Microsoft Purview 信息保护澳大利亚政府符合 PSPF 的计划方法

本文作为澳大利亚政府信息保护指南的一部分提供，旨在帮助组织浏览指南中探索的方案和配置选项的范围。本文中详述的方法包括多个增量项目阶段，旨在帮助组织在完成计划阶段时快速改进其保护安全策略框架 (PSPF) 成熟度。

此处列出的方法还包括遵守信息安全手册 (ISM) 的关键数据安全控制。

第 1 阶段：Microsoft Purview 基础

第一阶段的目的是建立一组初始Microsoft Purview 配置，通过允许用户评估和标记敏感或安全机密信息，使组织能够满足 PSPF Policy 8 核心要求。第一阶段还实现一组基于敏感度保护信息的基本操作控制。

建议的包含项	Sections
建立符合 PSPF 策略 8 的标签分类，包括用户需要应用于项目的所有敏感度标签。	敏感度标签分类
敏感度标签配置和向用户部署标签功能。	敏感度标签配置敏感度标签策略
建立标记方法，包括向电子邮件应用 x-protection-标记 x 标头和主题标记的 DLP 策略。	Email标记策略
实施一组初始 DLP 策略，以监视或控制安全分类信息流， (包括非) 分类。	防止不当分发安全机密信息通过接收不当分类来防止数据溢出
实现与澳大利亚数据类型一致的模板化 DLP 策略，以帮助识别和保护敏感信息，而不考虑应用的敏感度标签。	利用 DLP 策略模板控制敏感信息的电子邮件
实现敏感信息类型 (SCT) ，以帮助根据应用的保护性标记识别信息。	用于检测保护性标记的示例 SIT 语法
实现自动标记配置，以识别应用于旧项目的保护性标记，并向用户推荐适当的标签。	基于外部机构标记的建议基于历史标记的建议
实现自动标记策略，以自动将敏感度标签应用于从外部实体接收的项目，其中应用的保护性标记与敏感度标签一致。这可确保 DLP 和其他基于标签的保护适用于收到的项，而不仅仅是那些在内部生成的项目。	在传输过程中标记电子邮件

实现用于更好地识别敏感信息并确保应用相关保护的功能。

建议的包含项	Sections
实现标签组和网站配置，以允许将控件应用于 SharePoint 网站和 Teams。	站点配置 & 敏感度标签组
实现标签会议和日历项配置，以通过日历扩展 PSPF 概念和数据安全控制。	日历项和 Teams 会议的敏感度标签
识别组织的关键信息资产，并建立识别其方法。这些方法可能需要使用高级分类器，包括自定义敏感信息类型、可训练的分类器、精确数据匹配和/或文档指纹。	自定义敏感信息类型精确数据与敏感信息类型匹配文档指纹识别可训练分类器
实现或增强 DLP 策略，以防止通过高级分类技术丢失已识别的敏感信息。	通过 DLP 控制自定义 SIT 的电子邮件限制包含敏感内容的外部聊天通过 DLP 控制敏感信息共享
实现自动标记策略，以基于敏感信息的检测推荐标签。	基于敏感内容检测推荐标签基于外部代理标记的 ecommendations
可能实现额外的敏感度标签以及所需的自动标记配置，以便在不重新分类的情况下维护其他司法管辖区应用的分类。	具有不同标签分类的组织标签

高级控制，可帮助确保合规性，并进一步防止敏感或安全机密信息的丢失。此阶段还可以包括将控件扩展到旧项目和位置。

建议的包含项	Sections
在敏感度标签部署之前已到位的网站、Teams 和组的标签。	SharePoint 位置和项敏感度 Teams 位置和项目敏感度
预先存在的项的标记，以使它们处于基于标签的控件的范围内。	标记现有静态项非 Microcoft 365 位置的自动标记
处理围绕标记或其他敏感项的潜在恶意活动 (流程和策略，例如内部风险管理、通信合规性、数据异地警报) 。	数据不就位警报使用内部风险管理监视敏感信息使用自适应保护控制敏感信息通过通信合规性监视外部聊天
实施基于标签的 Azure Rights Management 加密和策略，以确保高度敏感信息受到保护，而不会影响其他服务。	敏感度标签加密
通过 EndPoint DLP 和Defender for Cloud Apps) (将 DLP 策略和方法扩展到终结点和云服务。	阻止将安全分类项上传到非托管位置阻止下载或打印安全分类项目