閱讀英文

共用方式為


Microsoft Purview 資訊保護 PSPF 的澳大利亞政府合規性指南

本 Microsoft Purview 資訊保護 指南已由Microsoft準備,供澳大利亞政府和其他感興趣的組織使用。 其目的是協助澳大利亞政府客戶改善其數據安全性狀態,同時符合資訊分類和保護需求。 本指南中的建議與受保護的安全策略架構 (PSPF) 資訊安全性手冊 (ISM) 中 所述的需求緊密一致。

本指南的目標是澳大利亞政府首席數據長 (CDO) 、技術長 (CTO) 、首席安全長 (CSO) 、資訊安全長 (CISO) 、風險或合規性主管、資訊隱私權或其他資訊管理角色。

建議的程式方法 可協助組織建立計劃,並快速改善資訊保護成熟度。

本指南是針對未定案的政府組織所撰寫,其中所撰寫的範例適用於此效果。 不過,每個政府組織都需要針對其獨特需求量身訂做指引。 其中一個範例是適用於組織的特定法律細微差別。 這些範例也有助於這些細微差別。

標題為 澳大利亞政府對功能 對應需求的指南一節包含 PSPF 原則 8 和原則 9 需求的完整清單,以及如何設定 Microsoft Purview 功能以符合每個需求的說明,以及對應指南區段的連結。 此外,也會討論 ISM () 和澳大利亞政府記錄保存元數據 Standard ( AGRkMS) 需求的相關信息安全性手冊

架構概觀

本指南使用三個主要功能來符合政府資訊保護和分類需求,也就是:

  • 敏感度標籤
  • 資料外洩防護 (DLP)
  • 敏感度自動套用標籤

下圖提供這三個Microsoft 365 功能之間的互動概念概觀,以及使用範例。

顯示 Microsoft Purview 元件之間整合範例的圖例。

敏感度標籤

Microsoft Purview 資訊保護 包含稱為敏感度標籤的功能。 敏感度標籤可讓使用者將標籤套用至檔案和電子郵件等專案。 這些標籤可以與數據安全性控件對齊,以保護封入的資訊。 敏感度標籤也可以延伸至其他服務,例如 SharePoint 網站和 Teams 和會議。

敏感度標籤與組織分類需求一致時,例如保護安全策略架構 (PSPF) 原則 8 中定義的分類需求,可讓我們將標籤視為分類。 它們會透過使用者介面和其他標記選項提供視覺標記。 例如:

在電子郵件中標示視覺標記。

可透過敏感度標籤套用的數據安全性控制件包括:

這些功能符合澳大利亞政府對機密或安全性分類資訊的標記和保護需求。

標記客戶端體驗

Microsoft Office 用戶端支援中所述,使用者通常會透過 Microsoft 365 Apps Office 用戶端、Web 用戶端或行動裝置對等專案來與標記的項目互動。 這些用戶端可讓使用者將標籤套用至專案。

Office 用戶端中的標籤選取。

如果使用者忘記將標籤套用至專案,用戶端會在儲存專案之前 提示使用者套用標籤 ,或者,如果是電子郵件,則在傳送標籤之前。

當使用者正在處理專案時,如果尚未套用標籤,而且偵測到的信息與分類一致,則可以提供 標籤建議 給使用者。 如果接著偵測到敏感性內容符合比套用的敏感度標籤更高的分類,則可以向使用者提供建議,讓他們提高專案的敏感度。

用戶端型自動套用標籤建議的範例。

這類建議有助於確保標籤正確性。 卷標精確度很重要,因為許多控管資訊流程的控件都是以專案敏感度為基礎。

適用於 Copilot

Microsoft 365 Copilot 繼承Microsoft 365 的多種保護形式,防止遭到入侵和未經授權的存取。 Microsoft 365 內的許可權模型有助於確保資訊不會在使用者和群組之間刻意外洩。

重要

Microsoft Purview 設定不是適用於 Microsoft 365 的 Copilot 必要條件。 不過,部署 Microsoft Purview 設定可加強組織整個環境中的整體資訊安全性狀態,包括 Copilot。

Microsoft Purview 所提供的資訊風險降低功能,與適用於 Microsoft 365 的 Copilot 互補。 最直接的範例是透過標籤繼承。 例如,如果使用 Copilot 來根據來源專案產生專案,以產生來源 Word 檔的摘要,則產生的專案會繼承套用至來源專案的任何敏感度卷標。 這有助於確保在資訊變更表單時,會維護套用至信息的保護。

顯示 copilot 中標籤繼承的圖例。

評估可能因 Microsoft 365 啟用的 Copilot 而導致的潛在安全性顧慮時,風險可以分成三個類別:

  1. AI 工具的數據外洩:Copilot 所產生的內容可能包含敏感性資訊。
  2. 數據過度共享:使用者可能會散發包含敏感性資訊的 Copilot 產生專案。
  3. 數據洩漏到 AI 工具:使用者可能會不小心將敏感數據洩漏到 Copilot。

本指南中討論的下列功能可協助降低 Copilot 的數據外泄和數據過度共享的風險:

  • 識別資訊 可識別所產生的內容或要共用的內容是否包含機密或安全性分類資訊。 控件會自動套用保護資訊。
  • 以客戶端為基礎的自動套用標籤 會識別產生的專案何時包含敏感性資訊,並提供標籤建議給使用者。 標籤受限於任何以標籤為基礎的控制件。
  • 卷標群組和網站組態 會將安全性控制項套用至位置,包括共用和外部使用者存取的限制。 如果 Copilot 產生的專案移至某個位置,而該位置對於套用至專案的標籤而言並不安全,則會警示觸發程式以允許清除。
  • 強制標籤組態配對時,保護分類資訊的 DLP 規則會套用至所有 Office 檔和電子郵件。 由於標籤繼承,Copilot 產生的內容會繼承套用至其來源資訊的標籤,這表示它們也會在以標籤為基礎的相關 DLP 原則範圍內。
  • 保護敏感性資訊的 DLP 規則 可確保不論已套用至專案的標籤為何,仍然適用正確的安全性控制件。 這可確保在 Copilot 可能利用所產生專案中的敏感性資訊時,該資訊會受到保護,免於過度共用。
  • 敏感度標籤加密 可確保只有授權的使用者可以存取安全性分類專案,以防止過度共用。 此外,加密許可權會將 Copilot 鎖定在高度敏感性專案外,以降低所產生內容中包含信息的風險。

如需這些控件Microsoft 365 特定資訊的詳細 Copilot,請參閱 Copilot 的資訊保護考慮

關於數據洩漏到 AI 工具的風險, 敏感度標籤加密 與此相關。 其他控件不會Microsoft Purview 特定,而且不會在本指南中加以解決。 不過,下列連結會提供相關信息:

  • 受限制的 SharePoint 搜尋 (RSS) 可讓組織將 Microsoft 365 的 Copilot 限制為僅存取最多 100 個網站的核准清單。 實作這項功能有助於降低 Copilot 編製索引資訊的風險,組織尚未準備好讓其存取該資訊。 這項功能是啟用 Copilot,同時實作先前的 Microsoft Purview 控件清單,並解決因不當許可權而造成的任何現有過度共用。 一旦降低信息風險的可能性,接著會停用 RSS,讓使用者完全受益於 Copilot 的功能。
  • SharePoint Premium 中包含的數據存取治理報告可用來探索可能包含過度共用或敏感內容的網站,以便加以解決。
  • 包含在 SharePoint Premium 中的網站生命週期管理,可用來自動偵測非使用中網站並採取行動。 拿掉非使用中的網站有助於確保 Copilot 可存取的資訊是最新且相關的。

連絡我們

如果您想要連絡本指南的建立者,以討論所提供的建議,請隨意透過 AUGovMPIPGuide@microsoft.com進行。