自動套用敏感度標籤以符合澳大利亞政府與 PSPF 的規範
本文提供澳大利亞政府組織敏感度自動套用標籤的指引。 其目的是協助政府組織提高其安全性和合規性成熟度,同時遵循保護 安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中所述的需求。
自動套用標籤會使用敏感性資訊類型 (SIT) 和可訓練分類器等功能來識別專案內的標記或敏感性資訊。 在識別之後,服務會建議或自動將標籤套用至偵測到資訊的專案。 標籤有助於確保包含的資訊受到充分保護。 Microsoft Purview 有兩種類型的敏感度自動套用標籤: 以客戶端為基礎的自動套用標籤 和 服務型自動套用標籤。 自動套用標籤的概念可以透過 Microsoft Purview 資訊保護 掃描器延伸至內部部署位置。 它們也可以透過 Azure 資料對應套用至資料庫或記憶體服務。
與自動套用標籤相關的澳大利亞政府需求如下:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 需求 2 a.i. – 評估 v2018.6 (機密和安全性分類資訊) | 若要決定要套用哪些安全性分類,寄件人必須藉由考慮在資訊的機密性遭入侵時,可能會對政府、國家利益、組織或個人造成損害,來評估官方信息的價值、重要性或敏感度。 |
| ISM 安全性控制:2024 年 6 月 (0271) | 保護標記工具不會自動在電子郵件中插入保護標記。 |
PSPF 和 ISM 都指出人員應該負責將標籤套用至項目的決策,而不是自動化服務。 不過,在現代化工作環境中,服務和用戶端型自動套用標籤結合可讓政府組織受益,並在下列情況下降低風險:
- 用戶協助:以用戶端為基礎的自動套用標籤會偵測敏感性資訊或安全性標記,並將最適當的標籤建議給具有機構進行決策的使用者。 如需實作使用者協助的詳細資訊,請參閱 以客戶端為基礎的自動套用標籤。
- 接受外部標記:服務型自動套用標籤可以接受外部組織套用至專案的安全性分類。 接受外部標記會在您組織的數據安全性控制範圍內帶入已接收的文件和電子郵件。 它也可讓您的組織接受原始組織所套用的分類。 如需詳細資訊,請 參閱以外部組織標記為基礎的建議。
- 系統型標籤:以服務為基礎的自動套用標籤會接受系統所產生的標籤,例如,向員工發出薪資電子郵件,詳細說明其從 HR 系統支付的薪資。 如需實作的詳細資訊,請 參閱根據系統標記 的建議,以及 如何設定 SharePoint 文檔庫的預設敏感度標籤。
- 舊版專案對齊方式:服務型自動套用標籤會透過套用至舊版專案的標記或文檔屬性來偵測安全性分類,並將專案帶入目前安全性控件的範圍內。 以這種方式使用時,自動套用卷標可確保任何舊版專案受到新式控件的保護,藉此強化數據外泄防護 (DLP) 和其他安全性設定。 如需如何在政府組織中實作的詳細資訊,請參閱 根據歷史分類的建議。
注意事項
當自動套用標籤偵測到多個相符專案時,與最高敏感度內容對齊的相符專案就是針對專案套用或建議的相符專案,確保專案不會被歸類過小。 如需詳細資訊,請參閱 標籤優先順序。
已備妥敏感度自動套用標籤的組織已提高標籤精確度。 卷標精確度有助於確保資訊在相關控件的範圍內,並強化組織符合 PSPF 原則 8 核心需求 C 的能力:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 核心需求 C | 針對這些資訊實作作業控制與其價值、重要性和敏感度成正比 |
這類功能會被視為 主動將保護安全性需求整合到商務實務中,這符合 PSPF 成熟度模型的 內嵌 層級, (保護 安全策略架構 (PSPF) 評定報告) 中所討論。