概述和定义你认为会影响组织中的隐私风险的因素。 风险寄存器允许你创建一个框架,以评估正在评估的资产的整体风险级别。

在风险注册表中,根据对组织有意义的因素创建和定义 风险因素 。 例如,你可能有一个类别引用特定数据类型(例如 个人健康数据),或一个类别,该类别引用了数据的高风险使用,例如 “用途”。 如何对风险类别进行分类、定义和标记由组织决定。

对于每个 风险因素,为该类别分配一个风险级别: 。 如何定义低、中、高,以及确定某个类别的级别由组织决定。

了解如何设置风险类别

了解风险评分计算

风险因素在问题级别分配,可在其中为特定问题分配风险类型。 对于单选和多选问题,还可以为每个答案值指定特定风险级别,即低风险、中风险或高风险级别。

当被调查者在评估响应中回答问题时,系统会自动识别多个或单选问题的风险级别。 对于分配了风险因素的基于文本的答案,审阅者有机会在评审期间指定低、中或高的风险级别,并基于答案的内容 (了解如何) 。

响应中的问题将使用分配给它们的风险类型以及确定的最高风险级别进行批注。 例如,在多选题中,如果选择的答案同时被指定为中风险和高风险,则为该问题分配高风险级别。

还会针对整个风险评估计算风险评分。

创建并向其添加风险值的每个评估都被视为可以衡量每个响应的标准化规模。 评估中具有可识别风险的每个问题都基于可在响应中选择的最高可能风险分配一个值。

对于多选问题,可能已为不同的答案选项分配了低、中和高值。 将为此问题分配一个风险分数高,表示可在该问题的响应中注册的最高风险。

创建风险因素时,系统会为基于文本的问题分配风险设置中设置的默认风险值。

将为每个评估汇总所有评估问题的风险值。

对于每个评估响应,将基于实际响应的风险值相加,并将其与该评估的最大风险计算进行比较。

实际响应风险除以最大潜在风险得出风险分数百分比。 这描述了在实际响应中确定的风险,相对于该评估可能识别的潜在总体风险。

然后将分数从百分比转换为整数。 例如,如果评估响应等于最大潜在响应风险的 65-74%,则会获得 7 分。

分数表示:

  • 1 - 3 低风险
  • 4 - 7 中等风险
  • 8 - 10 高风险

根据通用评估评估评估的所有项目或数据使用都按同一标准进行评估。 分数指示每个分数的相对风险级别。

在风险设置中设置风险类别

生成评估时,可以为问题配置风险,然后从组织创建的风险因素列表中为该问题分配风险因素。 如果为 “选择”“复选框” 问题配置风险,请为每个答案选项设置“ ”、“ 中”“高 ”的风险级别。 当被调查者回答问题并提交响应时,将自动注册风险级别。

对于 文本 问题,可以分配风险因素,但必须在评估评审期间根据对该问题的响应内容指定风险级别。

下面是一个示例,说明你为何想要将开放式风险分配给文本问题:你可能会询问被调查者是否打算使用生物识别数据的问题。 二进制“是”或“否”可能无法显示风险的全部程度。 通过 应用逻辑,可以询问后续文本问题,询问用例的说明和任何保护措施。 可以将此问题指定为具有“生物识别数据风险”或“敏感数据风险”。具有完整答案上下文的审阅者可以确定此问题反映的是低、中还是高风险。

受访者在填写评估时看不到问题的风险设置。 只有评估的创建者和审阅者才能查看风险信息。

设置风险类别:

  • 转到 “风险注册 ”页,然后选择右上角的“ 风险设置 ”。 此时将显示 “风险设置 ”窗口。

  • 选择 “添加风险因素”。

  • 添加 类别名称说明,并将 风险评级 设置为“低”、“中”或“高”。

  • 选择“添加”。

添加的类别现在显示在 “风险设置 ”窗口中。 为该因素选择的关联风险级别以灰色着色。

若要编辑类别的属性或风险级别,请选择其右侧的铅笔图标。 可以通过选择类别右侧的回收站图标来存档类别。 存档类别时,它将保留在系统中,以支持具有这些风险指定的旧评估,但不能包含在新的评估中。

当被调查者提交评估时,将根据 风险 设置根据答案提供风险分数。 可以通过转到“评估管理”页上的“评估响应”选项卡并选择评估来查看风险评分。

查看组织隐私风险

在风险寄存器中查看隐私风险

如果要跨项目和其他资产查看风险,可以在 “风险注册 ”页上执行此操作。 风险注册表显示整个组织的风险的两个视图。

  1. 按评估响应查看 ”选项卡:此视图显示每个评估响应的风险,每个响应按其相关的项目或资产分组。  评估风险评估是为评估响应计算的聚合风险分数,反映了响应的总体隐私风险。

  2. 按风险因素查看 ”选项卡:此风险视图还按风险相关的项目或资产进行分组。 但是,该选项卡描述该资产的任何风险响应中存在的每个风险因素、识别风险因素的次数以及每个事件的风险级别,而不是反映风险响应的聚合风险。

在“风险响应”选项卡中查看隐私风险

如果要查看所有评估响应中仅与特定资产相关的所有问题,可以导航到相关资产的详细信息页。 转到 “评估管理 ”页并选择“资产”选项卡,找到 资产 。还可以在数据目录中搜索资产。

在资产的详细信息页上,选择左侧导航上的“ 风险响应 ”选项卡。 在这里,你将看到针对资产完成的每个评估的帐户,以及每个评估中携带已识别的隐私风险的问题。 可以查看问题和答案、风险类型和风险级别。 还可以从此位置管理或编辑风险。

另存为草稿并发布评估

保存评估工作时,它会显示在“评估管理”页上的“评估”选项卡上,状态为“草稿”。 可以编辑评估,但尚无法发送给受访者完成评估。

准备好使评估可供用户完成时,首先需要发布它。 从“评估”选项卡上的列表中选择“草稿 评估 ”,然后选择页面右上角的“ 发布 ”。 现在可以将评估分配给组织中的用户。

将评估分配给资产

在“ 评估 管理”页上的“ 评估 ”选项卡上,选择评估以打开其详细信息页。 此页面包含有关评估的详细信息,包括已发送完成的评估数量、正在进行的评估数以及提交的评估数量。

选择页面顶部附近的“ 分配 ”。 在 “分配评估 ”窗口中,可以进行两个选择:

  • 资产:选择要分配给评估的一个或多个资产,然后选择“ 下一步”。
  • 审阅者:选择一个或多个用户作为审阅者,他们将批准或拒绝提交的评估。 选择“ 分配”。

响应并提交评估

将评估分配给资产时,所有者会收到一封电子邮件,指示已分配评估。 电子邮件链接到数据目录中的资产。 资产中的 “隐私 ”页列出了分配给它的所有评估,以及有关分配评估的时间、评估完成状态和完成日期的详细信息。

选择要接受的评估的名称,这会打开评估的问卷。 你可以通过选择屏幕右上角的“ 保存 ”,保存进度并稍后返回完成。

准备好提交已完成的评估时,请从“保存”按钮旁边的下拉列表命令中选择“提交”选项。

评估现在在资产的“隐私”页上的状态为“已提交”。 评估的审阅者现在可以查看评估响应以批准或拒绝评估响应。

查看和批准评估响应

提交评估响应时,评估的审阅者会收到一封电子邮件。 审阅者可以选择电子邮件中的链接,转到评估或访问提交,方法是在“评估管理”页上的“评估响应”选项卡上找到该链接。

查找“ 评估名称” 列下列出的响应,状态为 “已提交 ”。 选择评估名称以打开响应并查看问题的答案。 右侧的“ 风险评分 ”面板根据提供的答案显示风险评分。 如果检测到风险级别,每个问题都会指示一个风险级别,右侧的面板会显示评估响应的总体风险。 可以通过选择 X 关闭面板,并通过选择 “风险评分 ”按钮再次显示面板。

若要批准评估响应,请选择屏幕右上角的“ 批准 ”。

如果检测到响应的风险,并且你决定拒绝它,请选择“ 拒绝”。 被调查者接到通知说,评估被拒绝了。

响应拒绝的评估

项目所有者看到项目详细信息页的“ 隐私 ”选项卡上列出的评估,状态为“ 已拒绝”。 项目所有者可以选择评估,查看其以前的答案,并编辑其答案。 如果需要保存进度并在以后继续处理答案,请选择“ 保存 ”。 准备好重新提交审阅者时,请选择“ 提交”。

在查看答复时编辑问题的风险

可以在审阅期间或在批准答复后更改问题的指定风险级别。 例如,如果自首次创建调查表以来获得了其他信息或上下文,则可能认为原始风险级别不正确,并且需要重新校准风险级别。

若要编辑风险级别,请选择问题的风险级别旁边的铅笔图标。 此时会显示 “编辑风险 浮出控件”窗格。 可以从下拉菜单中更改风险级别和风险类型,并添加解释调整的 更改说明 。 如果风险仍然相关,请将“风险状态”设置为“活动”;如果风险不再相关,则将其设置为“非活动”。 所有更改都会在面板的“ 风险历史记录 ”部分中捕获。

选择“ 保存” 以保存更改。 请注意评估响应页上风险评分的任何更改。

导出评估响应

可以通过将评估响应下载为带格式Microsoft Word 或 PDF 文件来导出评估响应。 这允许将隐私评估结果轻松传输给组织内部或外部的个人,例如审核员或监管机构。 按照以下说明导出评估响应:

  1. 转到 “评估管理 ”页,然后选择“ 评估响应”。
  2. 选择要导出的响应的名称。
  3. 在评估响应的详细信息页上,选择“ 导出响应”,显示在响应名称下方。
  4. “导出响应 ”下拉菜单中,选择已下载的首选文件类型:Word 文档或 PDF。

该文件会立即下载,你可以从计算机上的 downloads 文件夹访问它。

Microsoft Priva 法律免责声明