識別澳大利亞政府與 PSPF 合規性的敏感性和安全性分類資訊

本文提供有關使用 Microsoft Purview 來識別敏感性和安全性分類資訊的澳大利亞政府組織指引。 其目的是協助這類組織強化其數據安全性的方法，以及符合保護 安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中 所述需求的能力。

保護資訊並防止數據遺失的關鍵在於先了解什麼是資訊。 本文探討跨組織Microsoft 365環境識別資訊的方法。 這些方法通常稱為 瞭解您 Microsoft Purview 的數據層面。 一旦識別之後，即可透過 敏感度自動 套用標籤和 數據外洩防護 (DLP) 來保護資訊。

敏感資訊類型

(SIT) 敏感性資訊類型 是模式型分類器。 它們會透過正則表達式 (RegEx) 或 關鍵詞來偵測敏感性資訊。

有許多不同類型的 SIT 與澳大利亞政府組織相關：

• 預建 由 Microsoft 所建立的 SITS，其中數個與常見的澳大利亞數據類型一致。
• 自定義 SIT 是根據組織需求所建立。
• 具名實體 SIT 包含複雜的字典型標識碼，例如 澳大利亞實體位址。
• 確切的數據比對 (EDM) SIT 會根據實際的敏感數據產生。
• 檔指紋 SIT 是以檔案格式為基礎，而不是其內容。
• 雖然技術上預先建置了 SIT，但與網路或資訊安全性相關的 SIT，對於為澳大利亞政府組織工作的網路小組具有特殊相關性，因此值得使用自己的類別。

預先建置的敏感性信息類型

預先建置的敏感性資訊類型是以客戶通常認為機密的常見資訊類型為基礎。 這些可以是泛型且具有全域相關性 (例如信用卡號碼) ，或具有本機相關性 (例如，澳大利亞銀行帳戶號碼) 。

Microsoft預先建置的 SIT 完整清單可以在敏感性資訊類型實體定義中找到

澳大利亞特定的 SIT 包括：

• 澳大利亞銀行帳戶號碼
• 澳大利亞駕照號碼
• 澳大利亞護照號碼
• 澳大利亞實體位址
• 澳大利亞稅務檔案號碼
• 澳大利亞商務編號
• 澳大利亞公司號碼
• 澳大利亞醫療帳戶號碼

您可以在 Microsoft Purview 數據分類入口網站的 [ 分類器>敏感性資訊類型] 底下找到這些 SIT。

預先建置的 SIT 對於開始其 資訊保護 或治理旅程的組織而言十分有價值，因為它們可為啟用 DLP 和自動套用卷標等功能提供起點。 使用這些 SIT 的兩個最簡單方式是：

1. 透過 DLP 原則範本使用預先建置的 SIT

   某些預先建置的 SIT 會包含在Microsoft建立且符合澳大利亞法規的 DLP 原則範本中。 下列符合澳大利亞需求的 DLP 原則範本可供使用：

   • 增強的澳大利亞隱私權法案
   • 澳洲財務資料
   • PCI 資料安全性標準 (PCI DSS)
   • 澳洲個人識別資訊 (PII) 資料

   根據這些範本啟用 DLP 原則可讓您初始監視數據遺失事件，這會為引進 Microsoft 365 DLP 的組織提供絕佳的起點。 部署之後，這些原則可讓您深入瞭解組織數據遺失問題的範圍，並有助於推動後續步驟的決策。

   進一步探索這些原則範本的使用方式，以 限制敏感性資訊的發佈。

2. 在敏感度自動套用標籤中使用預先建置的 SIT

   如果偵測到專案包含澳大利亞醫療帳戶號碼、一或多個醫療條款和完整名稱，則假設該專案包含個人可識別的醫療資訊，而且可能構成健康情況記錄可能很公平。 根據此假設，我們可以建議使用者將項目標示為「官方：敏感性個人隱私權」，或貴組織中最適合識別及保護健康記錄的任何標籤。

   如需此功能可協助政府組織符合 PSPF 合規性的詳細資訊，請參閱 自動套用敏感度標籤 和 澳大利亞政府的用戶端型自動套用標籤案例。

自定義敏感性信息類型

除了預先建置的 SIT 之外，組織還可以根據自己的敏感性資訊定義來建立 SIT。 可透過自定義 SIT 識別的澳大利亞政府組織相關信息範例如下：

• 保護標記
• 許可標識碼或許可應用程式識別碼
• 來自其他州或地區的分類
• 不應該出現在平臺上的分類 (例如 TOP SECRET)
• 他的簡報或信件
• 資訊自由 (FOI) 要求號碼
• Probity 相關信息
• 與敏感性系統、專案或應用程式相關的詞彙
• 段落標記
• 修剪或目標記錄編號

自定義 SIT 是由主要識別碼所組成，可以根據正則表示式或關鍵詞、信賴等級和選擇性支援元素。

如需 SIT 及其元件的詳細說明，請參 閱瞭解敏感性資訊類型。

正則表達式 (RegEx)

正則表達式是以程式代碼為基礎的標識碼，可用來識別資訊模式。 例如，如果資訊自由 (FOI) 數位是由字母 FOI 所組成，後面接著四位數的年份、連字元和另外三個數位， (例如 FOI2023-123 ，) ，則可在正則表達式中表示：

[Ff][Oo][Ii]20[01234]\d{1}-\d{3}

說明此表示式：

• [Ff][Oo][Ii] 比對大寫或小寫字母 F、O 和 I。
• 20 比對數位 20 做為四位數年份的前半部。
• [0123] 比對四位數年份值中第三位數的 0、1、2 或 3，這可讓我們比對從 2000 年到 2039 年的 FOI 數位。
• - 符合連字元。
• \d{3} 會比對任何三位數。

提示

Copilot 很擅長產生 RegEx) (正則表達式。 您可以使用自然語言要求 Copilot 為您產生 RegEx。

關鍵詞或關鍵詞字典的清單

關鍵詞清單和字典包含可能包含在您要識別之專案中的單字、字詞或片語。 封包簡報 或 簡報應用程式 是可做為關鍵詞的詞彙。

關鍵詞可能區分大小寫或不區分大小寫。 案例有助於排除誤判。 例如，小寫 official 比較可能用於一般交談，但大寫 OFFICIAL 較高的機率會成為保護標記的一部分。

包含大型數據集的關鍵詞字典也可以透過 CSV 或 TXT 格式上傳。 如需如何上傳關鍵詞字典的詳細資訊，請參閱 如何建立關鍵詞字典。

信賴等級

某些關鍵詞或正則表達式可以提供精確的比對，而不需要進行精簡。 前一個範例中包含的資訊自由 (FOI) 表示式不太可能出現在一般交談中，而且當值出現在對應中時，可能會符合相關信息。 不過，如果我們嘗試比對以八個數位表示的澳大利亞公用服務員工號碼，我們的比對可能會導致許多誤判。 信賴等級可讓我們指派在電子郵件或檔等專案中存在關鍵詞或模式的可能性，實際上是我們要尋找的。 如需信賴等級的詳細資訊，請 參閱管理信賴等級。

主要和支持元素

自定義 SIT 也有主要和支援元素的概念。 主要元素是我們想要在內容中偵測的主要模式。 支持專案可以新增至主要專案，以建置發生精確相符值的案例。 例如，如果嘗試根據八個數位的員工號碼進行比對，我們可以使用「員工編號」或「澳大利亞政府號碼 AGS」或「澳大利亞公用服務員工資料庫 APSED 」關鍵詞作為支援元素，以提高相符專案是否相關的信賴度。 如需如何建立主要和支援元素的詳細資訊，請參閱 瞭解元素。

字元鄰近性

我們通常會在 SIT 中設定的最後一個值是字元鄰近性。 這是主要和支援元素之間的距離。 如果我們預期關鍵詞 AGS 接近八位數的數位值，則會設定 10 個字元的鄰近性。 如果主要和支援的元素不太可能出現在彼此旁邊，我們會將 鄰近 值設定為較大的字元數。 如需如何建立字元鄰近性的詳細資訊，請參閱 了解鄰近性。

用來識別保護標記的 SIT

對於澳大利亞政府組織來說，使用自定義 SIT 的一個寶貴方式是識別保護標記。 在 Greenfield 組織中，環境中的所有項目都會套用敏感度標籤。 不過，大部分的政府組織都有舊版標籤，需要現代化才能Microsoft Purview。 SIT 可用來識別標記，並將標記套用至：

• 標示的舊版檔案
• 外部實體所產生的標示檔案
• Email 在外部起始和標示的交談
• 遺失卷標信息的電子郵件 (x 標頭)
• 已將其標籤錯誤地降級的電子郵件

識別出這類標記時，系統會建議用戶進行偵測，並提供標籤建議給使用者。 如果他們接受建議，則標籤保護會套用至專案。 這些概念會在 澳洲政府的用戶端型自動套用標籤案例中進一步討論。

分類型 SIT 在 DLP 中也很有用。 範例包含：

• 使用者會收到資訊，並透過其標記將其識別為敏感性，但不想要重新分類，因為它不會轉譯為 PSPF 分類 (例如「官方敏感性」的 ) 。 建構 DLP 原則，以根據標記而非套用的標籤來保護封入的資訊，表示我們可以將數據安全性的量值套用至它。
• 使用者會從電子郵件交談複製文字，其中包含保護標記。 他們會將資訊貼到 Teams 聊天中，與不應存取資訊的外部參與者交談。 透過套用至 Teams 服務的 DLP 原則，可以偵測標記並防止洩漏。
• 用戶錯誤地將電子郵件交談上的敏感度標籤降級 (惡意或使用者錯誤) 。 由於保護標記先前已套用至電子郵件，因此在電子郵件的本文中會顯示，Microsoft Purview 會偵測到目前和先前的標記不一致。 根據設定，動作會記錄事件、警告使用者，或封鎖電子郵件。
• 標示的電子郵件會傳送給使用非企業電子郵件平臺或用戶端的外部收件者。 平臺或用戶端會移除電子郵件的元數據 (x 標頭) 這會導致外部收件者的回復電子郵件在到達組織的使用者信箱時未套用敏感度標籤。 透過 SIT 偵測先前的標記可讓標籤以透明方式複製，或建議使用者在下一個回復時重新套用標籤。

在每個案例中，以分類為基礎的 SIT 可用來偵測套用的保護標記，並減輕潛在的數據外洩。

偵測保護標記的範例 SIT 語法

下列正則表示式可用於自定義 SIT 來識別保護標記。

重要事項

建立 SIT 以識別保護標記有助於 PSPF 合規性。 分類型 SIT 也可用於 DLP 和自動套用標籤案例。

SIT 名稱	規則運算式
在 Regex1	UNOFFICIAL
OFFICIAL Regex1,2	(?<!UN)OFFICIAL
OFFICIAL Sensitive Regex1,3,4,5	OFFICIAL[:- ]\s?Sensitive(?!(?:\s\|\/\/\|\s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\|\/\/\|\s\/\/\s)NATIONAL[ -]CABINET)
OFFICIAL 敏感性個人隱私權 Regex1,4,5	OFFICIAL[:- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy
OFFICIAL 敏感性法律許可權 Regex1,4,5	OFFICIAL[:- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legal[ -]Privilege
官方敏感性機密機密密碼 Regex1,4,5	OFFICIAL[:- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legislative[ -]Secrecy
官方機密國家封包 Regex1,4,5	OFFICIAL[:- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sCAVEAT=SH:)NATIONAL[ -]CABINET
PROTECTED Regex1,3,5	PROTECTED(?!,\sACCESS=)(?!(?:\s\|\/\/\|\s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\|\/\/\|\s\/\/\s)NATIONAL[ -]CABINET)(?!(?:\s\|\/\/\|\s\/\/\s)CABINET)
PROTECTED Personal Privacy Regex1,5	PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy
PROTECTED Legal Privilege Regex1,5	PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legal[ -]Privilege
PROTECTED 的機密密碼 Regex1,5	PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legislative[ -]Secrecy
PROTECTED NATIONAL CABINET Regex1,5	PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sCAVEAT=SH:)NATIONAL[ -]CABINET
PROTECTED CABINET Regex1,5	PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sCAVEAT=SH:)CABINET

評估先前的 SIT 範例時，請注意下列運算式邏輯：

• ¹ 這些表達式會比對套用至這兩個檔的標記 (，例如，OFFICIAL ：機密國家封包) 和電子郵件 (，例如 '[SEC=OFFICIAL：Sensitive， CAVEAT=NATIONAL-CABINET]') 。
• ² OFFICIAL Regex 中的負面外觀 ((?<!UN)) 防止以 OFFICIAL 比對。。
• ³OFFICIAL Sensitive Regex 和 PROTECTED Regex 使用負 () (?!) ，以確保資訊管理標記 (IMM) 或注意事項不會在安全性分類之後套用。 這有助於防止具有 IMM 的專案或注意事項識別為分類的非 IMM 或警告版本。
• ⁴ 在 OFFICIAL 中使用 [:\- ]：敏感 性的目的是要允許此標記格式的彈性，而且由於在 x 標頭中使用冒號字元，所以很重要。
• ⁵(?:\s\|\/\/\|\s\/\/\s) 可用來識別標記元件之間的空間，並允許單一空間、雙空格、雙斜線或具有空格的雙斜線。 這是為了讓澳大利亞政府組織之間存在 PSPF 標記格式的不同解譯。

具名實體敏感性信息類型

具名實體 SIT 是由Microsoft所建立的複雜字典和模式型識別碼，可用來偵測如下的資訊：

• 人員 的名稱
• 實體位址
• 醫療條款和條件

具名實體 SIT 可以隔離使用，但也可以作為支援元素來提供價值。 例如，電子郵件內現有的醫療詞彙可能不實用，因為表示專案包含敏感性資訊。 不過，與可能表示用戶端或病患號碼以及名字和系列名稱的值配對時，醫療詞彙會提供專案敏感性的強式指示。

具名實體 SIT 可以與自定義 SIT 配對、做為支援元素使用，或甚至包含在 DLP 原則中的其他 SIT。

如需具名實體 SIT 的詳細資訊，請 參閱瞭解具名實體。

精確數據比對敏感性信息類型

確切的數據比對 (EDM) SIT 會根據實際數據產生。 數值，例如數值客戶標識符，很難透過標準 SIT 比對，因為電話號碼等其他數值發生衝突。 支持專案改善比對有助於減少誤判。

精確數據比對 可協助擁有系統且包含與員工、客戶或公民相關數據的澳大利亞政府組織正確識別此資訊。

如需實作EDM SIT的詳細資訊，請參閱 瞭解以精確數據比對為基礎的敏感性信息類型。

文件指紋

文件指紋是一種資訊識別技術，而不是尋找專案中包含的值，而是查看專案的格式和結構。 基本上，這可讓我們將標準窗體轉換成可用來識別資訊的敏感性信息類型。

政府組織可以使用內容識別的文件指紋方法，來識別透過其他組織或公用成員所提交的工作流程或窗體所產生的專案。

如需實作文件指紋的資訊，請參閱 文件指紋。

網路或安全性相關敏感性信息類型

除了識別安全性分類或敏感性資訊之外，SIT 還有許多用途。 其中一種使用方式是偵測認證。 針對下列認證類型提供預先建置的 SIT：

• 使用者登入認證
• Microsoft Entra ID 用戶端存取令牌
• Azure Batch 共用存取金鑰
• Azure 記憶體帳戶共用存取簽章
• 客戶端密碼/API 金鑰

這些預先建置的 SIT 會獨立使用，而且也會組合成稱為 All 認證的 SIT。所有認證 SIT 都適用於使用此認證的網路小組：

• 用來識別並防止惡意使用者或外部攻擊者橫向移動的 DLP 原則。
• 自動套用標籤原則，將加密套用至不應包含認證的專案、鎖定使用者的檔案，並允許開始採取補救動作。
• DLP 原則，以防止使用者與其他使用者針對組織原則共用其認證。
• 若要反白顯示儲存在 SharePoint 或 Exchange 位置的專案，這些專案會不當保留認證資訊。

預先建置的 SIT 也存在於 IPv4 和 IPv6) (的網路位址，有助於保護包含網路資訊的專案，或防止使用者透過電子郵件、Teams 聊天或頻道訊息共用 IP 位址。

可訓練分類器

可訓練分類器 是可定型以辨識敏感性信息的機器學習模型。 如同 SIT，Microsoft提供預先定型的分類器。 下表列出與澳大利亞政府組織相關的預先定型分類器擷取：

分類器類別	可訓練分類器範例
財務	銀行對帳單、預算、財務稽核報告、財務報表、稅務、帳戶聲明、預算估計 (BE) 、Business Activity Statement (BAS) 。
Business	操作程式、保密協議、採購、專案程式代碼字詞、 (Se) 、注意事項 (QoN) 的問題。
人力資源	履歷、員工訴訟動作檔案、僱用合約、澳大利亞政府安全性審查機構 (AGSVA) 許可、教育高階貸款計劃 (說明) 、軍事標識符、外工授權 (FWA) 。
醫療	醫療保健，醫療表單，MyHealth 記錄。
法律資訊	法律事務、合約、許可協定。
專門的	軟體開發檔案、專案檔、網路設計檔案。
行為上	冒犯性語言、粗話、威脅、針對性攻擊、辨識、法規爭議、客戶抱怨。

政府組織如何使用這些預先建置分類器的一些範例包括：

• 商務規則可能會規定 HR 類別中的某些專案，例如履歷，應該標示為「官方：敏感性個人隱私權」，因為其中包含敏感性個人資訊。 針對這些專案，可以透過 用戶端型自動套用標籤來設定標籤建議。
• 應謹慎處理網路設計檔案，特別是針對安全網路，以避免遭到入侵。 這些可能值得受到保護的標籤，或至少是防止未經授權的使用者洩漏的 DLP 原則。
• 行為分類器很有趣，雖然它們可能與保護標記或 DLP 需求沒有直接相互關聯，但仍可以有高商業價值。 例如，HR 小組可能會收到發生之騷擾和/或透過 通訊合規性來檢測標幟信件的能力。

組織也可以訓練自己的分類器。 分類器可以定型，為其提供一組正和負樣本。 分類器會處理範例並建置預測模型。 定型完成後，分類器即可用於套用敏感度標籤、通訊合規性原則和保留標籤原則。 您可以在預覽版中使用 DLP 原則中的分類器。

如需可訓練分類器的詳細資訊，請參閱 瞭解可訓練分類器。

使用已識別的敏感性資訊

透過 SIT 或分類器 (透過 瞭解您 Microsoft Purview) 的數據層面來識別資訊之後，我們可以使用此知識來協助我們完成Microsoft 365 資訊管理的其他三個要件，也就是：

• 保護您的數據
• 防止數據遺失，以及
• 控管您的資料。

下表提供有關包含敏感性資訊之專案的知識如何協助管理Microsoft 365 平臺資訊的優點和範例：

功能	使用範例
資料外洩防護	藉由降低數據外泄的風險來協助管理。
敏感度標籤	建議套用適當的敏感度標籤。 卷標之後，標籤相關的保護會套用至資訊。
保留標籤	自動套用保留標籤，以符合封存或記錄管理需求。
內容總管	檢視包含敏感性資訊的項目位於Microsoft 365服務，包括 SharePoint、Teams、OneDrive 和 Exchange。
測試人員風險管理	監視敏感性資訊的用戶活動、根據行為建立用戶風險層級，並將可疑行為呈報給相關小組。
通訊合規性	螢幕高風險對應，包括包含敏感性或可疑內容的任何聊天或電子郵件。 通訊合規性可協助確保澳大利亞政府符合專業義務。
Microsoft Priva	偵測敏感性信息的儲存，包括 OneDrive 等位置中的個人資料，並引導使用者正確儲存資訊。
電子文件探索	將敏感性信息呈現為 HR 或 FOI 程式的一部分，並將保留套用至可能屬於作用中要求或調查的資訊。

內容總管

Microsoft 365 內容總管 可讓您的合規性、安全性和隱私權主管快速且全面地深入瞭解敏感性資訊在Microsoft 365 環境中的位置。 此工具可讓授權的使用者依資訊類型流覽位置和專案。 服務索引和介面位於 Exchange、OneDrive 和 SharePoint 中的專案。 位於 Teams 基礎 SharePoint 小組網站內的專案也會顯示。

透過此工具，我們可以選取敏感性資訊類型或敏感度標籤，檢視每個Microsoft 365 服務中與其對齊的項目數目：

內容總管可讓您深入瞭解安全性分類或敏感性項目在環境中所在的位置。 這類資訊位置的合併檢視不可能透過內部部署系統進行。

針對 包含組織帳戶中不允許的標籤的組織 (例如，SECRET 或 TOP SECRET) 以及相關聯的自動套用卷標原則來套用標籤，則 內容總 管可以找到不應儲存在平臺上的資訊。 由於內容總管也可以呈現 SIT，因此可以透過 SIT 來識別保護標記，以達成類似的方法。

如需內容總管的詳細資訊，請 參閱開始使用內容總管。