澳大利亚政府符合 PSPF 的敏感度标签分类
本文为澳大利亚政府组织提供有关与数据安全分类保持一致的所需敏感度标签的指导。 其目的是帮助组织决定适当的敏感度标签分类,以部署到其Microsoft 365 环境。 本文中的建议与保护性安全策略框架 (PSPF) 策略 8:敏感信息和机密信息保持一致。
澳大利亚政府组织需要在部署该功能之前确定适当的敏感度标签分类。 所需标签因组织使用的信息类型而异。
标准配置
典型的标签要求包括安全分类的组合,通常与信息管理标记 (IMM) 和/或警告结合使用。 具有高合规性成熟度的组织也可能包含标签,以满足各种数据安全要求。 例如,应用 Azure Rights Management 加密以确保只有授权用户才能访问项的标签。
以下示例演示澳大利亚政府组织的基本标记:
| 标记或分类 | 信息管理标记 | 警告 |
|---|---|---|
| 非官方 官方 官方:敏感 保护 |
个人隐私 法律特权 立法保密 |
内阁 国家内阁 |
标签是单一的,只能将一个标签应用于项目或位置。 这三个项的任何必需组合都需要组合成单一标签以满足要求。 例如,如果需要将某个项分类为 PROTECTED,并且它还包含 CABINET 信息,则需要提供包含这些元素的单个标签:受保护的内阁。
以下示例演示澳大利亚政府组织的基本标签。 此列表结合使用父标签 (类别) 和子标签:
- 非官方
- 官方
- 官方敏感 (类别)
- 官方敏感
- 官方敏感个人隐私
- 官方敏感法律特权
- 官方敏感立法保密
- 官方敏感国家内阁
- 受保护的 (类别)
- 保护
- 受保护的个人隐私
- 受保护的法律特权
- 受保护的立法保密性
- 受保护的 CABINET
具有更复杂要求的政府组织需要额外的标签。 与技术限制相比,组织想要部署的最大标签数更与可用性约束相关。 但是,每个组织只能创建 500 个标签。
使用上一个列表中的子标签是为了改善用户体验,但对标签行为也有一些有益的影响。 例如,当用户在子标签之间更改时,不会触发标签 更改理由 。 这允许用户应用不同的 IMM、警告或安全控制措施,并且仅在他们尝试通过移出标签类别来降低应用的安全分类时触发理由。
在官方工作的组织
澳大利亚政府组织能够配置其Microsoft 365 环境,以将信息存储到 PROTECTED。
有关 Microsoft Infosec 注册评估程序计划 (IRAP) 文档,请参阅 Microsoft 服务信任门户。
许多澳大利亚政府组织有意限制他们允许在租赁中存储的数据的最大敏感度,这反过来又减少了其他要求。 例如,员工许可可以维持在足以满足所保存数据的较低级别。
使用多个 IMM
一些澳大利亚政府组织利用分类,允许对每个项目应用多个信息管理标记 (IMM) 。 例如:“官方:敏感立法保密个人隐私”。 虽然可以实现这种类型的配置,但应考虑要求,特别是:
- IMM 派生自澳大利亚政府记录保留元数据标准 (AGRkMS) 其中指定可以应用 单个 IMM 值。
- 保护性安全策略框架 (PSPF) 策略 8 指出 IMM 是 可选的。
Microsoft的建议是尽可能简单。 只有部署组织实际需要的标签才能改善用户体验,因为用户需要导航的标签更少。 使用较小的分类也简化了管理,因为要维护的配置更少,尤其是在 DLP 和自动标记策略之间。
考虑使用多个 IMM 组合的组织应考虑以下潜在并发症:
- 自动标记复杂:应用了多个 IMM 的项目更难通过自动标记进行匹配,因为用于解释主题标记的表达式或 x 标头需要能够通过 基于服务的自动标记建议中讨论的策略来适应它们。
- 主题长度:Email客户端通常会截断或难以查看较长的电子邮件主题。 在对单个电子邮件应用了多个标记的情况下,用户可能不知道 IMM 或警告标记,因为它们不可见。
- X 标头长度:标记 策略 中讨论的 X-Protected-标记 x 标头用于将分类元数据应用于电子邮件。 应用于电子邮件的元数据量取决于几个因素,包括使用的电子邮件客户端。 将多个 IMM 应用于电子邮件的组织可能会超过允许的 x 标头长度,从而导致某些分类元数据被截断。
如果需要多个标签,请确保对组织而言从最低到最重要的元素进行排序。 例如:
- 安全分类
- 如有必要) (警告
- 最敏感的 IMM
- 不太敏感的 IMM
在 PROTECTED 工作的组织
Microsoft 365 的评级为能够将数据保留到受保护状态并包含 PROTECTED。
有关 Microsoft Infosec 注册评估程序计划 (IRAP) 文档,请参阅 Microsoft 服务信任门户。
超出受保护级别的信息的标签
保存 SECRET 和更高数据的组织需要利用本地 enclave。 组织必须实施网络隔离和各种其他措施,以阻止此信息离开 enclave。 如果包含 SECRET 标记的项目出现在 Microsoft 365 位置,则此事件要求组织 IT 安全顾问 (ITSA) 来执行数据溢出管理。 ASD 提供了有关如何管理修正活动的指南,请参阅 ASD 数据溢出管理指南
政府组织应为其Microsoft 365 服务中不应驻留的信息实施标签。 但是,这些标签不是由用户直接应用,而是用于帮助自动识别不应在平台上的项目。 这可帮助安全团队执行识别和修正活动。
此类型的标签因组织而异,但应包括:
- 对于在其租户中处理最高数据的组织受保护的 ()
- 秘密
- 绝密
根据 ISM-0272,这些标签不应发布到用户,就像服务无权托管此类信息一样,用户不应将标签应用于项目:
| 要求 | 详情 |
|---|---|
| ISM-0272 (2024 年 6 月) | 保护性标记工具不允许用户选择系统无权处理、存储或通信的保护性标记。 |
注意
未发布的标签 是指未发布到最终用户的标签。 为了使标签能够被自动标记服务考虑,需要将其发布到单个用户,例如 管理帐户。
在 Microsoft 365 平台中需要高度敏感数据的高级 DLP(例如通过电子邮件或共享)的组织可以使用“未发布的标签”分层额外的安全措施,包括:
- 自动标记策略,用于通过传入电子邮件 x 标头或主题标记标识项目 (类似于 在传输) 期间标记电子邮件 时讨论的标记。
- 用于跨 SharePoint、OneDrive 和 Teams 位置标识静态项的自动标记策略 (类似于 标记现有静态项目) 。
- DLP 策略,用于阻止共享或电子邮件分发已标识的内容 (类似于 防止安全机密信息) 不当分发 。
- 阻止初始接收和/或任何进一步分发内容 (的 DLP 策略,如 阻止传输非授权分类) 中所述。
- 报告功能,用于识别何时将高度敏感项移动到较低敏感度位置 (,如 数据不就位警报) 。
- Defender for Cloud Apps防止将识别项上传到非Microsoft云服务的功能 (,如防止将安全分类项上传到非托管位置) 中所述。
具有不同标签分类的组织标签
一些澳大利亚州政府,如新南威尔士州和昆士兰州,利用的分类与PSPF政策8不完全一致。 这可能会给联邦政府组织如何解释它们从州政府收到的信息的敏感性带来一些挑战。 与外国政府相对应的联邦政府组织也面临着类似的挑战,因为分类不太可能一致。
组织与之通信的外部组织应用的数据安全框架和标准与标签分类高度相关。 可以通过以下方法使用外部标记:
外部组织应用的标记可以转换为租户等效项
例如,如果某个项应用了“QLD 政府敏感”标记,则联邦政府组织收到该项目,则标记提供有关该项目敏感度的有用信息。 用户可以对项目应用“官方敏感”标签,使其进入租户基于标签的保护范围。 或者,可以将自动标记配置为自动将此 QLD 标记映射到官方敏感标签。
组织可以维护外部分类,并在信息是信息的保管人时对其进行适当的保护
Microsoft Purview 可以配置一组与外部分类保持一致的“未发布标签”,而不是重新分类不符合环境的敏感度标签的项。 标签感知客户端中的用户无需选择这些标签。 相反,他们可以应用基于服务的自动标记。 标记收到的项目后,系统不会提示用户对其应用标签。 标签还可以与一组 DLP 和其他控件保持一致,以确保包含的信息不会不当披露。
应与组织一起进行标签配置,这些组织与分类术语中的一致性目标进行交互,因为这样可以简化配置。 如果这无法实现,则就分类等效性达成一致可提供下一个最佳结果。 应避免的情况是完全忽略外部标记,因为这可能会引发数据安全事件,例如数据泄漏。
- 推荐的分类对齐 (最佳做法)
- 如果不能) 选项 1,则建议 (分类等效性
- 分类忽略 (不建议这样做,这会增加数据溢出) 的风险
注意
在政府机构与外国政府互动的地方, PSPF 政策 7 - 国际共享安全治理 提供了详细的指导。
下表是如何使用自动标记实现未发布的标签以维护外部组织应用的标记的示例。 该示例显示了一组 PSPF 标签,其中大部分标签显示为官方敏感父标签的子标签。 在此父标签下,用户可以选择包含与 NSW 和 QLD 等效信息管理标记一致的标签, (IMM) :
| PSPF 标签 (发布到所有用户) |
新南威尔士州政府 (未发布的标签) |
QLD 政府 (未发布的标签) |
|---|---|---|
| 非官方 官方 官方:敏感 - 官方:敏感 - 官方:敏感个人隐私 - 官方:敏感法律特权 - 官方:敏感立法保密 - 官方:敏感国家内阁 |
- 官方敏感新南威尔士州内阁 - 官方敏感法律 - 官方敏感执法 - 官方敏感运行状况信息 - 官方敏感个人 - 官方敏感新南威尔士州政府 |
-灵敏 |
上述方法的优点是:
- 标有新南威尔士州或 QLD 标签的信息受益于官方:敏感数据就地警报 (在 数据异地警报) 中进一步解释,这些警报有助于防止数据移动到可能不恰当披露的位置。
- NSW 或 QLD 子标签包含在官方:敏感 DLP 和Defender for Cloud Apps策略中,防止组织 (进行不当披露,如防止安全机密信息) 不当分发中所述。
- 数据标识服务(如 内容资源管理器)可用于识别国有或生成的敏感信息可能驻留在 Microsoft 365 服务1 中的位置。
注意
1 此配置是高级配置,建议对熟悉 Microsoft Purview 的组织使用。
Azure Rights Management 加密
Azure Rights Management 用于确保只有经过授权的用户才能访问应用了标签的内容。
有关设置 Azure Rights Management 加密的信息,请参阅 如何设置消息加密
下面是适用于澳大利亚政府的示例。
- 标记为 “仅限内部” 的子标签可用于允许用户将项目限制为仅内部用户。
- “仅收件人”的子标签可用于确保电子邮件无法转发给未经授权的收件人。
- 仅项目 Budgerigar 的子标签可用于确保只有需要了解 Project Budgerigar 和相关信息的用户子集可以访问项。
将这些标签和关联的控件与一组基本的 OFFICIAL:敏感标签一起使用,拓扑结果是:
- 官方:敏感
- 官方:仅限敏感内部
- 官方:仅限敏感收件人
- 官方:仅敏感项目布杰里加
- 官方:敏感 (无保护)
- 官方:敏感个人隐私
- 官方:敏感法律特权
- 官方:敏感立法保密
- 官方:敏感国家内阁
前面的示例存在一些明显的挑战,包括:
- 标签列表要长得多,这可能会影响可用性。
- 额外的标签会导致关联服务(如 DLP)中的配置要求增加,从而增加复杂性。
- 前面的一组标签选项要求用户决定是应用 IMM、CAVEAT 还是加密配置,这会带来问题。
在这种情况下,加密提供的保护应是重中之重。 根据 PSPF,IMM 被视为可选,因此应被视为低优先级。 警告,如国家内阁,可能比IMM更重要,不应省略。 这可能会导致额外的标签要求,因为组织寻求对项目应用更新的保护。
该示例演示标签要求可能会随着时间推移而增长。 从一大组标签开始,将来会更加复杂。 Microsoft建议将已发布的标签限制为用户所需的核心集,并省略组织不太可能需要的任何 IMM 和注意事项组合。 通过将用户限制为核心集,它允许配置扩展空间,而不会影响可用性或复杂性。