使用標籤原則部署敏感度標籤,以符合澳大利亞政府與 PSPF 的規範
本文提供澳大利亞政府組織Microsoft Purview 敏感度標籤原則設定的指引。 其目的是示範如何將標籤原則設定為最符合保護 安全策略架構 (PSPF) 和 資訊安全性手冊中所述的需求, (ISM) 。
若要讓使用者針對應用程式到項目選取敏感度標籤,必須透過標籤原則發佈它們。 卷標原則是在 [信息保護] 功能表下Microsoft Purview 入口網站中設定。
如需建立敏感度標籤程式的逐步指示,請參閱 建立敏感度標籤。
具有更細微需求的組織需要額外的原則。 例如,想要將其 PROTECTED 卷標和相關聯的子捲標發佈至使用者子集的組織,需要另一個原則來達成此目的。 您可以建立名為 受保護標籤原則 的原則,其中只選取受保護的標籤。 原則接著可以發佈至 受保護的使用者 群組。
重要事項
限制套用標籤的能力並不會防止存取已套用標籤的資訊。 若要與標籤原則一起套用存取限制,必須套用包括 數據外洩防護 (DLP) 、 驗證內容 和 標籤加密 的設定。
標籤原則設定
敏感度標籤原則包含各種原則設定,可控制敏感度標籤感知客戶端的行為。 這些設定對於允許澳大利亞政府組織符合一些重要需求非常重要。
預設標籤
[預設標籤] 選項會指示Microsoft 365 依預設自動將選取的標籤套用至專案。 若要符合澳大利亞政府 PSPF 和 ISM 需求,預設標籤設定會設定為 [無]。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8、需求 2 (核心需求) (v2018.6) | 評估機密和安全性分類資訊: ...若要決定要套用哪些安全性分類,起始者必須: i. 評估官方信息的價值、重要性或敏感度,方法是考慮如果資訊的機密性遭到入侵,可能會對政府、國家利益、組織或個人造成損害... ii. 將安全性分類設定為最低的合理層級。 |
| ISM-0271 (2024 年 6 月) | 保護標記工具不會自動在電子郵件中插入保護標記。 |
標籤變更理由
針對澳大利亞政府組織,Microsoft建議在所有標籤原則上 啟用 標籤變更理由。
對於大部分的組織而言,資訊敏感度可能會隨著時間而改變,範例包括壓縮的信息、媒體版本,以及保留行。 當使用者嘗試移除或降低套用的標籤時,標籤變更理由會在事件中觸發。 此原則設定需要使用者提供變更的原因:
所有標籤變更及其理由回應都會記錄在稽核記錄中,而且系統管理員可以在 [Purview 活動總管] Microsoft檢視。
標籤變更警示
卷標變更可以輕鬆地設定為在 Microsoft Sentinel和其他安全性資訊和事件管理 (SIEM) 中發出警示。
政府機關中所有變更的標籤警示都可能導致不必要的「雜訊」,這可能會混淆需要進一步調查的警示。 下列範例會在政府設定中示範此設定。
卷標變更理由不會自動觸發子捲標之間的變更。 如果使用與本文所提供的設定類似的標籤分類法,使用者可以新增或移除資訊管理標記 (IMM) ,而不需要證明動作的合理性。 不過,這些標籤變更會記錄在稽核記錄中。
政府組織應該考慮標籤變更理由保留需求,並根據這些設定稽核記錄保留原則。 如需稽核記錄和記錄保留選項的詳細資訊,請參閱 稽核記錄。
重新分類考慮
標籤變更理由是可用選項與政府需求意圖不同的功能。 PSPF 指出 原始者 已定義最初產生或接收資訊的實體,必須繼續負責控制其解密或重新分類:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 需求 3 - (v2018.6) | 原始者必須繼續負責控制資訊的清理、重新分類或解密。 未經寄件者核准,實體不得移除或變更信息的分類。 |
此外,ISM-1089 會指出:
| 需求 | 詳細資料 |
|---|---|
| ISM-1089 (2023 年 3 月) | 保護標記工具不允許使用者回復或轉寄電子郵件,以選取低於先前使用的保護標記。 |
Microsoft Purview 中使用的方法是「信任但驗證」之一,可讓具有編輯專案許可權的用戶調整套用至這些專案的標籤。 標籤變更理由可針對任何變更提供監視和責任。
考慮 PSPF 重新分類需求與 Microsoft 的「信任但驗證」方法相符的人,應該注意下列可用選項。
以原則為基礎的方法
Microsoft建議澳大利亞政府組織以自己的組織原則型控件作為滿足分類需求的主要方法。 此外,Microsoft建議使用監視和警示強化原則型控件,以偵測不適當的模式。 這是因為組態會防止項目變更。 「鎖定」標籤的結果會影響使用者和系統管理員,特別是在發生變更時。 例如,組織共用之專案上標籤的「鎖定」可能需要使用加密,這可能會影響其他服務,例如記錄管理系統。 這些許可權也可能需要系結至使用者的網域,這可能會受到政府機關 (MoG) 變更的影響。
當政府組織考慮可用的選項時,可能值得記住,PSPF 包含一系列成熟度和核心類別,以及支援需求。 組織必須自行決定這項支援需求的重要性,以符合其 PSPF 目標,並權衡需求:
- 可用性
- 潛在的用戶影響
- 對整體 PSPF 成熟度的影響
- 可能的MoG
以 DLP 為基礎的方法
此方法會使用額外的 Microsoft 365 功能,並使用 Microsoft Purview 來降低與資訊外洩相關的風險。 其中一個範例是使用 DLP 來封鎖敏感性信息離開組織。 專案主要可以根據其套用的標籤,也可以根據其包含的信息來識別為敏感性。 實作著重於內容而非僅限標籤的第二層 DLP,可減少惡意使用者在降低或移除標籤之後,能夠外洩資訊的能力。 如需此分層方法的詳細資訊,請參閱 防止安全性分類資訊的不當散發 和 限制敏感性資訊的散發。 這些功能也可以透過端點 DLP 擴充至裝置,並透過 Defender for Cloud Apps 擴充至其他雲端應用程式。
組織可以使用 DLP 來識別和解決分類問題。 舉例來說,敏感性資訊類型 (SIT) 用來識別主旨標記中的 'SEC=OFFICIAL:Sensitive',但電子郵件交談卻標示為 OFFICIAL。 在交談主體中,DLP 會識別較高的敏感度標記,因此可以封鎖交談或導向至安全性小組以進行進一步的動作。 您可以在 透過 DLP 控制已標示資訊的電子郵件中,看到評估套用至專案而非敏感度標籤的方法範例。
以用戶風險為基礎的方法
組織可以藉由將 DLP 資訊與可能表示惡意行為模式的使用者訊號相互關聯,來擴充 DLP 控件。 這項功能是透過 Microsoft Purview 內部風險管理 (IRM) 來提供。
IRM 會警示系統管理員使用者,這些用戶會重複嘗試將資訊外洩為「有風險」,並允許安全性小組介入。 此工具能夠內嵌 HR 數據摘要,並將數據外流活動與 HR 訊號相互關聯,例如擱置合約結束日期。 您可以立即識別並處理此功能訊號給具有惡意意圖的系統管理員使用者,以消除惡意解密和外泄的風險。
為了進一步建置此功能,您可以在 IRM 中啟用 調適型保護功能 ,這可以自動限制有風險的使用者存取權,以及在風險事件之後外洩標記資訊的能力。 這有助於立即實作控件來保護資訊,而不是等待安全性小組採取警示動作。
使用分層方法保護資訊時,只有針對指定的封存法案記錄使用 卷標鎖定 的封存法所指定的記錄,才需要嚴格的重新分類限制。
防止重新分類變更
有兩個選項可防止重新分類適用於不同的使用案例需求。
以加密為基礎的方法
防止標籤變更的另一個選項是使用標籤加密,以及限制使用者修改專案屬性的許可權。 共同擁有者許可權允許變更屬性,包括套用的標籤,而共同作者許可權則允許編輯專案,但不允許編輯其屬性。 這類設定必須由群組結構支援,才能支援將這類許可權配置給需要這些許可權的人員。 此設定也需要考慮在 敏感度標籤加密中討論的標籤加密的其他層面。
如需支援此功能之必要 Azure Rights Management 許可權的詳細資訊,請參閱設定 Azure 資訊保護 (AIP) 的許可權。
標籤 'lock' 方法
封存法第24節 和第 26節 禁止處置或改變特定的聯邦記錄類型。 標籤變更是記錄的元數據,可以構成該記錄的改變。 若要禁止標籤變更,組織可以實作保留標籤,以利用 Microsoft Purview 記錄管理 功能來「鎖定」處於狀態的專案。 鎖定之後,專案及其相關聯的敏感度標籤就無法變更,因此無法重新分類。 以這種方式設定Microsoft 365,可協助組織同時符合 PSPF 和封存法對這些英國記錄類型的需求。
如需防止透過記錄標籤變更專案的詳細資訊,請參閱 使用保留標籤宣告記錄。
強制套用標籤
標籤原則可讓使用者選取文件和電子郵件的標籤。 這個設定會提示使用者在每次選取標籤時:
- 將新專案儲存 (檔案或電子郵件) 、
- 嘗試傳送未標記的電子郵件,或
- 變更尚未套用標籤的專案。
此設定可確保所有專案都已套用保護標記和其他相關聯的控件。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8、需求 1 (核心需求) - 識別 v2018.6 (的資訊) | 產生者必須判斷所產生的資訊是否為官方資訊 (作為官方記錄) ,以及該資訊是否為機密或安全性分類。 |
| PSPF 原則 8、需求 2 (核心需求) - 評估 v2018.6 版 (資訊的敏感度和安全性分類) | 若要決定要套用哪些安全性分類,起始者必須: i. 評估官方信息的價值、重要性或敏感度,方法是考慮在資訊的機密性遭入侵時,可能對政府、國家利益、組織或個人造成的損害... ii. 將安全性分類設定為最低的合理層級。 |
提示
雖然強制標籤設定可確保專案已套用標籤,但建議您以用戶端為基礎的自動套用標籤建議,並加以設定並啟用,以引導使用者使用正確的卷標應用程式。 如需這項功能的詳細資訊,請參閱 以客戶端為基礎的自動套用標籤 一文。
標籤繼承
標籤繼承設定可讓電子郵件繼承其附件的敏感度。 如果將敏感度較高的專案附加至已套用較低敏感度標籤的電子郵件,這會生效。 此設定有助於確保高敏感性專案不會透過較低的敏感度電子郵件不當揭露。
如同所有自動套用標籤程式,自動化不會覆寫手動套用的標籤。 為了獲得最大效益,澳大利亞政府組織應該同時選取這兩個選項。 選取這兩個選項可讓新建立的項目繼承附件敏感度。 在使用者已套用標籤的情況下,第二個選項會生效,並建議提高電子郵件的敏感度以符合。
此設定符合下列需求:
| 需求 | 詳細資料 |
|---|---|
| ISM-0270 (2024 年 6 月) | 保護標記會套用至電子郵件,並反映主旨、本文和附件的最高敏感度或分類。 |
| ISM-0271 (2024 年 6 月) | 保護標記工具不會自動在電子郵件中插入保護標記。 |
標籤繼承有助於確保:
- 例如,系結至電子郵件標籤的任何郵件流程或 DLP 相關控件 (,在 防止電子郵件散佈機密資訊 時所討論的控件) 會根據電子郵件的附件套用。
- 如果繼承的標籤包含任何進階控件,例如標籤加密,則電子郵件會套用這些控件 (如 敏感度標籤加密) 中所述。
自訂說明頁面
自訂說明頁面選項可讓組織透過標籤表底部顯示的 [深入瞭解] 選項來提供連結。 系統會將使用者導向網站的 URL,以提供如何正確套用敏感度標籤,並通知使用者其標記或分類義務的相關信息。
除了標籤工具提示,員工在判斷哪個標籤最適合某個專案時,也會使用「深入瞭解」網站。 這與 PSPF 原則 8 需求 2 一致,因為它可協助用戶評估敏感性和安全性分類資訊。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8、需求 2 (核心需求) :評估 v2018.6 (的安全性分類資訊) | 若要決定要套用哪些安全性分類,起始者必須: i. 評估官方信息的價值、重要性或敏感度,方法是考慮在資訊的機密性遭入侵時,可能對政府、國家利益、組織或個人造成的損害... ii. 將安全性分類設定為最低的合理層級。 |
組織通常會利用員工內部網路或類似位置來發佈與分類需求和程式相關的內容。 此相同網站可能是此「深入瞭解」連結的適當目標。 這類網站還有其他用途,如同 數據就地警示中進一步討論。
原則排序
如本文開頭所述,您可以設定多個標籤原則,將不同的標籤或不同的原則選項部署至使用者群組。 在這些案例中,如同標籤,原則排序很重要。 在多個原則範圍內的使用者,會收到透過各種原則指派給他們的所有標籤,但只會收到來自最高順序原則的設定。
卷標原則範例
下列標籤範例示範澳大利亞政府組織的一般原則設定。 下列受保護原則旨在示範一組卷標如何只發佈給使用者子集,而且並非每個組織都需要:
| 原則名稱 | 順序 | 已發佈的標籤 | 發佈至 |
|---|---|---|---|
| 所有用戶原則 | 0 | -非官方 -官方 - OFFICIAL:敏感性 - OFFICIAL:敏感性個人隱私權 - OFFICIAL:敏感性法律許可權 - OFFICIAL:敏感性機密機密 - 官方:機密國家封包 |
所有使用者 |
| 測試原則 | 1 | 全部 | 測試用戶帳戶 |
| 受保護的原則 | 2 | -保護 - 受保護的 Personal-Privacy - 受保護的 Legal-Privilege - 受保護的 Legislative-Secrecy - 受保護的封包 - 受保護的國家封包 |
'Protected Users' Microsoft 365 群組 |
這些原則可以使用下列設定來設定,最符合澳大利亞政府的需求:
| 原則選項 | 設定 |
|---|---|
| 用戶必須提供移除標籤或降低其分類的理由。 | 啟用 |
| 要求使用者將標籤套用至其電子郵件和檔。 | 啟用 |
| 要求使用者將標籤套用至其 Power BI 內容。 | 啟用 |
| 為使用者提供自定義說明頁面的連結。 | 插入內部網路型說明網站 URL |
| 檔的預設標籤。 | 無 |
| 電子郵件的預設標籤。 | 無 |
| 從附件繼承標籤。 - Email 從附件繼承最高優先順序的標籤。 - 建議使用者套用附件的標籤,而不是自動套用。 |
啟用 啟用 |
| 會議和行事曆活動的預設標籤。 | 無 |
| 要求使用者將標籤套用至其會議和行事曆活動。 | 啟用 |
| 網站和群組的默認標籤。 | 無 |
| 要求使用者將標籤套用至其群組或網站。 | 啟用 |
| Power BI 的默認標籤。 | 無 |
標籤原則變更
負責管理標籤或標籤原則設定變更的員工應該注意,變更最多需要 24 小時的時間,才能將任何變更部署至使用者,並同步至用戶端裝置。 這應該納入測試和技術變更視窗中。
提示
在使用者需要快速測試設定的情況下,這些使用者可以註銷其 Microsoft 365 Apps Outlook 或 Office 用戶端,然後重新登入。 當用戶端登入時,它會收到已配置原則的較新複本,以加速標籤或原則部署程式。