適用於澳大利亞政府與 PSPF 合規性的服務型自動套用標籤建議
本文提供有關設定的指引,以協助保護安全性分類資訊,方法是使用服務型敏感度自動套用卷標原則。 其目的是協助政府組織改善其資訊安全性狀態,特別是針對在政府組織之間傳遞信息的情況。 本文所撰寫的建議,最符合保護安全策略架構 (PSPF) ( 中所述的需求,特別是 PSPF 原則 8 附錄 F:澳大利亞政府 Email 保護標記標準) 和資訊安全手冊 (ISM) 。
上一篇文章自動 套用標籤概觀,提供有關在現代政府工作環境中使用自動套用標籤的額外高階資訊,以及如何協助降低數據安全性風險。
服務型自動套用標籤功能可啟用:
-
掃描電子郵件中的敏感性內容,並在傳輸期間將標籤套用至這些電子郵件:澳大利亞政府組織可以使用此功能:
- 從其他保護 安全策略架構 (PSPF) 或對等啟用的組織收到標記的電子郵件。
- 透過偵測敏感性資訊或其他標識符,標記從未啟用 PSPF 的組織收到的電子郵件。
-
掃描 SharePoint 位置中的現有專案, (SharePoint/OneDrive/Teams) 中是否有保護標記或敏感性內容,並將卷標套用至這些專案:澳大利亞政府組織可以使用此功能:
- 標示現有的Microsoft 365 個待用數據。
- 從舊版分類工具或分類法移轉。
傳輸期間的電子郵件標籤
本文是 電子郵件標記策略 所涵蓋概念的延伸,其中會討論將標記套用至電子郵件的方法。
針對 Exchange 服務設定的服務型自動套用標籤原則會檢查電子郵件上的標記,並套用適當的標籤。 傳入的電子郵件可能已由發件者組織套用標記或敏感度標籤,但這些標籤預設不會套用任何組織標籤保護。 將外部標記或標籤轉換為內部標籤,可確保套用數據外洩防護 (DLP) 和其他相關控制件。
在澳洲政府的內容中,識別電子郵件的特性通常包括:
- X-保護標記 x 標頭
- 主旨標記
- 以文字為基礎的頁首和頁尾
以 Email 為基礎的原則設定
服務型自動套用標籤原則是在 Microsoft Purview 入口網站的 資訊保護>Policies>自動套用標籤原則下設定。
自動套用標籤原則類似於要建立的 DLP 原則,但不同於 DLP 建議,我們想要套用以電子郵件為基礎的設定的每個標籤都需要單一自動套用卷標原則。
PSPF 標記的自動套用標籤原則檢查是從自定義原則範本建立,並根據動作命名。 例如,標籤傳入的 #D0CD9C8B293AC4DE7B2135A02755034A6。 原則也應套用至 Exchange 服務,以確保 所需的選項,例如 subject 包含 可供介面使用。
若要達到高階的 PSPF 成熟度,應該實作自動套用卷標原則以完成下列作業:
- 根據套用至內送電子郵件的 x 標頭自動套用標籤。
- 根據套用至內送電子郵件的主旨標記自動套用標籤。
- 根據敏感性資訊類型自動套用標籤 (SIT) 出現在內送電子郵件內 (選擇性) 。
每個標籤都需要一個自動套用標籤原則,其中可能有多個規則, (上述每個案例) 一個。 不需要自動取代現有標籤的設定。
X 標頭的規則檢查
建立來檢查電子郵件 X-保護標記 x 標頭的規則應該適當地命名,例如'check for OFFICIAL x-header'。
它們需要標 頭符合標 頭名稱為 『x-保護標記』 的模式,而正則表達式 (RegEx) 值,其可符合傳入電子郵件上的 x 保護標記標頭。 例如,識別標示為 'OFFICIAL: Sensitive Personal Privacy' 之專案的語法為:
X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Personal-Privacy
在此表達式中, [-: ] 會比對連字元、冒號或空格,讓標頭的套用方式有一些彈性,請注意 PSPF 指定冒號。
的模式 (?:,)? 允許比對專案,而不論是否在安全性分類和 IMM 之間包含逗號。
檢查主旨標記的規則
自動套用標籤原則應包含第二個規則,以檢查主體型標記。 這些規則應該適當地命名,例如『Check OFFICIAL subject』。
規則需要 主體比對模式 的條件,以及適當正則表達式的值。 例如:
\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Personal-Privacy
在上述範例中 \ ,需要逸出字元,以確保括號會被視為電子郵件主旨的一部分,而不是正則表達式的一部分。
此語法不包含右括弧 () \] 。 在 IMM) 的多個資訊管理標記 (方法中會 討論此原因。
SIT 的規則檢查
在 識別敏感性資訊 時,我們建議使用一組 SIT 來識別保護標記。 這些 SIT 也可用於套用至電子郵件的自動套用標籤原則。 SIT 提供識別內送電子郵件分類的第三種方法,也有助於補救 x 標頭等量。
邏輯規則需要內容包含、敏感性資訊類型的條件,然後選取與分類相關的 SIT。
提示
相較於 x 標頭或主體型方法,SIT 型規則可以產生更多的誤判。 不熟悉此功能的政府組織可能會考慮只使用 x 標頭和主體型規則來設定其目標,然後在舒適時逐步新增 SIT 型規則。
誤判的範例包括有關分類和服務產生的警示討論,這些警示參考或包含項目內容,例如 DLP 警示。 因此,SIT 型自動套用標籤規則應該會在完整實作之前收到額外的測試或延長監視期間,以清除誤判並套用例外狀況。 範例例外狀況會包含 『microsoft.com』 網域,以服務為基礎的警示會從該網域傳送。
包含 SIT 型規則有顯著的優點。 請考慮 標籤變更理由 ,以及使用者惡意降低套用至電子郵件交談之標籤的風險。 如果 PROTECTED 電子郵件已降低為[非安全性],但我們可以在電子郵件交談的本文中偵測到 『[SEC=PROTECTED]』,則我們可以自動重新套用 PROTECTED 標籤。 這麼做會將它帶回到租使用者受保護 DLP 原則和其他控件的範圍。 在某些情況下,專案會刻意重新分類為較低的狀態,例如,預算預估媒體簡短版本,該版本在特定時間之前已遭到撤銷,因此 SIT 設定必須考慮政府組織中的這些使用案例。
以 SIT 為基礎的規則也有助於容納產生電子郵件但合規性成熟度較低的較小政府組織。 這類組織可能會遺漏更進階的標記方法,例如 x 標頭。
多個 IMM 的方法
資訊管理標記 (IMM) 源自澳大利亞政府記錄保存元數據標準 (AGRkMS) ,是識別受限於非安全性相關限制之資訊的選擇性方式。 如 同使用多個 IMM 時所導入,AGRkMS 會定義 IMM 或 'rights type' 值,這會記錄為 單一屬性。 有些澳大利亞政府組織已透過分類分類來擴充 IMM 的使用,這些分類法允許套用多個 IMM (例如「受保護的個人隱私權密碼」) 。
使用多個 IMM 可能會使 DLP 和自動套用標籤設定變得複雜,因為檢查套用至傳入專案的標記的正規表示式需要更複雜。 傳送至外部組織時,以多個 IMM 標示的電子郵件可能會因為接收電子郵件閘道而產生錯誤解譯的風險。 這會增加信息遺失的風險。 基於這些理由, 敏感度標籤標分類 法和 電子郵件標記策略 中包含的範例只會根據 AGRkMS 規則套用單一 IMM。
僅使用單一 IMM 的組織
為了讓組織只使用單一 IMM 來容納從已套用多個 IMM 的外部組織收到的電子郵件,已從主體型自動套用標籤規則中省略 (『\]) 的方括號。 這可讓我們根據套用至其主旨的第一個 IMM 來為電子郵件加上標籤。 無論您的標籤分類法是否完全符合其他可能傳送電子郵件給您的政府組織,此方法都可確保專案會透過標籤型控制件受到保護。
就 x 標頭型方法而言,將多個 IMM 套用至 X-保護標記 x 標頭的方法可能會透過下列方法來執行:
X-Protective-Marking : SEC=<Security Classification>, ACCESS=<First IMM>, ACCESS=<Second IMM>
如果 X-保護標記語法中未包含右括弧,則會根據標記中的第一個 IMM 來標記專案。 項目接著會透過第一個 IMM 控件受到保護,而第二個 IMM 的視覺標記仍會就緒。
套用多個 IMM 的組織
對於決定要擴充其標籤分類法和其他設定以容納 AGRkMS 規則外部多個 IMM 的人員,他們必須確保其自動套用標籤規則能容納任何可能的衝突。 例如,檢查 'SEC=OFFICIAL:Sensitive, ACCESS=發行者-密碼' 的規則必須排除任何套用第二個 IMM 的值,否則專案可能不正確地以單一 IMM 標示。
您可以藉由將例外狀況新增至自動套用標籤規則來套用排除專案。 例如:
除了標頭符合模式之外:
X-Protective-Marking : SEC=OFFICIAL:Sensitive, ACCESS=Legislative-Secrecy, ACCESS=Personal-Privacy
X-Protective-Marking : SEC=OFFICIAL:Sensitive, ACCESS=Legislative-Secrecy, ACCESS=Legislative-Secrecy
X-Protective-Marking : SEC=OFFICIAL:Sensitive, ACCESS=Legislative-Secrecy, ACCESS=Legal-Privilege
或者,在規則的 RegEx 中容納例外狀況:
標頭符合模式:
X-Protective-Marking :SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legislative-Secrecy(?!, ACCESS=)
針對 SIT 型規則,用於 偵測保護標記的範例 SIT 語法 中包含的語法僅適用於單一 IMM。 這些 SIT 必須經過修改才能消除誤判,而需要新增其他 SIT 以配合額外的標籤。
來自外部政府機關的自動套用標籤資訊
許多澳大利亞政府組織會處理來自外部政府之標示或分類的資訊。 其中一些外部分類在 PSPF 分類法中具有相等性,定義於 PSPF 原則 7:國際共用的安全性治理中。 與外部政府通訊的組織可以使用本指南中所述的方法,將外部標記轉譯為其對等的 PSPF。
處理秘密標記
若未指出適用於資訊的特定保密需求,就不應該將秘密套用至專案:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 C.4 - 資訊管理標記 | 秘密 IMM 可用來注意一或多個特定密碼布建的適用性。 家務部門建議收件者收到特定布建的通知,方法是將警告通知包含在檔的每個頁面頂端或底部,或在電子郵件本文中,以明確識別涵蓋資訊的特定密碼布建。 |
Microsoft建議透過直接符合相關法規的標籤來使用「保密密碼」標籤。 例如,請考慮下列標籤結構:
官方敏感性
- 官方敏感性
- 官方機密機密機密密碼
- 官方機密機密機密密碼範例動作
使用這類標籤結構時,使用與「範例法案」相關信息的使用者,會將「官方機密機密保密範例法」標籤套用至相關信息。 此標籤的視覺標記也應該指出有問題的動作。 例如,他們可以套用「官方:敏感性機密密碼 (範例法) 」的頁首和頁尾。
注意事項
「官方敏感性機密機密範例法」的標籤可能會將其標籤顯示名稱縮短為「官方敏感性範例法」,以改善標籤用戶體驗。 不過,標籤必須包含所有元素,才能支援自動套用標籤。
標籤會提供專案安全性分類的指示、與保密要求相關的事實,以及所參考的特定法規。 依此順序套用的標記也可讓接收資訊但未設定「範例法案」標籤的外部組織識別及處理資訊,並與其 [保密] 標籤一起處理。 將「範例法案」視為保密,可讓保護套用至封入的資訊。
產生資訊的政府組織可能需要區分下列各項:
- 其與「範例法案」相關的資訊
- 與其他法規相關的資訊;和
- 在外部產生的資訊,與其他部門所處理的法規相關。
若要實作此動作,系統管理員會將自動套用標籤規則分成兩個,並使用 SIT 來識別與「範例動作」相關的資訊:
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 OS LS x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legislative-Secrecy AND 群組 NOT 內容包含:敏感性信息類型 範例 ACT 關鍵詞 SIT 包含: (Example Act) |
官方機密機密機密密碼 |
| 檢查OS LS 主旨 | 主體比對模式:\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Legislative-Secrecy 和群組 NOT 內容包含:敏感性資訊類型: 範例 ACT 關鍵詞 SIT 包含: (Example Act) |
官方機密機密機密密碼 |
| 檢查作業系統範例動作 x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legislative-Secrecy AND 內容包含:敏感性信息類型 範例 ACT 關鍵詞 SIT 包含: (Example Act) |
官方敏感性範例動作 |
| 檢查操作系統範例動作主體 | 主體比對模式:\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Legislative-Secrecy AND 內容包含:敏感性資訊類型: 範例 ACT 關鍵詞 SIT 包含: (Example Act) |
官方敏感性範例動作 |
以電子郵件為基礎的自動套用標籤設定範例
此處所列的範例自動套用標籤原則會根據外部政府組織所套用的標記,自動將敏感度標籤至內送電子郵件。
下列範例原則不應是整個組織自動套用標籤設定,因為也應該考慮其他案例,例如列出的 待用項目 標記。
原則名稱:捲標傳入的 #D0379D5A16F8E49018D0DEB356DAA8B68
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查是否有無條件的 x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=UNOFFICIAL |
非官方 |
| 檢查非搜尋的 SUBJECT 主旨 | 主體比對模式:\[SEC=UNOFFICIAL\] |
非官方 |
原則名稱:卷標傳入 OFFICIAL Email
此原則必須確保標示為 OFFICIAL 的專案不會不正確地標示為「官方敏感」。 它會使用非 RegEx 操作數 (?!) 在電子郵件主旨中 () \] 的 x 標頭和右括弧來達成此目的:
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 OFFICIAL x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=OFFICIAL(?![-: ]Sensitive) |
官方 |
| 檢查 OFFICIAL 主旨 | 主體比對模式:\[SEC=OFFICIAL\] |
官方 |
原則名稱:卷標傳入 OFFICIAL 敏感性 Email
此原則必須確保以額外 IMM 標示的專案 (個人隱私權等等。) 或注意事項不會不正確地標示為官方機密。 若要這樣做,它會在主旨中尋找套用至 x 標頭和右括弧的 IMM 或警告 (\]) 。
此範例會檢查國家封包的注意事項,因為這是唯一定義的警告,可與此建議組態中的 OFFICIAL Sensitive 搭配使用。 如果您的組織在其分類法中使用其他注意事項,則也應在表達式中考慮注意事項,以協助確保收到的專案已套用正確的標籤。
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查OS x標頭 | 標頭符合模式:X-Protective-Marking : OFFICIAL[:\- ]\s?Sensitive(?!, ACCESS)(?!, CAVEAT=SH[-: ]NATIONAL[- ]CABINET) |
官方敏感性 |
| 檢查作業系統主旨 | 主體比對模式:\[SEC=OFFICIAL[-: ]Sensitive\] |
官方敏感性 |
原則名稱:卷標傳入 OFFICIAL 敏感性個人隱私權 Email
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 OS PP x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Personal-Privacy |
官方敏感性個人隱私權 |
| 檢查 OS PP 主旨 | 主體比對模式:\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Personal-Privacy |
官方敏感性個人隱私權 |
原則名稱:標示傳入 OFFICIAL 敏感性法律許可權 Email
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 OS LP x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legal-Privilege |
官方敏感性法律許可權 |
| 檢查OS LP主旨 | 主體比對模式:\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Legal-Privilege |
官方敏感性法律許可權 |
原則名稱: 標示傳入官方機密機密機密密碼
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 OS LS x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legislative-Secrecy |
官方機密機密機密密碼 |
| 檢查OS LS 主旨 | 主體比對模式:\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Legislative-Secrecy |
官方機密機密機密密碼 |
原則名稱: 標示傳入官方機密國家封包
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 OS NC x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, CAVEAT=SH[-: ]NATIONAL[- ]CABINET |
官方機密國家封包 |
| 檢查 OS NC 主旨 | 主體比對模式:\[SEC=OFFICIAL[-: ]Sensitive(?:,)? CAVEAT=SH[-: ]NATIONAL[- ]CABINET |
官方機密國家封包 |
原則名稱:卷標傳入 PROTECTED Email
此原則可確保標示為額外 IMM 或注意事項的專案不會不正確地標示為 PROTECTED。 若要這樣做,它會在主旨中尋找套用至 x 標頭和右括弧的 IMM 或警告 (\]) 。
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 PROTECTED x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=PROTECTED(?!, ACCESS)(?!, CAVEAT=SH[-: ]CABINET)(?!, CAVEAT=SH[-: ]NATIONAL[- ]CABINET) |
保護 |
| 檢查受保護的主旨 | 主體比對模式:\[SEC=PROTECTED\] |
保護 |
原則名稱:卷標傳入受保護的個人隱私權 Email
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 PROTECTED PP x 標頭 | 主體比對模式:X-Protective-Marking : SEC=PROTECTED(?:,)? ACCESS=Personal-Privacy |
受保護的個人隱私權 |
| 檢查 PROTECTED PP 主旨 | 標頭符合模式:\[SEC=PROTECTED(?:,)? ACCESS=Personal-Privacy |
受保護的個人隱私權 |
原則名稱:標示傳入的 PROTECTED 法律許可權 Email
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 PROTECTED LP x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=PROTECTED(?:,)? ACCESS=Legal-Privilege |
PROTECTED Legal Privilege |
| 檢查 PROTECTED LP 主旨 | 主體比對模式:\[SEC=PROTECTED(?:,)? ACCESS=Legal-Privilege |
PROTECTED Legal Privilege |
原則名稱:標示傳入的 PROTECTED 安全密碼 Email
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 PROTECTED LS x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=PROTECTED(?:,)? ACCESS=Legislative-Secrecy |
受保護的機密 |
| 檢查 PROTECTED LS 主旨 | 主體比對模式:\[SEC=PROTECTED(?:,)? ACCESS=Legislative-Secrecy |
受保護的機密 |
原則名稱:標記傳入的 PROTECTED CABINET Email
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 P C x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=PROTECTED, CAVEAT=SH[-: ]CABINET |
PROTECTED CABINET |
| 檢查 PROTECTED C 主旨 | 主體比對模式:\[SEC=PROTECTED(?:,)? CAVEAT=SH[-: ]CABINET |
PROTECTED CABINET |
原則名稱:卷標傳入 PROTECTED NATIONAL CABINET Email
| 規則名稱 | 條件 | 要套用的標籤 |
|---|---|---|
| 檢查 P NC x 標頭 | 標頭符合模式:X-Protective-Marking : SEC=PROTECTED, CAVEAT=SH[-: ]NATIONAL[- ]CABINET |
PROTECTED NATIONAL CABINET |
| 檢查 P NC 主旨 | 主體比對模式:\[SEC=PROTECTED(?:,)? CAVEAT=SH[-: ]NATIONAL[- ]CABINET |
PROTECTED NATIONAL CABINET |
SIT 型自動套用標籤會遵循 規則檢查 SIT 中的建議來建立。
標記現有的待用專案
自動套用標籤原則可以設定為掃描位於 OneDrive 和 SharePoint 位置的專案 (其中包含 Teams 基礎小組網站) 保護標記或敏感性資訊。 原則可以以特定用戶的個別 OneDrive 位置、一組 SharePoint 網站或整個服務為目標。
原則可以設定為尋找在 識別敏感性資訊下導入的每個信息識別方法。 包括:
- 預先建置的 SIT,例如Microsoft為識別與澳大利亞隱私法或澳大利亞健康記錄法相關信息所建立的 SIT。
- 可建立以識別政府或組織特定資訊的自定義 SIT,例如許可標識碼、資訊自由 (FOI) 要求號碼等。
- 精確數據比對根據實際匯出資訊而產生的 SIT。
- 任何預先建置、自定義和/或精確數據比對 SIT 的組合,都可能精確識別敏感性資訊。
另外還有新發行的內容述詞功能,可以設定為根據文檔屬性、擴展名或檔名稱來識別專案。 這些述詞適用於想要考慮透過非Microsoft分類工具套用的分類的組織,這些分類工具通常會將文檔屬性套用至專案。 如需內容相關述詞的詳細資訊,請參閱瞭解 Microsoft Purview 資訊保護 如何探索及保護您最敏感的數據。
這些功能的主要使用案例是確保現有資訊已套用正確的標籤。 這可確保:
- 舊版資訊,包括從內部部署位置上傳的資訊,會透過 Purview 的標籤型控件Microsoft保護。
- 以歷程記錄分類或透過非Microsoft工具標示的檔案已套用標籤,因此受到標籤型控件的保護。
SharePoint 型原則設定
SharePoint 型自動套用標籤原則會在 Microsoft Purview 合規性入口網站 內設定 資訊保護 原則自動套用標籤原則。 >>
原則應以 SharePoint 服務為目標。 由於每個自動套用的敏感度標籤都需要原則,因此應該適當地命名原則。 例如,「SPO - 標籤 OFFICIAL 敏感性 PP 專案」。
原則可以使用針對識別標示專案所建構的自定義 SIT。 例如,包含下列登錄表達式的 SIT,可識別套用在文件頂端和底部的文字視覺標記或電子郵件主旨標記所套用的 OFFICIAL 敏感性個人隱私權標記:
OFFICIAL[:\- ]\s?Sensitive(?:\s|\/\/|\s\/\/\s|,\sACCESS=)Personal[ -]Privacy
範例 SIT 語法中提供了一組與未定案澳大利亞政府標記一致的完整 SIT ,以偵測保護標記。
自動套用標籤包含具有 內容包含條件、 敏感性資訊類型* 的規則,後面接著與保護標記對齊的 SIT。
建立之後,此原則會以模擬模式執行,讓系統管理員能夠在任何標籤的自動化應用程式之前驗證設定。
啟用之後,原則會在套用標籤的背景中運作,每天最多 25,000 份辦公室檔。
SharePoint 型自動套用標籤原則範例
下列案例和範例組態可確保所有專案都位於適當的數據安全性控制範圍內,藉此降低信息風險。
敏感度標籤部署後的自動套用標籤
組織部署敏感度標籤之後,從該時間點建立的任何文件都會套用敏感度標籤。 這是因為 強制標籤設定 所致。 不過,在此時間點之前建立的項目有風險。 為了解決這個問題,組織可以部署一組自動套用標籤原則,尋找套用至文件的標記。 如果識別出與敏感度標籤對齊的標記,則原則會完成此標籤。
這些自動套用標籤原則範例會利用範例 SIT 語法中定義的 SIT 來偵測保護標記。 自動套用標籤原則必須包含內容包含、敏感性資訊類型的條件,然後包含與原則標籤對齊的 SIT:
| 原則名稱 | 坐 | 敏感度標籤 |
|---|---|---|
| SPO - 標示為[非官方專案] | 將 Regex SIT | 非官方 |
| SPO - 標籤 OFFICIAL 專案 | OFFICIAL Regex SIT | 官方 |
| SPO - 標籤 OFFICIAL 敏感性專案 | OFFICIAL Sensitive Regex SIT | 官方敏感性 |
| SPO - 標籤 OFFICIAL 敏感性 PP 專案 | OFFICIAL 敏感性個人隱私權 Regex SIT | 官方敏感性個人隱私權 |
| SPO - 標籤 OFFICIAL 機密 LP 專案 | OFFICIAL 敏感性法律許可權 Regex SIT | 官方敏感性法律許可權 |
| SPO - 標籤 OFFICIAL 機密 LS 專案 | OFFICIAL 敏感性機密機密密碼 Regex SIT | 官方機密機密機密密碼 |
| SPO - 標籤 OFFICIAL 機密 NC 專案 | OFFICIAL Sensitive NATIONAL CABINET Regex SIT | 官方機密國家封包 |
| SPO - 標籤受保護的專案 | PROTECTED Regex SIT | 保護 |
| SPO - 標籤受保護的 PP 專案 | PROTECTED Personal Privacy Regex SIT | 受保護的個人隱私權 |
| SPO - 標示受保護的 LP 專案 | PROTECTED Legal Privilege Regex SIT | PROTECTED Legal Privilege |
| SPO - 標示受保護的 LS 專案 | PROTECTED 的機密密碼 Regex SIT | 受保護的機密 |
| SPO - 標示受保護的 NC 專案 | PROTECTED NATIONAL CABINET Regex SIT | PROTECTED NATIONAL CABINET |
| SPO - 標籤受保護的 C 專案 | PROTECTED CABINET Regex SIT | PROTECTED CABINET |
使用歷程記錄分類自動標記專案
如 根據歷程記錄標記的建議所討論,澳大利亞政府標記需求偶爾會變更。 在 2018 年,PSPF 需求已簡化,其中包括將數個「傳播限制標記」 (DLM) 合併成單一「官方:敏感性」標記。 PSPF 原則 8 附錄 E 提供歷程記錄分類和標記的完整清單,以及其目前的處理需求。 其中一些歷程記錄 DLLM 在目前的架構中具有對等標記。 其他則不適用,但處理需求仍適用。 標籤有助於協助組織確保能夠符合其處理需求。
有兩種可能的方法:
- 套用歷史標籤的新式對等專案。
- 以透明方式實作歷程記錄標籤。 包含 DLP 和其他原則來保護資訊,但不要將標籤發佈給使用者。
若要實作上述第一種方法,必須開發對應策略,使歷史與組織目前的標記一致。 這種一致性可能很複雜,因為並非所有標記都有目前的對等專案,有些標記會要求政府組織決定現有專案是否應該套用 IMM。 下表僅提供作為範例。
| 歷程記錄標記 | 敏感度標籤 |
|---|---|
| 僅供官方使用 (FOUO) | 官方敏感性 |
| 敏感性 | 官方敏感性 |
| 敏感性:法律 | 官方敏感性法律許可權 |
| 敏感性:個人 | 官方敏感性個人隱私權 |
| 敏感性:封包 | PROTECTED CABINET |
組織定義對應之後,必須建立 SIT 來識別歷程記錄標記。 對於「僅供官方使用 (FOUO) 」等標記而言,這和建立包含此字詞的關鍵詞 SIT 一樣簡單。 不過,這種方法可能不適合描述性較低的標記,例如「敏感性」,這可能會導致許多誤判。
政府組織應該評估舊版數據,以判斷是否有任何其他特性可用來更精確地識別歷史標記,例如免責聲明、文檔屬性或其他可能存在於歷史專案上的標記。
在分析舊版數據、建立 SIT 以識別標示的專案和自動套用標籤原則部署之後,系統管理員可以執行模擬來判斷標籤應用程式精確度和完成的預期時間範圍。 將應用程式自動套用標籤至舊版檔案後,即可在背景中執行,並由Microsoft 365組織系統管理員監視。
在政府機關變更之後自動套用標籤
政府機制 (MoG) 變更通常牽涉到政府組織之間的責任和資源移動。 當函式從一個組織移至另一個組織時,與該函式相關的資訊通常也需要擷取。 由於敏感度標籤只在單一Microsoft 365環境中相關,因此當項目傳遞至第二個組織時,其套用的標籤不會被套用。 保護標記仍然適用,但標籤 DLP 和數據異地警示等控件可能會遺失。 若要解決此問題,可以針對從外部來源接收的內容執行自動套用標籤,以確保根據專案的現有保護標記套用正確的標籤。
達到此目的的設定,與在 敏感度標籤部署後自動套用標籤下所述的組態相同。 唯一的例外是原則是以儲存接收專案的特定位置為目標。