自动应用敏感度标签,确保澳大利亚政府符合 PSPF
本文为澳大利亚政府组织提供有关敏感度自动标记的指导。 其目的是帮助政府组织提高其安全性和合规性成熟度,同时遵守 保护性安全策略框架 (PSPF) 和 信息安全手册 (ISM) 中所述的要求。
自动标记使用敏感信息类型等功能 (SCT) 和可训练的分类器来标识项中的标记或敏感信息。 在标识后,服务会建议或自动将标签应用于检测到信息的项。 标签有助于确保包含的信息受到充分保护。 Microsoft Purview 有两种类型的敏感度自动标记: 基于客户端的自动标记 和 基于服务的自动标记。 自动标记概念可以通过Microsoft Purview 信息保护扫描程序扩展到本地位置。 它们还可以通过 Azure 数据映射应用于数据库或和存储服务。
与自动标记相关的澳大利亚政府要求包括:
| 要求 | 详情 |
|---|---|
| PSPF 策略 8 要求 2 a.i. - 评估敏感和安全机密信息 (v2018.6) | 若要决定采用哪种安全分类,发起人必须评估官方信息的价值、重要性或敏感性,并考虑如果信息的机密性受到损害,可能会对政府、国家利益、组织或个人造成损害。 |
| ISM 安全控制:0271 (2024 年 6 月) | 保护性标记工具不会自动将保护性标记插入电子邮件中。 |
PSPF 和 ISM 都指出,人员应负责将标签应用于项目的决定,而不是自动化服务。 但是,在现代工作环境中,服务和基于客户端的自动标记相结合,使政府组织受益,并降低风险在以下情况下:
- 用户帮助:基于客户端的自动标记可检测敏感信息或安全标记,并向有代理做出决策的用户推荐最合适的标签。 有关实现用户帮助的详细信息,请参阅 基于客户端的自动标记。
- 遵守外部标记:基于服务的自动标记可以遵循外部组织应用于项的安全分类。 遵守外部标记会将收到的文档和电子邮件置于组织的数据安全控制范围内。 它还允许组织遵守原始组织应用的分类。 有关详细信息,请参阅 基于外部组织标记的建议。
- 基于系统的标签:基于服务的自动标签遵循系统生成的标签,例如,向员工发送工资单电子邮件,详细说明人力资源系统中的工资单。 有关实现的详细信息,请参阅 基于系统标记的建议 以及如何 为 SharePoint 文档库配置默认敏感度标签。
- 旧项目对齐方式:基于服务的自动标记通过标记或文档属性应用于旧项目来检测安全分类,并将项目置于当前安全控制范围内。 以这种方式使用时,自动标记可确保新式控件保护任何旧项目,从而增强数据丢失防护 (DLP) 和其他安全配置。 有关如何在政府组织中实现的详细信息,请参阅 基于历史分类的建议。
注意
当自动标记检测到多个匹配项时,与最高敏感度内容的匹配项是应用或推荐的匹配项,确保项目分类不足。 有关详细信息,请参阅 标签优先级。
具有敏感度自动标记的组织提高了标签准确性。 标签准确性有助于确保信息在相关控制范围内,并增强组织满足 PSPF 策略 8 核心要求 C 的能力:
| 要求 | 详情 |
|---|---|
| PSPF 策略 8 核心要求 C | 为这些信息持有与其价值、重要性和敏感度成正比的操作控制 |
此类功能被视为主动将保护性安全要求集成到业务实践中,这与保护安全策略框架 ( (PSPF) 评估报告) 中讨论的 PSPF 成熟度模型的嵌入式级别一致。