適用於澳大利亞政府與 PSPF 合規性的用戶端型自動套用標籤建議
本文提供有關用戶端型敏感度自動套用標籤功能的指引給澳大利亞政府組織。 其目的是示範自動套用標籤如何協助改善數據安全性狀態,同時遵循保護 安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中所述的需求。
自動套用標籤觀詳細 數據,其中自動套用標籤適用於現代政府工作環境,並降低安全性風險。
在澳洲政府的內容中,以客戶端為基礎的自動套用標籤適用於根據下列專案建議標籤:
- 敏感性內容偵測
- 外部組織套用的標記
- 非Microsoft工具所套用的標記
- 歷程記錄標記
- 段落標記
用戶端型自動套用標籤是直接在敏感度標籤的組態中設定。 此自動套用標籤的方法適用於 Office 或線上用戶端,並以互動方式識別敏感性內容、通知使用者,然後:
- 自動套用與專案中偵測到最敏感性內容相關的敏感度標籤;或
- 建議使用者套用標籤。
PSPF 原則 8 需求 2 和 ISM 0271 清楚指出使用者應該負責將分類套用至專案,而不是自動化服務。 因此,應該將以客戶端為基礎的自動套用標籤設定為僅提供用戶建議:
| 需求 | 詳細資料 |
|---|---|
| 保護安全策略架構 (PSPF) 原則 8 需求 2 a.i. – 評估 v2018.6 版 (機密和安全性分類資訊) | 若要決定要套用哪些安全性分類,寄件人必須藉由考慮在資訊的機密性遭入侵時,可能會對政府、國家利益、組織或個人造成損害,來評估官方信息的價值、重要性或敏感度。 |
| ISM 安全性控制:2024 年 6 月 (0271) | 保護標記工具不會自動在電子郵件中插入保護標記。 |
在下列範例中,用戶會寫入 Project Budgerigar。 以客戶端為基礎的自動套用標籤動作觸發了偵測敏感性資訊類型 (SIT) 。 結果是在電子郵件頂端顯示以客戶端為基礎的自動套用標籤建議:
用戶端型自動套用標籤動作可以根據 SIT (的偵測來觸發,包括精確數據比對 SIT) 和可訓練分類器。 您也可以使用 SIT 和分類器的組合。
澳大利亞政府的用戶端型自動套用標籤案例
以客戶端為基礎的自動套用標籤可藉由識別分類過底的專案來協助保護敏感性資訊。 分類不足的信息對澳大利亞政府造成重大風險。 以客戶端為基礎的自動套用標籤可協助確保正確的標籤應用程式,並適當地標示和保護專案。 正確的標籤可確保只允許適當的資訊散發。
精確分類有助於確保維護需要知道的原則,並限制對資訊的存取。 這些概念與保護安全策略架構 (PSPF) 原則 9 需求 2 相關:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 9 需求 2 – 限制存取機密和分類資訊和資源 | 若要降低未經授權洩漏的風險,實體必須確保只有需要知道的人員才能存取機密和安全性分類資訊或資源。 |
根據敏感性內容偵測建議標籤
動態偵測敏感性內容,並建議使用者套用適當的標籤和標記,有助於確保需要知道。 它也可確保適當的保護已備妥,與專案的敏感度相關。 卷標建議仍可確保機構會與使用者一起保留,以進行決策。
如有需要,會使用用戶端型自動套用標籤來增加專案敏感度。 對於澳大利亞政府而言,這些優點特別出現在敏感度分類法的高層級。 針對包含子捲標) (的 OFFICIAL 敏感性和受保護標籤,組織應該編譯 SIT 清單,並將其與適當的標籤對齊。 例如:
| 標籤 | 坐 | 使用 |
|---|---|---|
| 官方敏感性個人隱私權 | 增強澳大利亞健康情況記錄法。 這個預先建置的 SIT 會嘗試識別下列專案: - TFN) (澳大利亞稅務檔案編號 - 我的健全狀況記錄 - 所有完整名稱 - 所有醫療條款和條件 - 澳大利亞實體位址 |
與個人相關的健康情況資訊會受到隱私權法案的保護,而且可能適合標記為「官方敏感性個人隱私權」。 |
| 官方機密機密機密密碼 | 包含關鍵字的「秘密關鍵詞」自定義 SIT,例如: - 「秘密密碼警告:」 |
如 PSPF 原則 8 中的建議,文字型警告通知應該放在與法律資訊相關的項目頂端和底部。 組織可能會透過文件範本或類似的方式來套用這些通知。 這些警告通知可用來識別專案,這些專案應該標示為「官方機密機密機密」標籤。 |
| 保護 | 與計劃相關聯的 Codeword 或程式代碼詞清單,這些計劃應將其資訊分類為 PROTECTED。 例如: - 'Project Budgerigar' 與主體相關的關鍵詞清單,這些關鍵詞可視為高度敏感,以及哪些資訊遺失可能會對政府造成損害或失去信賴。 例如: - 「數據外洩」 - 「高度敏感」 - 「違反法律」 - 「實務代碼」 - 「信任缺口」 |
關鍵詞清單可用來偵測包含分類專案、計劃、系統或應用程式相關信息的專案。 將對組織敏感的主題清單新增至 SIT 可讓Microsoft 365 提示使用者在偵測到關鍵詞時,增加套用至專案的敏感度標籤。 這樣做可協助用戶考慮需要知道,並允許將保護套用至專案,以防止不當散發資訊 (例如 DLP、加密和其他控件) 。 |
上表中所述的策略也可用來透過其他Microsoft 365 功能來尋找及處理敏感性資訊,例如:
根據外部機構標記的建議
本文件中討論的許多控件都是根據套用至專案的標籤來制定。 外部產生的資訊可能已備妥文字型保護標記,但可能未套用與貴組織相關的敏感度標籤。 其影響可能是專案未透過 DLP 原則受到保護而不會遺失數據,而且當專案儲存到較低的敏感度位置時,可能不會產生警示。
可能發生這種情況的情況包括:
- 當專案是由遵守 PSPF 的其他政府組織產生時。 在這些情況下,沒有設定,實體標記和/或標籤將無法與您自己的標籤。
- 當專案是由另一個未或只與 PSPF 架構部分一致的政府組織產生時, (例如,) 。
- 當專案由外部政府產生和分類時,可能會有或可能不會有澳大利亞分類等價專案。
為了避免遺失在其他地方產生但貴組織是其監管人的資訊,會使用用戶端型自動套用卷標來建議將對等標籤套用至專案。
這類設定會使用 SIT 來識別外部套用的標記或分類。 接著,這些 SIT 必須新增至相關敏感度標籤的自動套用標籤。
一些 SIT 可用來根據外部套用標記來建議標籤的範例包括:
| 標籤 | 坐 | 使用 |
|---|---|---|
| 官方敏感性 | OFFICIAL Sensitive Regex SIT | 識別標示為 OFFICIAL:敏感 但未套用 OFFICIAL 敏感性標籤的專案,包括其他組織產生的專案。 |
| 保護 | PROTECTED Regex SIT | 識別標示為 PROTECTED 但未套用 PROTECTED 標籤的專案。 |
| 官方敏感性 | 官方敏感性 – 美國政府機關 | 標示為 OFFICIAL Sensitive – 僅 供美國政府接收且由聯邦政府組織接收的資訊,預設不會加上標籤,因此未設定與 OFFICIAL 敏感 性安全性分類一致的保護。 當使用者修改時,將這些項目標示為 OFFICIAL Sensitive 有助於保護包含的資訊。 在該專案上仍會顯示由「}}「}}「}您所套用的視覺標記,讓您清楚知道該專案已在其他地方產生1。 |
| 官方敏感性 - 法律許可權 | 官方敏感性 – (GOV) 官方敏感性 – (GOV) 的執法機關 |
此設定可確保標示為任一個與之一的都是與 OFFICIAL ..機密法律 許可權一起處理的資訊,而該資訊則位於聯邦政府環境內。 |
| 秘密 | CONFIDENTIEL UE |
CONFIDENTIEL UE 是歐盟成員所使用的分類。
PSPF 原則 7 - 國際共用的安全性治理中提供的範例對應,表示此資訊應與 SECRET 一致處理。 偵測機密 UE 標記並套用 SECRET 標籤有助於確保能夠識別這類資訊,且可能與不應放置在 Microsoft 365 上的資訊卷標一起移除 |
注意事項
1 替代方法可能是在您的組織標籤分類法中包含 OFFICIAL Sensitive – 僅限您的 GOVERNMENT 標籤。 此標籤只能發佈至系統管理帳戶,使其保持在服務型自動套用標籤原則的範圍內,但使用者無法直接將它套用至專案。 對於 具有不同標籤分類的組織,此概念會在標籤中進一步討論。
根據非Microsoft工具所套用標記的建議
許多政府組織目前或先前已使用非Microsoft工具,將標記套用至檔案和電子郵件。 這些工具已設定為套用一或多個:
- X-保護標記 x 標頭到電子郵件,
- 電子郵件和文件的文字型頁首和頁尾,
- 以主體為基礎的電子郵件標記;和/或
- 透過文件屬性的檔案元數據。
對於從非Microsoft工具轉換成原生Microsoft Purview 功能的組織,這些現有的屬性或標記可用來判斷應該將哪些敏感度卷標套用至專案。
重要事項
以客戶端為基礎的自動套用標籤可補充以服務為基礎的自動套用標籤,而且兩者應該一起使用。
服務型自動套用標籤不會偵測使用者信箱內的內容或標籤電子郵件。 用戶端型自動套用標籤可用來確保在轉寄或回復專案時,會維護套用至既存專案的標記。 例如,假設有一封預先存在的 PROTECTED 電子郵件,其中已套用文字型 PROTECTED 標記,但沒有敏感度標籤。 當使用者嘗試轉寄或回復該專案時,以用戶端為基礎的自動套用標籤可以根據現有的標記來識別 PROTECTED 專案,然後建議使用者將 PROTECTED 標籤套用至專案。
下列用戶端型自動套用標籤範例組態可確保包含現有標記的專案已套用正確的敏感度標籤。 這些設定也會識別舊版非Microsoft分類工具先前所套用的標記,以及外部 PSPF 兼容組織所產生之專案上的標記:
| 標籤 | SIT 需求 | 正則表達式 |
|---|---|---|
| 官方敏感性 | 偵測下列標記語法的 SIT: - 官方敏感性 - OFFICIAL:敏感性 - OFFICIAL:敏感性 - [SEC=OFFICIAL:Sensitive] |
OFFICIAL[:\- ]\s?Sensitive(?!(?:\s\|\/\/\|\s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\|\/\/\|\s\/\/\s)NATIONAL[ -]CABINET) |
| 保護 | 偵測下列標記語法的 SIT: - 保護 - [SEC=PROTECTED] |
PROTECTED(?!,\sACCESS=)(?!(?:\s\|\/\/\|\s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\|\/\/\|\s\/\/\s)NATIONAL[ -]CABINET)(?!(?:\s\|\/\/\|\s\/\/\s)CABINET) |
注意事項
如需澳大利亞政府 SIT 語法的更多範例,請參閱 完整的 SIT 語法清單,以偵測澳大利亞政府中的保護標記。
根據歷程記錄標記的建議
政府標記需求會定期變更,如 2018 年 10 月 (標記時發生,例如,[機密] 和 [僅供官方使用] (FOUO) ) 已中止。 政府組織可能會在其系統上擁有大量資訊,並套用這些歷程記錄標記。
處理這些歷程記錄標記通常不在任何新Microsoft Purview 部署的範圍內。 不過,如果您的組織想要將歷程記錄標記納入範圍,則歷程記錄標記可以分成兩個類別;具有新式對等項目和沒有相等專案的人。 PSPF 原則 8 附錄 E 提供歷程記錄分類和標記的完整清單,以及其目前的處理需求。
與新式對等專案一致之歷程記錄標記的簡單選項是設定自動套用標籤,以在修改這些項目時建議對等標籤的應用。 使用此設定時,用戶體驗如下:
- 當用戶 開啟 並嘗試 回復 或 轉寄 舊版電子郵件時,會偵測到歷程記錄標記。 系統會為使用者提供新電子郵件的標籤建議。
- 當用戶 開啟、修改及 儲存 舊版檔案時,Office 用戶端會偵測先前的標記,並提示使用者在儲存之前套用與專案相等的新式檔案。
先前的動作有助於確保將適當的控件套用至歷程記錄專案。
提示
處理歷程記錄標記時,澳大利亞政府記錄管理需求可能相關。 如果專案已宣告為記錄,則會被鎖定,導致無法編輯。 這表示新的標記不會套用,因為它會導致項目變更,這會影響專案的保留期間。 不過,如果具有歷程記錄標記的專案儲存為新專案 (例如,當做範本) ,則根據歷程記錄標記建議標籤會很有用。
下列範例說明如何設定以歷程記錄標記為基礎的 SIT,並與用戶端型自動標籤搭配使用,以根據歷程記錄標記建議標籤:
| 標籤 | 坐 | 使用 |
|---|---|---|
| 官方敏感性 | 針對包含下列關鍵詞的僅限正式使用 SIT: - 僅供官方使用 - 僅供官方使用 - FOUO 包含下列關鍵字的 X-IN-CONFIDENCE SIT: - X-IN-CONFIDENCE |
用戶端型自動套用標籤可用來識別已套用這些歷程標記的舊版內容,並根據舊版項目建議新式或編輯專案的新式替代方案。 |
SIT 和 DLP 原則應設定為檢查歷程記錄標記,並確保相關控件已套用至這些專案。 這可確保附加至電子郵件且已在外部傳送歷程標記的專案已套用新式標籤和相關聯的控件。
根據段落標記建議標籤建議標籤
某些政府組織會使用檔中的段落標記。 段落的建議是使用一組 SIT 來建立,以協助識別可根據專案包含的段落標記套用至專案的敏感度。 不過,文件標籤會匯總為最高標記。
若要達到此目的,我們可以使用:
-
OFFICIAL 關鍵詞 SIT 偵
(O)測段落標記,並建議在偵測到時套用 OFFICIAL 標籤。 -
OFFICIAL 敏感性關鍵詞 SIT 偵
(O:S)測段落標記,並建議在偵測到時套用 OFFICIAL 標籤。 -
PROTECTED 關鍵詞 SIT,偵
(P)測段落標記,並建議在偵測到時套用 PROTECTED 標籤。 -
SECRET 關鍵詞 SIT 會
(S)偵測段落標記,並建議在偵測到時套用 SECRET 標籤。
SECRET 標記 SIT 是用來識別不應儲存在平臺內之資訊的實用範例。 檢查包含這類標記的專案,可讓您識別或防止數據外洩。 如需此概念的詳細資訊,請參閱 不應放置在 Microsoft 365 上的資訊標籤。
注意事項
像這樣的簡單關鍵詞 SIT 可能會產生誤判,例如,如果 (P) ,則會出現在檔或電子郵件中,而不需要做為段落標記,服務會建議使用者將專案標示為 PROTECTED。 基於這個理由,在實作之前,應該仔細考慮識別段落標記的 SIT,以判斷是否可能產生誤判。
以客戶端為基礎的自動套用標籤設定範例
這些範例是以使用 SIT 和分類器來識別保護標記或敏感性資訊為基礎。 識別之後,系統會向使用者建議適當的標籤。 這些範例是未定案的澳大利亞政府範例,組織應該努力開發自己的 SIT 來識別組織的特定資訊:
| 標籤 | 建議的 SIT | 正則表達式範例 |
|---|---|---|
| 非官方 | 將要偵測到一個一個要偵測到的一個區位標示為一個。。在 Regex SIT 中偵測到此標示。 | UNOFFICIAL |
| 官方 | OFFICIAL Regex SIT 旨在偵測 OFFICIAL 標記 OFFICIAL 段落標記 具有區分大小寫關鍵詞的 SIT。 |
(?<!UN)OFFICIAL (O) |
| OFFICIAL 機密 (類別目錄) | 不適用 | - |
| 官方敏感性 |
OFFICIAL:敏感性 Regex SIT 旨在偵測 OFFICIAL 機密標記的變化,而不包含資訊管理標記 (IMM) 或警告。 與相關信息洩漏的程式或系統相關的 SIT,可能會對個人、組織或政府造成中型業務影響和有限的損害。 預先建置的 SIT: - 所有認證類型 - 信用卡號碼 'OFFICIAL: 敏感性段落標記' SIT 與區分大小寫關鍵詞 |
OFFICIAL[:\- ]\s?Sensitive(?!(?:\s\|\/\/\|\s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\|\/\/\|\s\/\/\s)NATIONAL[ -]CABINET) (O:S) |
| 官方敏感性個人隱私權 |
OFFICIAL:敏感性個人隱私權 Regex 旨在偵測標記。 預先建置的 SIT: - 澳洲銀行帳戶號碼 - 澳洲駕照 - 澳洲醫療帳戶號碼 - 澳洲 Passport 號碼 - 澳洲稅務檔案號碼 |
OFFICIAL[:\- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy |
| 官方敏感性法律許可權 |
OFFICIAL:敏感性法律許可權 Regex SIT 的目的是要將標記譯碼。 預先建置的可訓練分類器: - 法律事務 |
OFFICIAL[:\- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legal[ -]Privilege |
| 官方機密機密機密密碼 | OFFICIAL:敏感性機密機密 Regex SIT 旨在偵測標記。 | OFFICIAL[:\- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legislative[ -]Secrecy |
| 官方機密國家封包 | OFFICIAL:機密國家封包 Regex SIT 旨在偵測標記。 | OFFICIAL[:\- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sCAVEAT=SH:)NATIONAL[ -]CABINET |
| protected (Category) | 不適用 | - |
| 保護 |
受保護的 Regex SIT 旨在偵測標記。 PROTECTED 段落標記 具有下列區分大小寫關鍵詞的 SIT: 與相關信息洩漏的程式或系統相關的其他關鍵詞 SIT,可能會對國家/地區和個人造成高度的商業影響和損害。 |
PROTECTED(?!,\sACCESS=)(?!(?:\s\|\/\/\|\s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\|\/\/\|\s\/\/\s)NATIONAL[ -]CABINET)(?!(?:\s\|\/\/\|\s\/\/\s)CABINET) (P) |
| 受保護的個人隱私權 | PROTECTED Personal Privacy Regex SIT 旨在偵測標記。 | PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy |
| PROTECTED Legal Privilege | PROTECTED Legal Privilege Regex SIT 旨在偵測標記。 | PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legal[ -]Privilege |
| 受保護的機密 | PROTECTED 的機密密碼 Regex SIT 旨在偵測標記。 | PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legislative[ -]Secrecy |
| PROTECTED NATIONAL CABINET | PROTECTED NATIONAL CABINET Regex SIT 旨在偵測標記。 | PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sCAVEAT=SH:)NATIONAL[ -]CABINET |
| PROTECTED CABINET | PROTECTED CABINET Regex SIT 旨在偵測標記。 | PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sCAVEAT=SH:)CABINET |