使用英语阅读

通过


澳大利亚政府符合 PSPF Microsoft Purview 信息保护指南

本Microsoft Purview 信息保护指南由Microsoft编写,供澳大利亚政府和其他有关组织使用。 其意图是协助澳大利亚政府客户改善其数据安全状况,同时满足信息分类和保护要求。 本指南中的建议与 受保护安全策略框架 (PSPF) 信息安全手册 (ISM) 中列出的要求紧密一致。

本指南面向澳大利亚政府首席数据官 (CDO) 、首席技术官 (CTO) 、首席安全官 (CSO) 、首席信息安全官 (CISO) 、风险或合规官、信息隐私或其他信息管理角色。

建议的计划方法 可帮助组织建立计划并快速提高信息保护成熟度。

本指南是为样板政府组织编写的,其中包含适用于此效果的示例。 但是,每个政府组织都需要根据其独特的要求定制指南。 例如,适用于组织的特定立法细微差别。 这些示例也有助于解决此类细微差别。

标题为 “澳大利亚政府对功能映射的要求 ”的指南部分包括 PSPF 策略 8 和策略 9 要求的完整列表,以及有关如何配置 Microsoft Purview 功能以满足每个要求的说明,以及指向相应指南部分的链接。 此外,还讨论了 (ISM) 和澳大利亚政府记录保存元数据Standard (AGRkMS) 要求的相关信息安全手册

体系结构概述

本指南利用三个关键功能来满足政府信息保护和分类要求,即:

  • 敏感度标记
  • 数据丢失防护 (DLP)
  • 敏感度自动标记

下图概述了这三Microsoft 365 功能之间的交互以及使用示例。

显示 Microsoft Purview 组件之间的示例集成的插图。

敏感度标记

Microsoft Purview 信息保护包括称为敏感度标记的功能。 敏感度标签允许用户将标签应用于文件和电子邮件等项目。 这些标签可以与数据安全控制保持一致,以保护封闭的信息。 敏感度标签还可以扩展到其他服务,例如 SharePoint 网站、Teams 和会议。

当敏感度标签符合组织分类要求(如保护安全策略框架 (PSPF) 策略 8 中定义的要求)时,我们可将标签视为分类。 它们通过用户界面和其他标记选项为我们提供了视觉标记。 例如:

在电子邮件中标记视觉对象。

可以通过敏感度标签应用的数据安全控制措施包括:

这些功能符合澳大利亚政府对敏感或安全机密信息的标记和保护要求。

标记客户端体验

Microsoft Office 客户端支持中所述,用户通常通过Microsoft 365 应用版 Office 客户端、基于 Web 的客户端或移动设备等效项与已标记的项目进行交互。 这些客户端允许用户将标签应用于项。

Office 客户端中的标签选择。

如果用户忘记将标签应用于项目,客户端 会提示用户在 保存项目之前应用标签,如果是电子邮件,则提示在发送项目之前应用标签。

当用户处理项目时,如果尚未应用标签,并且检测到与分类一致的信息,则可以向用户提供 标签建议 。 然后,如果检测到敏感内容与比应用的敏感度标签更高的分类一致,则可以向用户提供一个建议,让他们提高项目的敏感度。

基于客户端的自动标记建议示例。

此类建议有助于确保标签的准确性。 标签准确性很重要,因为许多控制信息流的控件都基于项敏感度。

适用于 Copilot

智能 Microsoft 365 Copilot 副驾驶®继承了Microsoft 365 的多种形式的保护,防止入侵和未经授权的访问。 Microsoft 365 中的权限模型有助于确保用户和组之间不会有意泄露信息。

重要

Microsoft Purview 配置不是 Copilot for Microsoft 365 的先决条件。 但是, 部署 Microsoft Purview 配置可增强组织整个环境中(包括 Copilot)的整体信息安全状况。

Purview Microsoft提供的信息风险缓解措施对 Copilot for Microsoft 365 进行了补充。 最简单的示例是通过标签继承。 如果使用 Copilot 基于源项生成项(例如,生成源Word文档的摘要),则应用于源项的任何敏感度标签都会由生成的项继承。 这有助于确保对信息应用的保护在信息更改表单时得到维护。

显示 copilot 中的标签继承的插图。

在评估可能因 Copilot 启用Microsoft 365 而引发的潜在安全问题时,风险可分为三类:

  1. 从 AI 工具中泄露数据:Copilot 生成的内容可能包含敏感信息。
  2. 数据过度共享:用户可以分发包含敏感信息的 Copilot 生成的项。
  3. 数据泄漏到 AI 工具:用户可能会无意中将敏感数据泄漏到 Copilot。

本指南中讨论的以下功能有助于缓解 Copilot 数据泄露和数据过度共享风险:

  • 标识信息 标识生成的内容或正在共享的内容是否包含敏感信息或安全机密信息。 控件保护信息自动应用。
  • 基于客户端的自动标记 标识生成的项何时包含敏感信息,并向用户提供标签建议。 标签受任何基于标签的控件的约束。
  • 标签组和站点配置 对位置应用安全控制,包括对共享和外部用户访问的限制。 如果将 Copilot 生成的项移动到某个位置,该位置不被视为对应用于该项目的标签是安全的,则警报触发器将允许清理。
  • 当与强制标记配置配对时,保护机密信息的 DLP 规则适用于所有 Office 文档和电子邮件。 由于标签继承,Copilot 生成的内容继承应用于其源信息的标签,这意味着它们也将在基于标签的相关 DLP 策略的范围内。
  • 保护敏感信息的 DLP 规则 可确保,无论应用于某个项的标签如何,正确的安全控制仍然适用。 这可确保如果 Copilot 可能利用了生成的项目中的敏感信息,则信息受到保护,防止过度共享。
  • 敏感度标签加密 可确保只有经过授权的用户才能访问安全分类项,从而防止过度共享。 此外,加密权限将 Copilot 锁定为高度敏感的项目,从而降低信息包含在生成内容中的风险。

有关这些控制措施Microsoft 365 的更多 Copilot 特定信息,请参阅 Copilot 的信息保护注意事项

对于与 AI 工具中数据泄漏相关的风险, 敏感度标签加密 与此相关。 其他控件不Microsoft Purview 特定,也不会作为本指南的一部分讨论。 但是,以下链接提供了相关信息:

  • 受限 SharePoint 搜索 (RSS) 允许组织将 Copilot for Microsoft 365 限制为仅访问最多 100 个网站的已批准列表。 实现此功能有助于降低 Copilot 索引信息的风险,而组织未准备好使其有权访问这些信息。 此功能用于启用 Copilot,同时实现先前Microsoft Purview 控件列表,并解决因权限不当而导致的任何现有过度共享。 缓解潜在的信息风险后,RSS 将被禁用,使用户能够充分利用 Copilot 的功能。
  • SharePoint 高级版中包含的数据访问治理报告可用于发现包含可能过度共享或敏感内容的网站,以便解决这些问题。
  • SharePoint 高级版中包含的站点生命周期管理可用于自动检测非活动站点并对其执行操作。 删除非活动站点有助于确保 Copilot 有权访问的信息是最新且相关的。

联系我们

如果你想联系本指南的创建者讨论提供的建议,请随时通过 AUGovMPIPGuide@microsoft.com执行此操作。