호주 정부가 PSPF를 준수하기 위한 서비스 기반 자동 레이블 지정 권장 사항
이 문서에서는 서비스 기반 민감도 자동 레이블 지정 정책을 사용하여 보안 기밀 정보를 보호하는 데 도움이 되는 구성에 대한 호주 정부 조직에 대한 지침을 제공합니다. 그 목적은 특히 정부 기관 간에 정보가 전달되는 시나리오의 경우 정부 조직이 정보 보안 태세를 개선할 수 있도록 돕는 것입니다. 이 문서의 조언은 보호 보안 정책 프레임워크(PSPF)(특히 PSPF 정책8 부속서 F: 호주 정부 Email 보호 표시 표준) 및 ISM(정보 보안 매뉴얼)에 설명된 요구 사항에 가장 잘 부합하도록 작성되었습니다.
이전 문서 인 자동 레이블 지정 개요는 최신 정부 작업 환경에서 자동 레이블 지정의 사용이 적합한 위치와 데이터 보안 위험을 줄이는 데 어떻게 도움이 되는지에 대한 추가 높은 수준의 정보를 제공합니다.
서비스 기반 자동 레이블 지정 기능을 사용하면 다음을 수행할 수 있습니다.
-
전자 메일에서 중요한 콘텐츠를 검색하고 전송 중에 레이블을 적용: 오스트레일리아 정부 조직은 이 기능을 사용하여 다음을 수행할 수 있습니다.
- 다른 PSPF(보호 보안 정책 프레임워크) 또는 해당 사용 가능한 조직에서 받은 메일 레이블입니다.
- 중요한 정보 또는 기타 식별자를 검색하여 PSPF가 아닌 조직에서 받은 메일에 레이블을 지정합니다.
-
SharePoint 위치(SharePoint/OneDrive/Teams)에서 보호 표시 또는 중요한 콘텐츠에 대한 기존 항목을 검사하고 레이블을 적용합니다. 오스트레일리아 정부 조직은 이 기능을 사용하여 다음을 수행할 수 있습니다.
- 기존 Microsoft 365 미사용 데이터에 레이블을 지정합니다.
- 레거시 분류 도구 또는 분류에서 마이그레이션합니다.
전송 중 전자 메일 레이블 지정
이 문서는 전자 메일에 표시를 적용하는 방법에 대해 설명하는 전자 메일 표시 전략 에서 다루는 개념의 확장입니다.
Exchange 서비스에 대해 구성된 서비스 기반 자동 레이블 지정 정책은 전자 메일의 표시를 위해 검사 적절한 레이블을 적용합니다. 받는 전자 메일에는 보낸 사람 조직에서 이미 적용한 표시 또는 민감도 레이블이 있을 수 있지만 기본적으로 조직 레이블 기반 보호를 적용하지는 않습니다. 외부 표시 또는 레이블을 내부 레이블로 변환하면 DLP(데이터 손실 방지) 및 기타 관련 컨트롤이 적용됩니다.
호주 정부의 맥락에서 이메일의 특징을 식별하는 것은 일반적으로 다음과 같습니다.
- X-보호-표시 x-헤더
- 주체 표시
- 텍스트 기반 머리글 및 바닥글
Email 기반 정책 구성
서비스 기반 자동 레이블 지정 정책은 Microsoft Purview 포털에서 Information Protection>정책>자동 레이블 지정 정책에 따라 구성됩니다.
자동 레이블 지정 정책은 만들 DLP 정책과 유사하지만 DLP 권장 사항과 달리 이메일 기반 구성에 적용하려는 각 레이블에 대해 단일 자동 레이블 지정 정책이 필요합니다.
PSPF 표시를 확인하는 자동 레이블 지정 정책은 사용자 지정 정책 템플릿에서 만들어지고 작업에 따라 이름이 지정됩니다. 예를 들어 들어오는 비공식 Email 레이블을 지정합니다. 또한 주체와 같은 필수 옵션에 인터페이스에서 사용할 수 있는 옵션이 포함되어 있는지 확인하기 위해 Exchange 서비스에만 정책을 적용해야 합니다.
높은 수준의 PSPF 완성도를 달성하려면 다음을 완료하기 위해 자동 레이블 지정 정책을 구현해야 합니다.
- 들어오는 전자 메일에 적용된 x-헤더를 기반으로 자동 레이블을 지정합니다.
- 들어오는 전자 메일에 적용된 제목 표시를 기반으로 자동 레이블을 지정합니다.
- 들어오는 전자 메일의 본문에 있는 SIT(중요한 정보 유형)를 기반으로 자동 레이블을 지정합니다(선택 사항).
각 레이블에 대해 하나의 자동 레이블 지정 정책이 필요하며, 잠재적으로 여러 규칙이 있습니다(위의 각 시나리오에 대해 하나씩). 기존 레이블을 자동으로 바꾸는 설정은 필요하지 않습니다.
x-headers를 확인하는 규칙
X-보호-표시 x-header'의 전자 메일을 검사 위해 만든 규칙의 이름을 적절하게 지정해야 합니다(예: '공식 x 헤더의 경우 검사.').
헤더가 'x-보호 표시'라는 헤더 이름과 들어오는 전자 메일의 x-보호 표시 헤더와 일치할 수 있는 정규식(RegEx) 값이 있는 패턴과 일치하는 헤더 조건이 필요합니다. 예를 들어 '공식: 중요한 개인 정보'로 표시된 항목을 식별하는 구문은 다음과 같습니다.
X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Personal-Privacy
이 식에서 은 [-: ] 하이픈, 콜론 또는 공백과 일치하므로 PSPF가 콜론을 지정한다는 점을 강조하여 헤더가 적용되는 방식을 유연하게 사용할 수 있습니다.
의 (?:,)? 패턴을 사용하면 보안 분류와 IMM 사이에 쉼표가 포함되어 있는지 여부에 관계없이 항목을 일치시킬 수 있습니다.
주체 표시를 확인하는 규칙
자동 레이블 지정 정책에는 주체 기반 표시를 확인하는 두 번째 규칙이 포함되어야 합니다. 이러한 규칙의 이름을 적절하게 지정해야 합니다(예: '공식 주체 확인').
규칙에는 적절한 정규식 값이 있는 패턴과 일치하는 주체 조건이 필요합니다. 예:
\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Personal-Privacy
이전 예제 \ 에서는 대괄호가 정규식의 일부가 아닌 전자 메일 주체의 일부로 처리되도록 하려면 이스케이프 문자가 필요합니다.
이 구문에는 닫는 대괄호(\])가 포함되지 않습니다. 이에 대한 추론은 여러 IMM(정보 관리 표식)에 대한 접근 방식에서 설명합니다.
SIT를 확인하는 규칙
중요한 정보를 식별할 때 보호 표시를 식별하기 위해 일련의 SID를 권장했습니다. 이러한 SIT는 전자 메일에 적용되는 자동 레이블 지정 정책에도 사용할 수 있습니다. SIT는 들어오는 전자 메일 분류를 식별하는 세 번째 방법을 제공하며 x 헤더 제거를 수정하는 데도 도움이 됩니다.
논리 규칙에는 콘텐츠 포함,중요한 정보 형식의 조건이 필요하고 분류와 관련된 SIT가 선택되어 있어야 합니다.
팁
SIT 기반 규칙은 x-header 또는 주체 기반 접근 방식보다 더 많은 가양성 을 생성할 수 있습니다. 이에 익숙하지 않은 정부 조직은 x-header 및 주체 기반 규칙으로만 대상을 지정한 다음 편안한 경우 SIT 기반 규칙을 추가하는 것을 고려할 수 있습니다.
가양성의 예로는 DLP 경고와 같은 항목 콘텐츠를 참조하거나 포함하는 분류 및 서비스 생성 경고에 대한 토론이 있습니다. 이 때문에 SIT 기반 자동 레이블 지정 규칙은 가양성 제거 및 예외 적용을 위해 전체 구현 전에 추가 테스트 또는 장기간의 모니터링을 받아야 합니다. 예제 예외에는 서비스 기반 경고가 전송되는 'microsoft.com' 도메인이 포함됩니다.
SIT 기반 규칙을 포함하면 상당한 이점이 있습니다. 레이블 변경 근거 및 사용자가 전자 메일 대화에 적용된 레이블을 악의적으로 낮추는 위험을 고려합니다. PROTECTED 전자 메일이 비공식 메일로 낮아지지만 전자 메일 대화 본문에서 '[SEC=PROTECTED]'를 검색할 수 있는 경우 PROTECTED 레이블을 자동으로 다시 적용할 수 있습니다. 이렇게 하면 테넌트의 PROTECTED DLP 정책 및 기타 컨트롤의 scope 다시 가져옵니다. 항목이 의도적으로 더 낮은 상태로 재분류되는 상황이 있습니다(예: 특정 시간까지 금지된 예산 추정 미디어 브리핑의 릴리스). 따라서 SIT 구성은 정부 조직에서 이러한 사용 사례를 고려해야 합니다.
SIT 기반 규칙은 이메일을 생성하지만 규정 준수 완성도를 낮추는 소규모 정부 조직을 수용하는 데 도움이 될 수 있습니다. 이러한 조직에는 x-headers와 같은 고급 표시 방법이 누락될 수 있습니다.
여러 IMM에 대한 접근 방식
IMM(정보 관리 표식)은 호주 정부 AGRkMS(Recordkeeping Metadata Standard)에서 시작되며 비보안 관련 제한이 적용되는 정보를 식별하는 선택적 방법입니다. 여러 IMM을 사용하는 데 도입된 AGRkMS는 단일 속성으로 기록되는 IMM 또는 '권한 형식' 값을 정의합니다. 일부 호주 정부 조직은 여러 IMM을 적용할 수 있는 분류 분류에 따라 IMM 사용을 확장했습니다(예: '보호된 개인 정보 보호 입법 비밀').
여러 IMM을 사용하면 들어오는 항목에 적용된 표시를 확인하는 정규식이 더 복잡해야 하므로 DLP 및 자동 레이블 지정 구성이 복잡해질 수 있습니다. 또한 외부 조직으로 전송될 때 여러 IMM으로 표시된 전자 메일이 이메일 게이트웨이를 수신하여 잘못 해석될 수 있는 위험도 있습니다. 이렇게 하면 정보 손실 위험이 높아질 수 있습니다. 이러한 이유로 민감도 레이블 분류 및 이메일 표시 전략에 포함된 예제는 AGRkMS 규칙에 따라 단일 IMM만 적용했습니다.
단일 IMM만 사용하는 조직
여러 IMM이 적용된 외부 조직에서 받은 전자 메일만 수용하기 위해 단일 IMM을 사용하는 조직에서는 주체 기반 자동 레이블 지정 규칙에서 닫는 대괄호('\]')를 생략했습니다. 이를 통해 제목에 적용된 첫 번째 IMM을 기반으로 전자 메일에 레이블을 지정할 수 있습니다. 이 방법을 사용하면 레이블 분류가 전자 메일을 보낼 수 있는 다른 정부 조직과 완전히 일치하는지 여부에 관계없이 레이블 기반 컨트롤을 통해 항목을 보호할 수 있습니다.
x-header 기반 접근 방식의 관점에서 X-보호-표시 x-헤더에 여러 IMM을 적용하는 방법은 다음 방법을 통해 수행할 수 있습니다.
X-Protective-Marking : SEC=<Security Classification>, ACCESS=<First IMM>, ACCESS=<Second IMM>
X-보호-표시 구문에 닫는 대괄호가 없는 경우 항목은 표시에 있는 첫 번째 IMM에 따라 레이블이 지정됩니다. 그러면 항목이 첫 번째 IMM 컨트롤을 통해 보호되고 두 번째 IMM에 대한 시각적 표시가 항목에 계속 배치됩니다.
여러 IMM을 적용하는 조직
AGRkMS 규칙 이외의 여러 IMM을 수용하기 위해 레이블 분류 및 기타 구성을 확장하려는 경우 자동 레이블 지정 규칙이 가능한 모든 충돌을 수용하도록 해야 합니다. 예를 들어 'SEC=OFFICIAL:Sensitive, ACCESS=Legislative-Secrecy'를 확인하는 규칙은 두 번째 IMM이 적용된 값을 제외해야 합니다. 그렇지 않으면 항목이 단일 IMM으로만 잘못 레이블이 지정될 수 있습니다.
자동 레이블 지정 규칙에 예외를 추가하여 제외를 적용할 수 있습니다. 예:
헤더가 패턴과 일치하는 경우를 제외하고:
X-Protective-Marking : SEC=OFFICIAL:Sensitive, ACCESS=Legislative-Secrecy, ACCESS=Personal-Privacy
X-Protective-Marking : SEC=OFFICIAL:Sensitive, ACCESS=Legislative-Secrecy, ACCESS=Legislative-Secrecy
X-Protective-Marking : SEC=OFFICIAL:Sensitive, ACCESS=Legislative-Secrecy, ACCESS=Legal-Privilege
또는 규칙의 RegEx에서 예외를 수용합니다.
헤더는 패턴과 일치합니다.
X-Protective-Marking :SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legislative-Secrecy(?!, ACCESS=)
SIT 기반 규칙의 경우 보호 표시를 감지하기 위한 SIT 구문 예제에 포함된 구문은 단일 IMM만 수용합니다. 이러한 SID는 가양성을 제거하기 위해 수정해야 하며 추가 레이블에 맞게 다른 SID를 추가해야 합니다.
외국 정부의 자동 레이블 지정 정보
많은 호주 정부 조직은 외국 정부의 표시 또는 기밀 정보를 처리합니다. 이러한 외국 분류 중 일부는 PSPF 분류 내에서 동등성을 가지며, PSPF 정책 7: 국제 공유를 위한 보안 거버넌스에 정의되어 있습니다. 외국 정부와 통신하는 조직은 이 가이드에 설명된 접근 방식을 사용하여 외국 표시를 해당 PSPF로 변환할 수 있습니다.
입법 비밀 표시 처리
입법 비밀은 정보에 적용되는 특정 입법 비밀 요구 사항을 표시하지 않고 항목에 적용되어서는 안됩니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 정책 8 C.4 - 정보 관리 표식 | 입법 비밀 IMM은 하나 이상의 특정 비밀 조항의 적용 가능성에 관심을 끌기 위해 사용됩니다. 내무부는 받는 사람에게 문서의 각 페이지의 위쪽 또는 아래쪽 또는 정보가 적용되는 특정 비밀 조항을 명시적으로 식별하는 이메일 본문에 배치된 경고 알림을 포함하여 특정 조항을 통보할 것을 권장합니다. |
Microsoft는 해당 법률에 직접 부합하는 레이블을 통해 입법 비밀 레이블을 사용하는 것이 좋습니다. 예를 들어 의 레이블 구조를 고려합니다.
공식 민감도
- 공식 민감도
- 공식 민감한 입법 비밀
- 공식 민감한 입법 비밀 예제 법
이러한 레이블 구조를 사용하면 '예제 법'과 관련된 정보를 사용하는 사용자는 관련 정보에 '공식 중요한 입법 비밀 예제 법' 레이블을 적용합니다. 또한 이 레이블의 시각적 표시는 해당 작업을 나타내야 합니다. 예를 들어 '공식: 민감한 입법 비밀(예시법)'의 머리글과 바닥글을 적용할 수 있습니다.
참고
'공식 중요한 입법 비밀 예제 법'의 레이블은 레이블 표시 이름을 '공식 중요한 예제 법'으로 단축하여 레이블 사용자 환경을 개선할 수 있습니다. 그러나 레이블의 시각적 표시는 자동 레이블 지정 방법을 지원하기 위해 모든 요소를 포함해야 합니다.
레이블 및 표시는 항목 보안 분류, 입법 비밀 요구 사항 및 참조되는 특정 법률과 관련이 있다는 사실을 나타냅니다. 이 순서에 적용된 표시는 정보를 수신하지만 '예제 법' 레이블이 구성되지 않은 외부 조직도 입법 비밀 레이블에 따라 정보를 식별하고 처리할 수 있도록 허용합니다. '예제 법'을 입법 기밀로 취급하면 보호가 동봉된 정보에 적용될 수 있습니다.
정보를 생성하는 정부 organization 다음을 구분해야 할 수 있습니다.
- '예제 법'에 관한 정보
- 다른 법률과 관련된 정보; 그리고
- 다른 부서에서 작업하는 법률과 관련된 외부에서 생성된 정보입니다.
이를 구현하기 위해 관리자는 자동 레이블 지정 규칙을 두 개로 분할하고 SIT를 사용하여 '예제 법'과 관련된 정보를 식별합니다.
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| OS LS x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legislative-Secrecy 그리고 그룹화하지 않음 콘텐츠 포함: 중요한 정보 유형 다음을 포함하는 ACT 키워드 SIT 예제: (Example Act) |
공식 민감한 입법 비밀 |
| OS LS 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Legislative-Secrecy 및 그룹화 안 했습니다. 콘텐츠 포함: 중요한 정보 유형: 다음을 포함하는 ACT 키워드 SIT 예제: (Example Act) |
공식 민감한 입법 비밀 |
| OS 예제 Act x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legislative-Secrecy 그리고 콘텐츠 포함: 중요한 정보 유형 다음을 포함하는 ACT 키워드 SIT 예제: (Example Act) |
공식 중요한 예제법 |
| OS 예제 법 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Legislative-Secrecy 그리고 콘텐츠 포함: 중요한 정보 유형: 다음을 포함하는 ACT 키워드 SIT 예제: (Example Act) |
공식 중요한 예제법 |
이메일 기반 자동 레이블 지정 구성 예제
여기에 나열된 자동 레이블 지정 정책 예제는 외부 정부 조직에서 적용한 표시에 따라 들어오는 전자 메일에 민감도 레이블을 자동으로 적용합니다.
다음 예제 정책은 휴지 상태의 기존 항목에 레이블을 지정하는 나열된 시나리오와 같은 다른 시나리오도 고려해야 하며 조직 전체의 자동 레이블 지정 구성이 되어서는 안 됩니다.
정책 이름: 들어오는 비공식 Email 레이블 지정
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| UNOFFICIAL x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=UNOFFICIAL |
비공식 |
| 비공식 주제 확인 | 제목은 패턴과 일치합니다.\[SEC=UNOFFICIAL\] |
비공식 |
정책 이름: 들어오는 공식 Email 레이블 지정
이 정책은 공식으로 표시된 항목이 공식 민감도로 잘못 레이블이 지정되지 않도록 해야 합니다. 이 작업을 수행하려면 이메일 제목에서 x-headers 및 닫는 대괄호()에 대해 RegEx 피연산자(?!\])가 아님을 사용합니다.
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| OFFICIAL x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=OFFICIAL(?![-: ]Sensitive) |
관 |
| 공식 제목 확인 | 제목은 패턴과 일치합니다.\[SEC=OFFICIAL\] |
관 |
정책 이름: 들어오는 공식 중요 Email 레이블 지정
이 정책은 추가 IMM(개인 정보 보호 등)으로 표시된 항목 또는 주의 사항이 공식 민감도로 잘못 레이블이 지정되지 않도록 해야 합니다. 이렇게 하려면 제목에서 x 헤더 및 닫는 대괄호(\])에 적용된 IM 또는 주의 사항을 찾습니다.
이 예제에서는 이 권장 구성에서 공식 민감도와 함께 사용하기 위해 정의된 유일한 주의 사항이므로 NATIONAL CABINET에 대한 주의 사항을 확인합니다. organization 분류에 다른 주의 사항을 사용하는 경우 수신된 항목에 올바른 레이블이 적용되도록 식에서도 주의해야 합니다.
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| OS x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : OFFICIAL[:\- ]\s?Sensitive(?!, ACCESS)(?!, CAVEAT=SH[-: ]NATIONAL[- ]CABINET) |
공식 민감도 |
| OS 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=OFFICIAL[-: ]Sensitive\] |
공식 민감도 |
정책 이름: 들어오는 공식 중요한 개인 정보 보호 Email 레이블 지정
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| OS PP x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Personal-Privacy |
공식 중요한 개인 정보 |
| OS PP 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Personal-Privacy |
공식 중요한 개인 정보 |
정책 이름: 들어오는 공식 중요한 법적 권한 Email 레이블 지정
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| OS LP x 헤더 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legal-Privilege |
공식 중요한 법적 권한 |
| OS LP 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Legal-Privilege |
공식 중요한 법적 권한 |
정책 이름: 들어오는 공식 민감한 입법 비밀에 레이블 지정
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| OS LS x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legislative-Secrecy |
공식 민감한 입법 비밀 |
| OS LS 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Legislative-Secrecy |
공식 민감한 입법 비밀 |
정책 이름: 들어오는 공식 중요한 국가 내각에 레이블 지정
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| OS NC x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, CAVEAT=SH[-: ]NATIONAL[- ]CABINET |
공식 민감한 국가 내각 |
| OS NC 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=OFFICIAL[-: ]Sensitive(?:,)? CAVEAT=SH[-: ]NATIONAL[- ]CABINET |
공식 민감한 국가 내각 |
정책 이름: 들어오는 PROTECTED Email 레이블 지정
이 정책은 추가 IMM 또는 주의 사항으로 표시된 항목이 PROTECTED로 잘못 레이블이 지정되지 않도록 합니다. 이렇게 하려면 제목에서 x 헤더 및 닫는 대괄호(\])에 적용된 IM 또는 주의 사항을 찾습니다.
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| PROTECTED x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=PROTECTED(?!, ACCESS)(?!, CAVEAT=SH[-: ]CABINET)(?!, CAVEAT=SH[-: ]NATIONAL[- ]CABINET) |
보호 |
| 보호된 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=PROTECTED\] |
보호 |
정책 이름: 들어오는 보호된 개인 정보 보호 Email 레이블 지정
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| PROTECTED PP x-header 확인 | 제목은 패턴과 일치합니다.X-Protective-Marking : SEC=PROTECTED(?:,)? ACCESS=Personal-Privacy |
보호된 개인 정보 |
| PROTECTED PP 주체 확인 | 헤더는 패턴과 일치합니다.\[SEC=PROTECTED(?:,)? ACCESS=Personal-Privacy |
보호된 개인 정보 |
정책 이름: 들어오는 보호된 법적 권한 Email 레이블 지정
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| PROTECTED LP x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=PROTECTED(?:,)? ACCESS=Legal-Privilege |
보호된 법적 권한 |
| 보호된 LP 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=PROTECTED(?:,)? ACCESS=Legal-Privilege |
보호된 법적 권한 |
정책 이름: 들어오는 보호된 입법 비밀 Email 레이블 지정
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| PROTECTED LS x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=PROTECTED(?:,)? ACCESS=Legislative-Secrecy |
보호된 입법 비밀 |
| 보호된 LS 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=PROTECTED(?:,)? ACCESS=Legislative-Secrecy |
보호된 입법 비밀 |
정책 이름: 들어오는 PROTECTED CABINET Email 레이블 지정
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| P C x 헤더 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=PROTECTED, CAVEAT=SH[-: ]CABINET |
보호된 캐비닛 |
| PROTECTED C 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=PROTECTED(?:,)? CAVEAT=SH[-: ]CABINET |
보호된 캐비닛 |
정책 이름: 들어오는 보호된 국가 캐비닛 Email 레이블 지정
| 규칙 이름 | 조건 | 적용할 레이블 |
|---|---|---|
| P NC x-header 확인 | 헤더는 패턴과 일치합니다.X-Protective-Marking : SEC=PROTECTED, CAVEAT=SH[-: ]NATIONAL[- ]CABINET |
보호된 국가 내각 |
| P NC 주체 확인 | 제목은 패턴과 일치합니다.\[SEC=PROTECTED(?:,)? CAVEAT=SH[-: ]NATIONAL[- ]CABINET |
보호된 국가 내각 |
SIT 기반 자동 레이블 지정은 SIT를 확인하는 규칙의 조언에 따라 만들어집니다.
휴지 상태의 기존 항목 레이블 지정
자동 레이블 지정 정책은 보호 표시 또는 중요한 정보를 위해 OneDrive 및 SharePoint 위치(Teams 기본 팀 사이트 포함)에 있는 항목을 검색하도록 구성할 수 있습니다. 정책은 특정 사용자의 개별 OneDrive 위치, SharePoint 사이트 집합 또는 전체 서비스를 대상으로 할 수 있습니다.
중요한 정보 식별에서 도입된 각 정보 식별 방법을 찾도록 정책을 구성할 수 있습니다. 다음이 포함되어 있습니다.
- 미리 빌드된 SIT(예: 호주 개인 정보 보호법 또는 호주 건강 기록법과 관련된 정보 식별을 위해 Microsoft에서 만든 SIT).
- 정부 또는 organization 특정 정보(예: 정리 ID, FOI(정보의 자유) 요청 번호 등)를 식별하기 위해 만들 수 있는 사용자 지정 SID입니다.
- 정보의 실제 내보내기를 기반으로 생성된 정확한 데이터 일치 SIT입니다.
- 중요한 정보를 정확하게 식별할 수 있는 미리 빌드된, 사용자 지정 및/또는 정확한 데이터 일치 SIT의 조합입니다.
문서 속성, 파일 확장명 또는 문서 이름을 기반으로 항목을 식별하도록 구성할 수 있는 새로 릴리스된 컨텍스트 조건자 기능도 있습니다. 이러한 조건자는 일반적으로 항목에 문서 속성을 적용하는 비 Microsoft 분류 도구를 통해 적용된 분류를 고려하려는 조직에 유용합니다. 컨텍스트 조건자에 대한 자세한 내용은 Microsoft Purview Information Protection 가장 중요한 데이터를 검색하고 보호하는 방법을 참조하세요.
이러한 기능에 대한 기본 사용 사례는 기존 정보에 올바른 레이블이 적용되었는지 확인하는 것입니다. 이렇게 하면 다음이 보장됩니다.
- 온-프레미스 위치에서 업로드된 것을 포함한 레거시 정보는 Microsoft Purview의 레이블 기반 컨트롤을 통해 보호됩니다.
- 기록 분류 또는 비 Microsoft 도구를 통해 표시된 파일에는 레이블이 적용되므로 레이블 기반 컨트롤로 보호됩니다.
SharePoint 기반 정책 구성
SharePoint 기반 자동 레이블 지정 정책은 Information Protection 정책 자동 레이블 지정 정책에 > 따라 Microsoft Purview 규정 준수 포털 > 내에서 구성됩니다.
정책은 SharePoint 기반 서비스를 대상으로 해야 합니다. 자동 적용된 각 민감도 레이블에 정책이 필요하므로 정책의 이름을 적절하게 지정해야 합니다. 예를 들어 'SPO - 공식 중요한 PP 항목에 레이블을 지정합니다.'
정책은 표시된 항목을 식별하기 위해 생성된 사용자 지정 SID를 사용할 수 있습니다. 예를 들어 다음 레지스트리 식을 포함하는 SIT는 문서의 위쪽과 아래쪽에 적용되는 텍스트 기반 시각적 표시 또는 이메일 제목 표시에 의해 적용되는 공식 중요한 개인 정보 보호 표시를 식별합니다.
OFFICIAL[:\- ]\s?Sensitive(?:\s|\/\/|\s\/\/\s|,\sACCESS=)Personal[ -]Privacy
상용구 호주 정부 표시와 일치하는 전체 SID 세트가 보호 표시를 감지하는 SIT 구문 예제에 제공되었습니다.
자동 레이블 지정 정책에는 콘텐츠에 포함된 조건, 중요한 정보 유형*이 포함된 규칙과 보호 표시에 맞춰 맞춤된 SIT가 포함됩니다.
만든 후에는 이 정책이 시뮬레이션 모드에서 실행되므로 관리자가 자동화된 레이블 적용 전에 구성의 유효성을 검사할 수 있습니다.
일단 사용하도록 설정되면 정책은 레이블을 적용하는 백그라운드에서 작동하며, 하루에 최대 25,000개의 사무실 문서까지 작동합니다.
SharePoint 기반 자동 레이블 지정 정책 예제
다음 시나리오 및 예제 구성은 모든 항목이 적절한 데이터 보안 컨트롤의 scope 내에 있는지 확인하여 정보 위험을 완화합니다.
자동 레이블 지정 사후 민감도 레이블 지정 배포
organization 민감도 레이블 지정을 배포한 후 해당 시점부터 만든 모든 문서에는 민감도 레이블이 적용됩니다. 이는 필수 레이블 지정 구성 때문입니다. 그러나 이 시점 이전에 만든 항목은 위험에 노출됩니다. 이 문제를 해결하기 위해 조직은 문서에 적용된 표시를 찾는 자동 레이블 지정 정책 집합을 배포할 수 있습니다. 민감도 레이블과 일치하는 표시가 식별되면 정책은 이 레이블 지정 작업을 완료합니다.
이러한 자동 레이블 지정 정책 예제에서는 SIT 구문 예제에 정의된 SID를 사용하여 보호 표시를 검색합니다. 자동 레이블 지정 정책은 포함되는 콘텐츠 조건,중요한 정보 유형을 포함해야 하며 정책 레이블에 맞춤된 SIT를 포함해야 합니다.
| 정책 이름 | 앉다 | 민감도 레이블 |
|---|---|---|
| SPO - 비공식 항목 레이블 지정 | 비공식 정규식 SIT | 비공식 |
| SPO - 공식 항목 레이블 지정 | 공식 Regex SIT | 관 |
| SPO - 공식 중요한 항목에 레이블 지정 | 공식 중요 Regex SIT | 공식 민감도 |
| SPO - 공식 중요한 PP 항목에 레이블 지정 | 공식 중요한 개인 정보 보호 Regex SIT | 공식 중요한 개인 정보 |
| SPO - 공식 중요한 LP 항목에 레이블 지정 | 공식 중요한 법적 권한 Regex SIT | 공식 중요한 법적 권한 |
| SPO - 공식 중요한 LS 항목에 레이블 지정 | 공식 민감한 입법 비밀 Regex SIT | 공식 민감한 입법 비밀 |
| SPO - 공식 중요한 NC 항목에 레이블 지정 | 공식 민감한 국가 내각 Regex 앉아 | 공식 민감한 국가 내각 |
| SPO - PROTECTED 항목 레이블 지정 | PROTECTED Regex SIT | 보호 |
| SPO - PROTECTED PP 항목 레이블 지정 | 보호된 개인 정보 보호 Regex SIT | 보호된 개인 정보 |
| SPO - PROTECTED LP 항목에 레이블 지정 | PROTECTED Legal Privilege Regex SIT | 보호된 법적 권한 |
| SPO - PROTECTED LS 항목 레이블 지정 | 보호된 입법 비밀 Regex SIT | 보호된 입법 비밀 |
| SPO - PROTECTED NC 항목 레이블 지정 | 보호 된 국가 내각 Regex 앉아 | 보호된 국가 내각 |
| SPO - PROTECTED C 항목 레이블 지정 | 보호된 캐비닛 Regex SIT | 보호된 캐비닛 |
기록 분류를 사용하여 항목 자동 레이블 지정
기록 표시를 기반으로 하는 권장 사항에서 설명한 것처럼 호주 정부 표시 요구 사항은 때때로 변경됩니다. 2018년에는 PSPF 요구 사항이 간소화되었으며, 여기에는 여러 DLLM(보급 제한 표식)을 단일 '공식: 중요한' 표시로 통합하는 것이 포함되었습니다. PSPF 정책 8 부속서 E는 현재 처리 요구 사항과 함께 기록 분류 및 표시의 전체 목록을 제공합니다. 이러한 기록 DLLM 중 일부는 현재 프레임워크에 동일한 표시가 있습니다. 다른 사항은 적용되지 않지만 처리 요구 사항은 여전히 적용됩니다. 레이블은 조직이 처리 요구 사항을 충족할 수 있도록 지원하는 데 유용할 수 있습니다.
이 방법에는 두 가지 가능한 방법이 있습니다.
- 기록 레이블에 해당하는 최신 레이블을 적용합니다.
- 기록 레이블을 투명하게 구현합니다. 정보를 보호하기 위해 DLP 및 기타 정책을 포함하지만 사용자에게 레이블을 게시하지 않습니다.
이러한 방법 중 첫 번째 방법을 구현하려면 기록과 organization 현재 표시에 부합하는 매핑 전략을 개발해야 합니다. 이 맞춤은 모든 표시가 현재 동등한 것은 아니며 일부 표시는 정부 조직에서 기존 항목에 IMM을 적용해야 하는지 여부를 결정하도록 요구하기 때문에 복잡할 수 있습니다. 다음 표는 예제로만 제공됩니다.
| 기록 표시 | 민감도 레이블 |
|---|---|
| 공식 사용 전용(FOUO) | 공식 민감도 |
| 중요 | 공식 민감도 |
| 중요: 법적 | 공식 중요한 법적 권한 |
| 중요: 개인 | 공식 중요한 개인 정보 |
| 중요: 캐비닛 | 보호된 캐비닛 |
조직에서 매핑을 정의한 후 기록 표시를 식별하기 위해 SIT를 만들어야 합니다. 'FOUO(공식 사용 전용)'와 같은 표시의 경우 이 용어를 포함하여 키워드(keyword) SIT를 만드는 것만큼 간단합니다. 그러나 이 방법은 수많은 가양성으로 발생할 가능성이 있는 '민감성'과 같은 덜 설명적인 표시에는 적합하지 않을 수 있습니다.
정부 조직은 레거시 데이터를 평가하여 고지 사항, 문서 속성 또는 기록 항목에 있을 수 있는 기타 표식과 같은 기록 표시를 보다 정확하게 식별하는 데 사용할 수 있는 다른 특성이 있는지 확인해야 합니다.
레거시 데이터 분석, 표시된 항목을 식별하는 SID 만들기 및 자동 레이블 지정 정책 배포에 따라 관리자는 시뮬레이션을 실행하여 레이블 애플리케이션 정확도 및 완료 예상 기간을 결정할 수 있습니다. 그러면 애플리케이션을 레거시 파일에 자동으로 레이블을 지정하여 백그라운드에서 실행하여 Microsoft 365 조직 관리자가 모니터링할 수 있습니다.
정부 기계 변경에 따른 자동 레이블 지정
MoG(정부 기계) 변경에는 일반적으로 정부 기관 간의 책임 및 자원 이동이 포함됩니다. 함수가 한 organization 다른 함수로 이동하는 경우 해당 함수와 관련된 정보에서도 인계가 필요한 것이 일반적입니다. 민감도 레이블은 단일 Microsoft 365 환경 내에서만 관련이 있으므로 항목이 두 번째 organization 전달될 때 적용된 레이블은 전달되지 않습니다. 보호 표시는 여전히 적용되지만 레이블 기반 DLP 및 데이터 잘못된 위치 경고와 같은 컨트롤은 미끄러질 수 있습니다. 이 문제를 해결하기 위해 외부 원본에서 받은 콘텐츠에 대해 자동 레이블 지정 정책을 실행하여 항목의 기존 보호 표시에 따라 올바른 레이블이 적용되도록 할 수 있습니다.
이를 달성하기 위한 구성은 자동 레이블 지정 후 민감도 레이블 지정 배포에 설명된 것과 동일합니다. 유일한 예외는 정책이 수신된 항목이 저장되는 특정 위치를 대상으로 한다는 것입니다.