Eventos
Aceite o Desafio do Microsoft Learn
19 de nov., 23 - 10 de jan., 23
Ignite Edition - Desenvolva habilidades em produtos de segurança da Microsoft e ganhe um selo digital até 10 de janeiro!
Registrar agoraNão há mais suporte para esse navegador.
Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes.
Este guia de Proteção de Informações do Microsoft Purview foi preparado pela Microsoft para utilização pelo Governo australiano e outras organizações interessadas. A sua intenção é ajudar os clientes do Governo australiano a melhorarem a sua postura de segurança de dados ao cumprirem os requisitos de classificação e proteção de informações. Neste guia, os conselhos alinham-se de perto com os requisitos definidos no Protected Security Policy Framework (PSPF) e no Manual de Segurança de Informações (ISM).
Este guia destina-se a Diretores de Dados do Governo Australiano (CDO), Chief Technology Officers (CTO), Chief Security Officers (CSO), Chief Information Security Officers (CISO), responsáveis pelo risco ou conformidade, privacidade das informações ou outras funções de gestão de informações.
A abordagem de programa sugerida ajuda as organizações a estabelecer um programa e a trabalhar rapidamente para melhorar a maturidade da proteção de informações.
O guia é escrito para uma organização governamental, com exemplos escritos aplicáveis a este efeito. No entanto, todas as organizações governamentais têm de adaptar a documentação de orientação aos seus requisitos exclusivos. Um exemplo é uma nuance legislativa específica aplicável a uma organização. Os exemplos também ajudam nessas nuances.
A secção do guia intitulado Requisito do Governo Australiano para o mapeamento de capacidades inclui uma lista completa dos requisitos da Política 8 e política 9 do PSPF, juntamente com uma explicação de como as capacidades do Microsoft Purview podem ser configuradas para cumprir cada requisito e uma ligação para as secções de guia correspondentes. Também são discutidos os requisitos relevantes do Standard de Metadados de Controlo de Registos do Governo Australiano (AGRkMS) e do Manual de Segurança de Informações (ISM).
Este guia utiliza três capacidades principais para cumprir os requisitos de proteção e classificação de informações governamentais, nomeadamente:
O diagrama seguinte fornece uma descrição geral conceptual da interação entre estas três capacidades do Microsoft 365, juntamente com exemplos de utilização.
Proteção de Informações do Microsoft Purview inclui uma capacidade chamada etiquetagem de confidencialidade. A etiquetagem de confidencialidade permite que os utilizadores apliquem etiquetas a itens como ficheiros e e-mail. Estas etiquetas podem ser alinhadas com controlos de segurança de dados para proteger as informações incluídas. A etiquetagem de confidencialidade também pode ser alargada a outros serviços, como sites do SharePoint, Equipas e reuniões.
As etiquetas de confidencialidade, quando alinhadas com os requisitos de classificação de uma organização, como as definidas na Política 8 do Protective Security Policy Framework (PSPF), permitem-nos tratar as etiquetas como classificações. Fornecem-nos marcas visuais através da interface de utilizador e outras opções de marcação. Por exemplo:
Os controlos de segurança de dados que podem ser aplicados através de etiquetas de confidencialidade incluem:
Estas capacidades estão alinhadas com os requisitos do Governo australiano para a marcação e proteção de informações confidenciais ou classificadas de segurança.
Conforme abordado no suporte de cliente do Microsoft Office, os utilizadores normalmente interagem com itens etiquetados através de um cliente do Office Microsoft 365 Apps, cliente baseado na Web ou equivalente a um dispositivo móvel. Estes clientes permitem que os utilizadores apliquem etiquetas a itens.
Se um utilizador se esquecer de aplicar uma etiqueta a um item, o cliente pede ao utilizador para aplicar uma etiqueta antes de guardar o item ou, se for um e-mail, antes de o enviar.
Enquanto um utilizador está a trabalhar num item, se ainda não tiver sido aplicada uma etiqueta e forem detetadas informações alinhadas com uma classificação, pode ser fornecida uma recomendação de etiqueta ao utilizador. Se for detetado conteúdo confidencial que se alinha com uma classificação superior à etiqueta de confidencialidade aplicada, pode ser fornecida uma recomendação ao utilizador para que aumente a sensibilidade do item.
Estas recomendações ajudam a garantir a precisão da etiqueta. A precisão da etiqueta é importante, pois muitos controlos que regem o fluxo de informações baseiam-se na confidencialidade do item.
Microsoft 365 Copilot herda as múltiplas formas de proteção do Microsoft 365 contra o comprometimento e o acesso não autorizado. O modelo de permissão no Microsoft 365 ajuda a garantir que as informações não podem ser intencionalmente divulgadas entre utilizadores e grupos.
Importante
A configuração do Microsoft Purview não é um pré-requisito do Copilot para o Microsoft 365. No entanto, a implementação de configurações do Microsoft Purview reforça a sua postura geral de segurança de informações em todo o ambiente da sua organização, incluindo o Copilot.
As mitigações de risco de informações fornecidas pelo Microsoft Purview complementam o Copilot para o Microsoft 365. O exemplo mais simples é através da herança de etiquetas. Se Copilot for utilizado para gerar um item com base num item de origem, por exemplo, para gerar um resumo de uma origem Word documento, as etiquetas de confidencialidade que foram aplicadas ao item de origem são herdadas pelo item gerado. Isto ajuda a garantir que as proteções aplicadas às informações são mantidas à medida que as informações mudam de formulário.
Ao avaliar potenciais preocupações de segurança que possam ocorrer como resultado da ativação do Copilot para o Microsoft 365, os riscos podem ser agrupados em três categorias:
As seguintes capacidades, que são abordadas neste guia, são capazes de ajudar a mitigar a fuga de dados do Copilot e os riscos de sobrepartilho de dados:
Para obter mais informações específicas do Copilot para o Microsoft 365 sobre estes controlos, consulte Considerações de proteção de informações para o Copilot.
Relativamente aos riscos relacionados com a fuga de dados nas ferramentas de IA, a encriptação de etiquetas de confidencialidade é relevante para esta situação. Outros controlos não são específicos do Microsoft Purview e não são abordados como parte deste guia. No entanto, as seguintes ligações fornecem informações relevantes:
Se quiser contactar os criadores deste guia para discutir os conselhos fornecidos, então sinta-se à vontade para fazê-lo através do AUGovMPIPGuide@microsoft.com.
Eventos
Aceite o Desafio do Microsoft Learn
19 de nov., 23 - 10 de jan., 23
Ignite Edition - Desenvolva habilidades em produtos de segurança da Microsoft e ganhe um selo digital até 10 de janeiro!
Registrar agora