澳大利亞政府與 PSPF 合規性的敏感度標籤設定
本文提供有關設定 Microsoft Purview 敏感度標籤的澳大利亞政府組織指引。 其目的是協助組織強化其數據安全性的方法,並簡化 Microsoft Purview 功能的部署。 本指南中的建議與保護安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中所述的需求緊密一致。
敏感度標籤是從 資訊保護 功能表下的Microsoft Purview 入口網站建立。
若要建立敏感度標籤,系統管理員必須提供標籤名稱、使用者的描述,以及本文中討論的一些其他設定專案。
標籤命名
標籤名稱 是敏感度標籤的唯一識別碼。 使用者看不到此欄位,但在設定標籤時,系統管理員會看到此欄位。
標籤名稱不能包含特殊字元。 這可能表示系統管理員必須省略特定字元,例如 : 'OFFICIAL: Sensitive' 中的 。 某些特殊字元,例如冒號,允許在其他位置,例如 敏感度標籤內容標記。 標記專案時會套用內容標記,因此標籤名稱中缺少冒號字元不會影響 PSPF 合規性。
選取敏感度標籤時,使用者會看到標籤 顯示名稱 。 它不需要是唯一的,而且可以包含一些特殊字元。 如同標籤名稱,顯示名稱不能包含冒號 : 字元,但 (稍後討論的視覺標記) 可以顯示。
本指南中建議的設定會使用階層式卷標分類法,其中包含所謂的子卷標。 子卷標是位於另一個標籤下方的標籤。 具有子捲標的捲標稱為「父卷標」。 在 PSPF 對齊組態中,卷標中可能會發生衝突,如圖表所示。
標籤命名衝突
若要避免標籤命名衝突,標籤名稱必須是唯一的。 這需要為卷標或子捲標提供與標籤顯示名稱不一致的名稱。 父標籤僅用於使用者介面。 子捲標會套用至實際專案,並由使用者查看。 為了簡單起見,Microsoft建議讓子捲標名稱與標籤顯示名稱保持一致,並以不同方式命名父卷標。 例如,將前置詞套用至父卷標名稱,例如類別的 『cat_』,以指出它是父系。 例如:
| 使用者 (看不到標籤名稱) | 標籤類型 | 標籤用途 | 使用者 (看到的標籤顯示名稱) |
|---|---|---|---|
| cat_OFFICIAL敏感性 | 父標籤 | 用於敏感度功能表以顯示一組子捲標。 未套用至專案。 | 官方敏感性 |
| 官方敏感性 | 子捲標 | 會套用至專案並包含組態。 | 官方敏感性 |
提示
如果您的組織先前已命名並部署標籤,請仔細考慮是否需要重新建立標籤以符合先前的範例。 基礎標籤名稱只對系統管理員可見,而且只在某些系統管理案例中顯示,例如使用方式報告和 內容總管。
用戶的標籤描述
使用者的標籤描述 欄位會對用戶顯示為「工具提示」,以協助他們選取標籤。 例如:
提示
請確定使用者可以清楚瞭解工具提示的文字,以確保正確地將標籤套用至專案。 如果未使用工具提示或文字不正確,則使用者可能會對專案套用不正確的標籤,因而導致數據安全性控制不正確。
標籤描述應該包含標籤中包含之所有元素的資訊,例如 (,但不限於) :
- 分類
- 警告
- 資訊管理標記 (IMM)
例如,如果將項目標示為 『OFFICIAL: Sensitive NATIONAL CABINET』,請務必同時包含 『OFFICIAL: Sensitive』 和 『NATIONAL CABINET』 標記的描述。 若沒有這兩個標記,當使用者收到專案並將滑鼠移到套用的標籤上時,就不會看到這兩個元素的描述。 使用者需要這兩個元素標籤描述,才能瞭解其對該數據的完整義務。
卷標描述範例
下表是 從 PSPF 原則 8 擷取,並提供基本標籤描述建議,可根據政府組織的需求量身打造:
| 敏感度標籤 | 標籤說明 |
|---|---|
| 非官方 |
無業務影響 此資訊不構成官方職責的一部分。 |
| 官方 |
低業務影響 公用部門所建立或處理的大部分官方資訊。 這包括例行的商務作業和服務。 洩露 OFFICIAL 資訊不會對個人、組織或政府造成任何或不小的損害。 |
| OFFICIAL 機密 (類別目錄) |
低至中型業務影響 由於其敏感性而需要有限傳播的 OFFICIAL 資訊。 信息洩露會對個人、組織或政府造成有限的損害。 |
| 官方敏感性 |
低至中型業務影響 由於其敏感性而需要有限傳播的 OFFICIAL 資訊。 信息洩露會對個人、組織或政府造成有限的損害。 |
| 官方敏感性個人隱私權 |
低至中型業務影響 由於其敏感性而需要有限傳播的 OFFICIAL 資訊。 信息洩露會對個人、組織或政府造成有限的損害。 個人隱私權表示專案也包含基於商務目的收集的個人資訊。 |
| 官方敏感性法律許可權 |
低至中型業務影響 由於其敏感性而需要有限傳播的 OFFICIAL 資訊。 信息洩露會對個人、組織或政府造成有限的損害。 法律許可權表示專案也包含資訊,受限於法務專業許可權。 危害信息的機密性,可能會對國家利益、組織或個人造成至少有限的損害。 |
| 官方機密機密機密密碼 |
低至中型業務影響 由於其敏感性而需要有限傳播的 OFFICIAL 資訊。 信息洩露會對個人、組織或政府造成有限的損害。 資訊也受限於一或多個保密規定。 洩露此資訊的機密性,可能會對國家利益、組織或個人造成至少有限的損害。 |
| 官方機密國家封包 |
低至中型業務影響 由於其敏感性而需要有限傳播的 OFFICIAL 資訊。 信息洩露會對個人、組織或政府造成有限的損害。 NATIONAL CABINET 會識別已特別為國家封包或其小組成員準備的任何資訊。 這是根據封包慣例,以及在法律架構和程式內處理,例如資訊自由、調查查詢和訴訟程式。 |
| protected (Category) |
高業務影響 重要、重要和敏感性資訊。 受保護資訊的入侵預期會對國家利益、組織或個人造成損害。 |
| 保護 |
高業務影響 重要、重要和敏感性資訊。 受保護資訊的入侵預期會對國家利益、組織或個人造成損害。 |
| 受保護的個人隱私權 |
高業務影響 重要、重要和敏感性資訊。 受保護資訊的入侵預期會對國家利益、組織或個人造成損害。 個人隱私權表示專案也包含基於商務目的收集的個人資訊。 |
| PROTECTED Legal Privilege |
高業務影響 重要、重要和敏感性資訊。 受保護資訊的入侵預期會對國家利益、組織或個人造成損害。 法律許可權表示專案也包含資訊,受限於法務專業許可權。 危害信息的機密性,可能會對國家利益、組織或個人造成至少有限的損害。 |
| 受保護的機密 |
高業務影響 重要、重要和敏感性資訊。 受保護資訊的入侵預期會對國家利益、組織或個人造成損害。 資訊也受限於一或多個保密規定。 洩露此資訊的機密性,可能會對國家利益、組織或個人造成至少有限的損害。 |
| PROTECTED CABINET |
高業務影響 重要、重要和敏感性資訊。 受保護資訊的入侵預期會對國家利益、組織或個人造成損害。 CABINET 注意事項會識別任何已準備好通知封包、揭露封包決策或提案的資訊、由部門準備以簡要說明針對封包所提議的事項,或是已針對通知要由封包考慮的提案而建立的資訊。 |
| PROTECTED NATIONAL CABINET |
高業務影響 重要、重要和敏感性資訊。 受保護資訊的入侵預期會對國家利益、組織或個人造成損害。 NATIONAL CABINET 會識別已特別為國家封包或其小組成員準備的任何資訊。 這是根據封包慣例,以及在法律架構和程式內處理,例如資訊自由、調查查詢和訴訟程式。 |
敏感度標籤色彩
標籤色彩選項有助於改善使用者對專案敏感度的認知,並增強標籤感知用戶端的使用者介面。 他們透過色彩編碼顯示在敏感度標籤旁邊的防護圖示來執行此動作。
PSPF 原則 8 需求 4 指出,在無法使用這類功能的情況下,色彩可作為文字標記的替代方式。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 需求 4 版本 2018.6 | b. 如果無法使用文字型保護標記,請使用色彩型保護標記,或 c. 例如,如果無法使用文字或色彩型保護標記 (,則會) ,針對這類案例套用實體的標記配置。 實體必須記載此用途的標記配置,並適當地訓練人員。 |
PSPF 原則 8 也提供可用於每個標記之色彩的詳細數據。
| 安全性分類 | 以色彩為基礎的標記 |
|---|---|
| OFFICIAL:敏感性 | 黃色 |
| 保護 | 藍色 |
雖然不是其所述的意圖,但這些色彩也可以選擇性地用來補充其他視覺標記功能。 已針對組態 範例中的每個標籤建議標籤色彩。
PSPF 原則 8 不會定義 OFFICIAL 和 OFFICIAL 標記的色彩。 不過,大部分的組織似乎都使用灰色來表示這些標籤的色彩。
注意事項
Microsoft建議使用色彩和文字標記來改善用戶體驗和 輔助功能。
卷標範圍
標籤範圍可用來啟用敏感度標籤的特定組態選項。 範圍選項包括:
- 允許 將此標籤套用至 office 檔 (檔案 & PDF) 的檔案。
- 允許透過 Outlook 或其他標籤感知電子郵件用戶端標示電子郵件的電子郵件。
- 允許 為 Teams 會議或 Outlook 行事曆專案加上標籤的會議。
- 群組 和網站,允許標籤套用至 SharePoint 網站、Microsoft 365 群組和 Teams。
- 架構化數據資產 (預覽) 允許將標籤套用至資料庫數據行。
群組和網站和架構化數據資產選項需要先啟用,才能在您的租使用者中使用。 群組和月臺的設定步驟概述在 啟用群組和月臺整合中。
架構化的數據資產選項不在本指南的範圍內,因為大部分的澳大利亞政府組織此時都更關心檔案和電子郵件的標記。 如需這些功能的詳細資訊,請參閱 Microsoft Purview 資料對應 中的標籤。
若要繼續建立標籤,必須選取其中一個可用的範圍選項。 預設會選取檔案和電子郵件範圍選項。
建議以分段方法啟用每個組態,如下所示:
群組和網站選項不太可能與包含IMM的標籤相關。 此範圍選項的一般用途似乎是包含 IMM (的標籤,例如『OFFICIAL Sensitive Personal Privacy』) ,會更頻繁地套用至個別專案,例如檔。 在某些組織中,它可以套用至特定 SharePoint 網站。 例如,CABINET 標籤,因此組織需要據以規劃和量身打造。
本指南中建議的設定會使用子捲標,提供卷標階層,並讓使用者更容易選取卷標。 使用子捲標會將標籤分組為類別。 例如,'OFFICIAL Sensitive' 類別,其子捲標包含 'OFFICIAL Sensitive,' 警告和 IMM 的所有必要組合。 子卷標會影響其他設定選項,例如 標籤變更理由 和 數據就地警示。 Microsoft建議在部署之前先規劃這些設定。
標籤加密
標籤選項可讓 Azure Rights Management 在標記專案時,將加密套用至專案。 然後,Azure Rights Management 加密可確保專案只能由授權的使用者存取。
對於初次Microsoft Purview 的用戶,建議在建置和完成初始測試時停用加密。 這項功能可能會影響可用性和與其他服務的整合,而且通常需要更高層級的功能成熟度才能成功啟用。 敏感度標籤加密中會提供加密設定的詳細資訊。
敏感度標籤標記
這組選項可讓您將以文字為基礎的視覺標記套用至檔和電子郵件。 可用的選項包括頁首、頁尾和浮浮水印。 這些組態選項與 PSPF 標記需求一致。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 需求 4 (版本 2018.6) | 需求 4 表示文字型保護標記是識別敏感性和安全性分類資訊的慣用方法。 |
您可以使用 PowerShell 來調整標籤、字型和粗體大小的設定。 例如,若要變更套用至字型 'Marketplace Gothic Medium,' 大小為 12 之專案的字型,以及紅色文字,可以使用下列 PowerShell 腳本。
`Set-Label -Identity UNOFFICIAL -ApplyContentMarkingHeaderFontName "Franklin Gothic Medium"
此腳本提供下列視覺標記,與 PSPF 原則 8 中提供的範例緊密一致:
內容變數
內容變數會根據使用中的應用程式變更標記;Word、Excel、PowerPoint 或 Outlook。
若要實作內容變數,可以透過輸入到頁首、頁尾或浮浮水印文字欄位的程式代碼來指定套用標記的應用程式。 例如,使用下列語法設定頁尾會導致標記出現在 Word 檔中,但會從 Outlook 電子郵件、PowerPoint 和 Excel 中省略標記:
${If.App.Word}UNOFFICIAL ${If.End}
如需內容變數的詳細資訊和標記語法的範例,請參閱 使用變數進行內容標記。
內容標記的重要性
用戶端應用程式,例如 Microsoft 365 Apps,為使用者提供內建的標籤指標。 Microsoft建議使用這些重要的視覺標記,因為:
標籤是由敏感度標籤所提供。 標籤只存在於組織內部環境中。 如果標籤專案要傳送至外部組織,除非透過 自動套用敏感度標籤所涵蓋的方法來解決,否則不會顯示這類指標。
文字標記內嵌在檔和/或電子郵件中,不論用來開啟或編輯專案的用戶端為何,都會顯示。 可見標記表示可能未使用 Microsoft 365 Apps 用戶端的外部收件者仍然可以看到已套用的文字型標記。 標記也會顯示在匯出至 PDF 或列印的專案上。
文字型標記提供有用的專案敏感度指標,而且在電子郵件用戶端或服務移除電子郵件 X 標頭等標準指標的情況下,可能會很有用。 在這種情況下,標記可以作為備份敏感度標識符,並可供自動套用標籤來重新套用所需的敏感度標籤。 如需詳細資訊,請參閱 服務型自動套用標籤。
自動標籤
設定為敏感度標籤標籤組態一部分的自動套用標籤選項稱為用戶端型自動套用標籤。 這項功能可以為在 Outlook 或 Office 用戶端中工作的使用者提供標籤建議,提示使用者根據敏感性內容的偵測來引發敏感度標籤。 例如,使用者草擬包含敏感性關鍵詞或模式且符合 PROTECTED 資訊的一封電子郵件,可能會提示您對 PROTECTED 提高專案的敏感度。 此功能:
- 協助確保標籤正確性。
- 協助確保在任何下游項目上維護套用的標籤,例如回復電子郵件或適用於Microsoft 365 產生內容的 Copilot。
- 協助教育使用者正確的標籤應用程式。
以客戶端為基礎的自動套用標籤是更進階的功能,因此需要有一些需要有效使用的考慮。 組織可能會想要在初始設定時停用這些選項,但可在合規性成熟度增加時加以啟用。
如需設定用戶端型自動標籤以符合澳大利亞政府需求的進一步建議,請參閱 以客戶端為基礎的自動套用標籤建議。
組態範例
下表提供符合 PSPF 需求的範例組態:
| 標籤名稱 | 標籤顯示名稱 | 範圍 | 標籤色彩 | 內容標記 |
|---|---|---|---|---|
| 非官方 | 非官方 | 檔案、Email、網站 & Teams、會議 | 綠色 | 頁眉: 色彩:紅色,大小:12,對齊:置中、文字:}。不一致 頁腳: 色彩:紅色,大小:12,對齊:置中、文字:}。不一致 |
| 官方 | 官方 | 檔案、Email、網站 & Teams、會議 | 灰色 | 頁眉: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: OFFICIAL 頁腳: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: OFFICIAL |
| Cat_OFFICIAL敏感性 | 官方敏感性 | 檔案,Email | 黃色 | 頁眉: 色彩:紅色,大小:12,對齊:置中、文字:官方:敏感性 頁腳: 色彩:紅色,大小:12,對齊:置中、文字:官方:敏感性 |
| 官方敏感性 | 官方敏感性 | 檔案、Email、網站 & Teams、會議 | 不適用 | 頁眉: 色彩:紅色,大小:12,對齊:置中、文字:官方:敏感性 頁腳: 色彩:紅色,大小:12,對齊:置中、文字:官方:敏感性 |
| 官方敏感性個人隱私權 | 官方敏感性個人隱私權 | 檔案,Email | 不適用 | 頁眉: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: 官方: 敏感性個人隱私權 頁腳: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: 官方: 敏感性個人隱私權 |
| 官方敏感性法律許可權 | 官方敏感性法律許可權 | 檔案,Email | 不適用 | 頁眉: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: OFFICIAL: 機密法律許可權 頁腳: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: OFFICIAL: 機密法律許可權 |
| 官方機密機密機密密碼 | 官方機密機密機密密碼 | 檔案,Email | 不適用 | 頁眉: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: 官方: 機密機密機密機密 頁腳: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: 官方: 機密機密機密機密 |
| 官方機密國家封包 | 官方機密國家封包 | 檔案、Email、網站 & Teams | 不適用 | 頁眉: 色彩:紅色,大小:12,對齊:置中、文字:官方:敏感/國家封包 頁腳: 色彩:紅色,大小:12,對齊:置中、文字:官方:敏感/國家封包 |
| Cat_PROTECTED | 保護 | 檔案,Email | 藍色 | 頁眉: 色彩:紅色,大小:12,對齊:置中,文字:PROTECTED 頁腳: 色彩:紅色,大小:12,對齊:置中,文字:PROTECTED |
| 保護 | 保護 | 檔案、Email、網站 & Teams、會議 | 不適用 | 頁眉: 色彩:紅色,大小:12,對齊:置中,文字:PROTECTED 頁腳: 色彩:紅色,大小:12,對齊:置中,文字:PROTECTED |
| 受保護的個人隱私權 | 受保護的個人隱私權 | 檔案,Email | 不適用 | 頁眉: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: 受保護的個人隱私權 頁腳: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: 受保護的個人隱私權 |
| PROTECTED Legal Privilege | PROTECTED Legal Privilege | 檔案,Email | 不適用 | 頁眉: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: PROTECTED 法律許可權 頁腳: 色彩: 紅色, 大小: 12, 對齊: 中心, 文字: PROTECTED 法律許可權 |
| 受保護的機密 | 受保護的機密 | 檔案,Email | 不適用 | 頁眉: 色彩:紅色,大小:12,對齊:置中、文字:受保護的機密 頁腳: 色彩:紅色,大小:12,對齊:置中、文字:受保護的機密 |
| PROTECTED CABINET | PROTECTED CABINET | 檔案、Email、網站 & Teams | 不適用 | 頁眉: 色彩:紅色,大小:12,對齊:置中、文字:PROTECTED CABINET 頁腳: 色彩:紅色,大小:12,對齊:置中、文字:PROTECTED CABINET |