本文是《澳大利亚政府Microsoft Purview 信息保护指南》的重要组成部分。 其中列出了与 Microsoft Purview 配置相关的 保护安全策略框架 (PSPF ) 要求。 它还提供了有关如何配置 Microsoft Purview 和其他 Microsoft 365 功能以满足所述要求的指导,并提供指向进一步讨论这些功能的指南部分的链接。
保护性安全策略框架
PSPF (保护性安全政策框架) 设定了澳大利亚政府的最低保护安全标准,以实现国内和国际政府业务的有效和高效安全交付。
有关 PSPF 的详细信息,请参阅 保护性安全策略框架。
PSPF 版本 2024 中与Microsoft Purview 信息保护配置关系最密切的部分包括:
- 第 9 节 - 分类 & 注意事项
- 第 10 节 - 信息持有
- 第 12 节 - 信息共享
- 第 17 节 - 访问资源
了解 PSPF 电子邮件服务应用程序的关键是澳大利亚政府Email保护标记Standard,本文档中引用了这一点。
PSPF 包括一个报告机制,使组织能够跨各种 PSPF 策略报告其成熟度级别。 本指南旨在使成熟度较低的组织能够以较少的工作量将其 PSPF 成熟度提高到“管理”或“嵌入”级别。 有关 PSPF 成熟度级别的详细信息,请参阅: 保护性安全策略框架评估报告 2022-23
PSPF 第 9 节 - 分类 & 注意事项
此处列出的要求基于 PSPF 版本 2024 第 9 节 - 分类 & 注意事项 (更新于 2024 年 11 月 1 日) 。
PSPF 第 9 节详细介绍了实体如何正确评估其信息的敏感度或安全分类,并采用标记、处理、存储和处置安排来防范信息泄露。
仅列出了与 Microsoft Purview 和相关配置相关的要求。
要求 58
发起方仍负责控制官方和安全机密信息的清理、重新分类或解密,并批准对信息的安全分类所做的任何更改。
| 解决方案功能 | 节 |
|---|---|
| 记录所有标签相关活动的可审核跟踪,包括删除或降低应用的敏感度标签。 记录标签更改活动,包括进行更改的用户及其这样做的理由。 |
标签更改理由 审核日志 |
| 报告正在从事被认为对信息安全有风险的活动的用户,包括标签降级和外泄序列。 |
基于用户风险的方法 通过内部风险管理监视共享 |
| 自动对从事风险活动的用户实施其他数据安全控制,例如降低应用的安全分类。 | 自适应保护 |
| 对限制内部或来宾修改项目、保留项目和应用标记/分类功能的项目应用加密。 | 分配标签加密权限 |
| 通过保护性标记检测分类降低的项目,并防止其进一步分布。 | 阻止重新分类的电子邮件 |
| 通过将项声明为记录来防止重新分类,将其锁定为任何进一步的更改,包括应用的敏感度标签的更改。 | 阻止重新分类 |
要求 59
(用作正式记录) 的官方信息的价值、重要性或敏感性由发起人评估,方法是考虑如果信息的机密性受到损害,可能会对政府、国家利益、组织或个人造成损害。
| 解决方案功能 | 节 |
|---|---|
| 要求用户通过敏感度标签 (文件和电子邮件) 确定项目的敏感度。 |
标记客户端体验 强制标记 敏感度标记 PDF 集成 |
| 将保护标记应用于站点和 Teams) (位置,并将保护应用于标记的位置。 | 敏感度标签组和站点配置 |
| 定义会议的敏感度并实现关联的作控制。 | 日历项和团队会议的敏感度标签 |
| 要求用户通过敏感度标签识别 Power BI 工作区的敏感度。 | Power BI 和数据集成 |
| 将标签应用于驻留在数据库系统中的敏感信息。 | Azure 数据治理 |
| 应用电子邮件标头,可用于识别传入项目的敏感度并应用适当的控件。 | 在传输过程中标记电子邮件 |
要求 60
安全分类设置为最低合理级别。
| 解决方案功能 | 节 |
|---|---|
| 为用户提供在选择敏感度标签时评估项的价值、重要性和敏感度的机会。 | 强制标记 |
| 通过包含标签说明的标签弹出对话框(在标签选择过程中可见)指导用户评估项目敏感度。 | 用户的标签说明 |
| 提供配置特定于组织的 “了解详细信息 ”链接的功能,该链接可从标签选择菜单访问,并可以为用户提供有关信息类型的相应标签的进一步指导。 | 自定义帮助页 |
| 通过检测分类不足的项目并在适当时建议重新评估,帮助用户评估信息持有量。 | 基于敏感内容检测推荐标签 |
| 通过识别从数据库应用程序或类似平台中获取或存在的敏感数据,帮助评估信息。 | 精确数据匹配敏感信息类型 |
| 利用机器学习来识别通常被视为敏感的项,从而协助评估信息。 | 可训练的分类器 |
| 通过推荐与外部组织应用的标记一致的标签,帮助用户评估信息持有量。 | 基于外部机构标记的建议 |
| 通过推荐与历史标记一致的标签,帮助用户评估信息持有量。 |
基于历史标记的建议 使用历史安全分类自动标记项 |
| 通过推荐与非Microsoft分类解决方案应用的标记一致的标签,帮助用户评估信息持有量。 | 基于非Microsoft工具应用的标记的建议 |
| 在项目中检测到敏感信息时,通过 DLP 策略提示 向用户提供视觉通知,从而协助评估信息。 | 冲突前的 DLP 策略提示 |
| 识别驻留在数据库系统中的敏感信息,对信息进行标记,并允许在下游系统上继承标签。 |
Power BI 和 Azure Purview Microsoft Purview 数据映射 |
要求 61
安全分类信息使用适用的安全分类进行明确标记,并在相关时使用基于文本的标记进行安全警告,除非出于作原因不切实际。
| 解决方案功能 | 节 |
|---|---|
| 应用基于文本的保护标记来标记敏感和安全机密信息。 |
敏感度标签内容标记 信息标记策略 |
| Microsoft Office 客户端通过基于客户端的标签标记提供项敏感度的明确标识。 | 标记客户端体验 |
| 应用颜色编码标记以协助用户识别敏感度。 | 标签颜色 |
| 将标记应用于站点或 Teams 等位置。 这些标记标识应在位置/容器中存在的最高级别的项敏感度。 | 数据不就地警报 |
| 在基于 SharePoint 的目录 (网站、Teams 或 OneDrive) 中工作时,请清楚地识别对用户的项敏感度。 | SharePoint 位置和项敏感度 |
要求 62
应用最低保护和处理要求来保护官方和安全机密信息。
| 解决方案功能 | 节 |
|---|---|
| Microsoft 365 个数据中心中存储的信息通过 BitLocker 加密进行静态加密。 | 加密概述 |
| 要求传输层安全性 (TLS) 加密,以便对基于电子邮件的敏感项进行传输,确保在通过公用网络传输时对其进行加密。 | 要求对敏感电子邮件传输进行 TLS 加密 |
| 配置精细访问控制,以 (站点或 Teams) 标记的位置,并阻止不符合访问要求或许可的用户、设备或位置。 |
非托管设备限制 身份验证上下文 |
| 通过限制共享、来宾访问和控制标记位置的隐私配置来维护需要知道的原则。 | 敏感度标签组和站点配置 |
| 应用 DLP 策略来帮助确保需要知道,并限制将项目分发给未经授权的或未明确识别的内部用户和外部组织。 | 限制敏感信息的分发 |
| 加密敏感或安全分类项,提供访问控制,并确保只有授权用户才有权访问包含的信息,而不考虑项目的位置。 | 敏感度标签加密 |
| 将保护(包括加密、共享和 DLP 相关控制)应用于从标记的源系统生成的导出或 PDF。 | Power BI 和数据集成 |
| 标识标有历史安全分类的项,并使用新式标记自动对齐,或者保留历史标签以及所需的控件。 | 基于历史标记的建议 |
要求 63
澳大利亚政府安全注意事项Standard和控制当局施加的特殊处理要求,以保护安全信息。
| 解决方案功能 | 节 |
|---|---|
| 通过敏感度标签结构标记 () 或分类的 DLL 标记信息和相关传播限制标记。 | 所需的敏感度标签分类 |
| 通过文本标记关联项的注意事项。 |
敏感度标签内容标记 基于主题的标记 |
| 记录所有传入和传出的材料转移。 | 审核日志 |
| 应用注意事项分发和/或访问限制。 |
限制敏感信息的分发 敏感度标签加密 |
要求 64
安全警告明确标记为文本,并且仅与 PROTECTED 或更高安全分类一起显示。
| 解决方案功能 | 节 |
|---|---|
| 通过敏感度标签结构标记 () 或分类的 DLL 标记信息和相关传播限制标记。 | 所需的敏感度标签分类 |
| 通过文本标记关联项的注意事项。 |
敏感度标签内容标记 基于主题的标记 |
要求 66
责任材料按照发起人施加的任何特殊处理要求进行处理,并在澳大利亚政府安全警告Standard详述的安全警告所有者。
| 解决方案功能 | 节 |
|---|---|
| 配置可应用于责任材料的敏感度标签,以更好地识别和保护包含的信息。 | 责任材料 |
| 防止未经授权分发责任材料。 | 防止不当分发安全机密信息 |
| 对项目应用加密,以便只有经过授权的用户才能访问它们。 | 敏感度标签加密 |
| 识别并报告Microsoft 365 环境中的责任材料的位置。 | 内容资源管理器 |
要求 67
澳大利亚政府Email保护性标记Standard适用于保护通过电子邮件在澳大利亚政府实体(包括其他授权方)之间交换的官方和安全机密信息。
| 解决方案功能 | 节 |
|---|---|
| 对电子邮件应用保护性标记,以便通过接收政府组织来解释它们 | 使用 Microsoft Purview 为澳大利亚政府Email标记策略 |
| 通过电子邮件元数据 (x 标头) 应用保护性标记。 | 通过 DLP 策略应用 x 保护标记标头 |
| 通过电子邮件主题应用保护性标记。 | 应用基于主题的电子邮件标记 |
| 通过在收到时向安全分类电子邮件应用相应的敏感度标签来维护分类。 | 在传输过程中标记电子邮件。 |
要求 68
澳大利亚政府记录保存元数据Standard的“安全分类”属性 (相关,“安全注意事项”属性) 应用于对存储、处理或传达安全机密信息的技术系统上的信息进行保护性标记。
| 解决方案功能 | 节 |
|---|---|
| 索引 安全分类 和安全 注意事项 和 传播限制标记 属性通过 SharePoint 搜索,符合 AGRkMS 要求。 | 管理分类和注意事项元数据 |
| 根据 PSPF 策略 8 附件 F,应用 X 保护标记 x 标头以满足电子邮件元数据要求。 | 通过 DLP 策略应用 x 保护标记标头 |
| 将元数据应用于包含已连接数据库系统中敏感信息的数据库列。 | Power BI 和数据集成 |
要求 69
在实体希望按访问限制类型对信息内容进行分类的“Rights”属性Standard应用澳大利亚政府记录保存元数据。
| 解决方案功能 | 节 |
|---|---|
| 实现额外的元数据属性,以便于对敏感记录或具有特定访问和使用限制的记录进行适当的管理和使用。 | Rights 属性 |
要求 70
安全机密讨论和安全机密信息的传播仅在已批准的位置进行。
| 解决方案功能 | 节 |
|---|---|
| 对 Teams 会议邀请和 Outlook 日历项目应用保护性标记。 将控件应用于日历项,例如会议附件的加密。 |
日历项的标记 |
| 对 Teams 会议应用保护性标记,并配置高级控制来保护机密对话,包括高级加密技术和会议水印。 Teams 对话的端到端加密,为用户提供无法截获敏感或安全分类讨论的保证。 |
Teams 高级版标签配置 |
PSPF 第 10 节 - 信息持有
此处列出的要求基于 PSPF 版本 2024 第 10 节 - 信息持有 (更新于 2024 年 11 月 1 日) 。
仅列出了与 Microsoft Purview 和相关配置相关的要求。
要求 71
实体为其信息持有实现作控制,这些控制与其价值、重要性和敏感度成正比。
| 解决方案功能 | 节 |
|---|---|
| 通过使用数据丢失防护 (DLP) 基于敏感度标签的策略,防止安全机密信息的不当分发。 | 保护机密信息 |
| 通过使用数据丢失防护 (DLP) 针对敏感内容的策略来防止敏感信息的不当分发。 | 保护敏感信息 |
| 在各个项上提供视觉标记,以反映应用于项目中信息的安全分类。 | 敏感度标签内容标记 |
| 提供视觉标记,以反映应存在于网站或团队) 位置 (的最高敏感度级别。 | Sharepoint 位置和项敏感度 |
| 根据应用于位置的敏感度配置位置隐私设置。 | 标签隐私设置 |
| 根据应用的位置标签启用或禁用对某个位置和某个位置内项目的来宾访问。 | 来宾访问配置 |
| 控制基于 SharePoint 的位置的 Microsoft 365 共享配置 (网站或团队) ,具体取决于应用于该位置的标签。 | 标签共享配置 |
| 为位于较低敏感度位置的高度敏感项提供用户通知和警报。 | 数据不就位警报 |
| 配置访问高度敏感位置的其他要求 (网站或 Teams) 。 例如,来自非托管设备、不安全设备或未知位置。 |
条件访问 身份验证上下文 保护机密信息 自适应保护 |
| 加密高度敏感的项目,以防止未经授权的用户访问,而不考虑项目的位置。 | 敏感度标签加密 |
| 为内部用户或来宾组配置访问和使用限制。 | 分配标签加密权限 |
| 将安全分类项和/或其包含的信息的移动限制到无法控制其封闭信息的访问或进一步分发的位置。 |
阻止下载或打印安全分类项目 阻止将安全分类项上传到非托管位置 |
PSPF 第 12 节 - 信息共享
要求 75
仅向具有适当安全许可 (实体外部的人员提供对安全机密信息或资源的访问权限(如果需要) 和需要知道),并根据最低保护和处理要求进行转移。
| 解决方案功能 | Sections |
|---|---|
| 限制对包含敏感信息或机密信息的位置的访问,仅允许已授权的用户访问。 | 身份验证上下文 |
| 集成敏感度标记和 DLP。 可以构造策略来防止通过电子邮件共享 (或共享作) 具有某些标记的项目与未经授权的用户。 |
防止将机密信息通过电子邮件分发给未经授权的组织 防止将机密信息通过电子邮件分发给未经授权的用户 阻止共享安全机密信息 |
| 提供 DLP 策略提示,警告用户在违反策略之前不要共享信息,降低因错误标识等情况而泄露信息的可能性。 | 冲突前的 DLP 策略提示 |
| 监视、警报和/或阻止尝试将标记的项目共享或通过电子邮件发送给没有适当安全许可的用户。 | DLP 事件管理 |
| 根据位置的标记为网站或 Teams 配置隐私选项。 这有助于防止不需要知道的用户对位置的开放访问,并使团队或位置所有者控制对这些位置的访问权限。 它还有助于满足支持要求 2,因为它不会根据状态、排名或便利性自动提供访问权限。 | 标签隐私设置 |
| 为网站或团队配置共享限制,确保标记位置中的项目只能与内部用户共享。 | 标签共享配置 |
| 使用标签加密来控制对已标记内容的访问,确保只有经过授权的用户才能访问它。 | 启用标签加密 |
| 将安全分类或标记信息移动到敏感度较低的位置时发出警报,这些位置更容易被未经授权的用户访问。 | 数据不就地警报 |
要求 76
与州和地区政府机构共享信息时,适用英联邦、州和地区之间的谅解备忘录。
| 解决方案功能 | Sections |
|---|---|
| 持有或访问澳大利亚政府安全机密信息的州政府机构将 PSPF 中包含的相关保护性安全措施应用于该信息 | 澳大利亚州政府要求Microsoft Purview 功能映射 |
| 确保在州和联邦安全分类语法不一致的情况下标记和保护信息。 | 具有不同标签分类的组织标签 |
| 保护使用澳大利亚政府安全分类进行分类的信息。 | 防止不当分发安全机密信息 |
| 确保通过数据丢失防护保护标有澳大利亚政府安全分类的信息,而不考虑应用的敏感度标签。 | 控制标记信息的电子邮件 |
要求 77
在向政府外部的个人或组织披露或共享安全机密信息或资源之前,已制定协议或安排(如合同或契约),规定处理要求和保护。
| 解决方案功能 | Sections |
|---|---|
| 将使用条款配置为条件访问策略的一部分,以便来宾在允许访问项目之前必须同意条款。 这补充了组织之间的书面协议。 | Microsoft Entra企业到企业 (B2B) 配置不在此指南1 的范围内。 这些概念在 条件访问下引入。 |
| 实施限制,不仅防止与外部组织共享安全标记或机密信息,还防止其他类型的敏感信息共享。 可以对这些策略应用例外,以便允许共享到已为其建立正式协议的已批准组织列表。 | 限制敏感信息的分发 |
| 配置加密以限制对来宾 (文件或电子邮件) 信息的访问,但为其配置了权限的用户或组织除外。 | 敏感度标签加密 |
| 配置来宾访问权限,以允许协作活动 (,包括共享、编辑、聊天和 Teams 成员身份,) 仅与已批准组织签订正式协议。 | Microsoft Entra B2B 配置在本指南1 的范围之内。 来宾访问配置下引入了对标记项的来宾访问的概念或限制 |
| 审核来宾访问和成员身份,提示资源所有者在不再需要时删除来宾,并在未访问资源时建议删除来宾。 | Microsoft Entra B2B 配置未在本指南1、2 的范围内。 |
PSPF 第 17 节 - 访问资源
要求 129
为实体人员和其他相关利益干系人提供了对官方信息的访问。
| 解决方案功能 | 节 |
|---|---|
| 根据应用于团队或 SharePoint 位置的敏感度标签限制共享、隐私和/或来宾访问。 | 敏感度标签组和站点配置 |
| 限制共享或警告用户尝试与未经授权的内部或外部组共享标记的内容。 |
防止不当分发安全机密信息 限制敏感信息的分发 |
| 防止将标记的电子邮件或电子邮件附件发送给未经授权的收件人。 |
防止将机密信息通过电子邮件分发给未经授权的组织 防止将机密信息通过电子邮件分发给未经授权的用户 |
| 将标记内容上传到未经批准的云服务或可以进一步分发或被未经授权的用户访问的位置。 | 阻止将安全分类项上传到非托管位置 |
| 在未授权用户以不当方式共享的情况下,阻止对标记项 (文件或) 电子邮件的访问。 | 敏感度标签加密 |
| 防止已标记的项上传到未经批准的云服务。 防止打印、复制到 USB、通过蓝牙传输或未安装的应用。 |
阻止共享安全机密信息 阻止下载或打印安全分类项目 |
要求 130
启用对官方信息的适当访问,包括控制访问 (包括远程访问) 支持技术系统、网络、基础结构、设备和应用程序。
| 解决方案功能 | Sections |
|---|---|
| 允许使用条件访问 (CA) ,仅当满足适当的身份验证要求时,才允许已批准的用户、设备和位置访问 Microsoft 365 应用程序。 | 条件访问 |
| 提供对敏感或安全分类标记位置的精细访问控制。 | 身份验证上下文 |
| 在访问加密项 (文件或电子邮件) 时评估用户身份验证和授权。 | 敏感度标签加密 |
要求 131
只有需要知道该信息的实体人员才能访问安全机密信息或资源。
| 解决方案功能 | Sections |
|---|---|
| 利用启用了加密功能的特定于计划的敏感度标签,以防止那些不需要知道的人访问安全机密信息 |
Azure Rights Management 加密 启用标签加密 |
| 利用 Azure Rights Management 加密和允许用户应用自定义权限的选项,确保只有他们指定的用户才能访问加密的项。 | 让用户决定 |
| 限制团队成员的共享,确保所有者负责任何信息共享活动。 | 其他共享方案 |
要求 132
需要持续访问安全机密信息或资源的人员将被安全清除到适当的级别。
| 解决方案功能 | Sections |
|---|---|
| 配置 DLP 策略,以防止将安全机密信息分发给未清除到适当级别的用户。 | 防止将机密信息通过电子邮件分发给未经授权的组织 |
| 将对包含安全分类 (或) 信息的位置的访问限制为已清除到适当级别的个人。 | 身份验证上下文 |
| 帮助防止将安全分类或标记的信息移动到敏感度较低的位置,在这些位置,未经授权的用户可以轻松访问它们。 | 数据不就地警报 |
| 配置加密以确保离开组织的用户不再有权访问敏感材料。 | 敏感度标签加密 |
要求 133
需要访问缩报信息的人员符合发起方和警告控制当局施加的任何许可和适用性要求。
| 解决方案功能 | Sections |
|---|---|
| 加密项目并实现权限,以便只有已评估其许可状态的授权外部用户才能访问项目。 | 外部用户对加密项的访问 |
| 确保只有组织中经过适当清除的用户才能接收安全机密信息。 | 防止将机密信息通过电子邮件分发给未经授权的用户 |
要求 134
每次授予系统访问权限时,都会实现唯一的用户标识、身份验证和授权做法,以管理对保存安全机密信息的系统的访问。
| 解决方案功能 | Sections |
|---|---|
| 配置条件访问 (CA) 策略,以要求用户标识、身份验证,包括 MFA、托管设备或已知位置等其他“新式身份验证”因素,然后再授予对服务的访问权限。 | 条件访问 |
| 当用户访问用特定标签标记的位置时,将其他条件访问要求应用于用户。 | 身份验证上下文 |
| 配置标签加密,每次用户访问加密项时,该加密都会确认标识、身份验证和授权。 | 敏感度标签加密 |