閱讀英文

共用方式為


澳大利亞政府與 PSPF 合規性Microsoft 365 功能對應的需求

本文是澳大利亞政府 資訊保護 指南的重要元件。 其中列出 保護安全策略架構資訊安全手冊 (ISM) ,以及澳大利亞政府記錄保存元數據標準 (AGRkMS) 需求。 它也提供有關 Microsoft Purview 和其他 Microsoft 365 功能如何符合所述需求的建議,並提供指南中其他章節的連結,以進一步討論這些功能。 本文也提供有關 State Government 架構的指引,例如, (VPDSF) 的「事件中樞保護數據安全性架構」

保護安全策略架構

保護安全策略架構 (PSPF) 是一組原則,旨在支援澳大利亞政府實體以保護其人員、資訊和資產。 PSPF 概述實體的需求,以達成政府所需的保護安全性結果。

如需 PSPF 的詳細資訊,請參閱 保護安全策略架構

與 Microsoft Purview 資訊保護 組態密切相關的 PSPF 原則如下:

瞭解 PSPF 應用程式到電子郵件服務的關鍵在於 PSPF 原則 8 附錄 F:澳大利亞政府 Email 保護標記標準,本檔中參考此檔。

PSPF 包含報告機制,可讓組織跨各種 PSPF 原則報告其成熟度層級。 其目的是,本指南可讓低成熟度層級的組織將其 PSPF 原則 8 和原則 9 成熟度改善為「管理」或「內嵌」層級,並減少投入心力。 如需 PSPF 成熟度層級的詳細資訊,請參閱 :保護安全策略架構評定報告 2022-23

PSPF 原則 8:敏感性和分類資訊

需求是以 PSPF 原則 8 需求 V2018.8 為基礎, (2023 年 8 月 30 日更新) 。

PSPF 原則 8 詳細說明實體如何正確評估其資訊的敏感度或安全性分類,並採用標記、處理、儲存和處置安排來防範信息洩露。

此原則會分割成核心和支援需求。 下表提供Microsoft 365 功能的相關批注,以符合此網站相關指引的需求和連結。 您也可以在 PSPF 原則 8:機密和分類資訊中完整讀取原則。

核心需求 A 和支援需求 1:識別資訊

解決方案功能 區段
要求使用者透過敏感度標籤 (檔案和電子郵件) 專案的敏感度。 標記客戶端體驗

強制套用標籤

敏感度標籤 PDF 整合
將保護標記套用至網站和 Teams) (位置,並將保護套用至標示的位置。 敏感度標籤和網站設定
定義會議的敏感度,並實作相關聯的作業控制。 行事歷專案和小組會議的敏感度標籤
要求使用者透過敏感度標籤 Power BI 工作區的敏感度。 Power BI 和數據整合
將標籤套用至位於資料庫系統中的敏感性資訊。 架構化數據資產
套用電子郵件標頭,可用來識別傳入專案的敏感度,並套用適當的控件。 傳輸期間的電子郵件標籤

核心需求 B 和支援需求 2:評估敏感性和安全性分類資訊

解決方案功能 區段
讓用戶有機會在選取敏感度標籤時評估專案的值、重要性和敏感度。 強制套用標籤
透過包含標籤描述的標籤快顯對話框,引導使用者評定專案敏感度,在標籤選取期間可見。 給使用者的標籤描述
提供設定組織特定 [深入瞭解] 連結的能力,此連結可從標籤選取功能表存取,並可為使用者提供有關適當資訊類型標籤的進一步建議。 自訂說明頁面
藉由偵測分類不足的專案,並在適當時建議重新評估,協助使用者評估信息歸屬。 根據敏感性內容偵測建議標籤
藉由識別取自或存在於資料庫應用程式或類似平臺中的敏感數據,協助評估資訊。 精確數據比對敏感性信息類型
利用機器學習來識別通常被視為敏感的專案,以協助評估資訊。 可訓練分類器
建議與外部組織套用的標記一致的標籤,以協助使用者評估信息評估。 根據外部機構標記的建議
建議與歷程記錄標記一致的標籤,以協助使用者評估信息評估。 根據歷程記錄標記的建議

自動標記具有歷程安全性分類的專案
建議標籤與非Microsoft分類解決方案所套用的標記一致,以協助使用者評估信息評估。 根據非Microsoft工具所套用標記的建議
在專案中偵測到敏感性資訊時,透過 DLP 原則提示 向使用者提供視覺通知,以協助評估資訊。 違規前的 DLP 原則提示
識別位於資料庫系統內的敏感性資訊、將資訊標示為就地,並允許在下游系統上繼承標籤。 Power BI 和 Azure Purview

Microsoft Purview 資料對應

核心需求 C:針對這些資訊實作作業控件與其價值、重要性和敏感度成正比

解決方案功能 區段
根據敏感度標籤使用數據外洩防護 (DLP) 原則,防止安全性分類資訊的不當散發。 保護分類資訊
使用數據外洩防護 (DLP) 以敏感性內容為目標的原則,防止不當散佈敏感性資訊。 保護敏感性資訊
針對個別專案提供視覺標記,以反映套用至專案內資訊的安全性分類。 敏感度標籤標記
提供可視化標記,以反映應該存在於網站或小組) (位置內的最高敏感度層級。 Sharepoint 位置和專案敏感度
根據套用至位置的敏感度來設定位置隱私權設定。 標籤隱私權設定
根據套用的標籤位置,啟用或停用對位置和位置內專案的來賓存取。 來賓存取設定
根據套用至位置的標籤,控制網站或小組) (SharePoint 位置的Microsoft 365 共用設定。 標籤共享設定
針對位於較低敏感度位置的高敏感性專案提供使用者通知和警示。 數據就地警示
設定存取網站或 Teams) (高敏感性位置的其他需求。 例如,從非受控裝置、不安全的裝置或未知的位置。 條件式存取

驗證內容

保護分類資訊

透過自適性保護控制共用
加密高敏感性專案,以防止未經授權的使用者存取,不論專案的位置為何。 敏感度標籤加密
設定內部使用者或來賓群組的存取和使用限制。 配置標籤加密許可權
限制將安全性分類專案和/或其包含的資訊移至無法控制其封入資訊存取或進一步散發的位置。 防止下載或列印安全性分類專案

防止將安全性分類項目上傳至 Unmanaged 位置

支援需求

需求 1:識別資訊

除了核心需求之外,沒有額外的支援需求。

需求 2:評估機密和安全性分類資訊

除了核心需求之外,沒有額外的支援需求。

需求 3:解密

解決方案功能 區段
記錄所有標籤相關活動的可稽核線索,包括移除或降低套用的敏感度標籤。

記錄標籤變更活動,包括進行變更的使用者及其這麼做的理由。
標籤變更理由

稽核記錄
將加密套用至限制內部或來賓修改專案、保留專案及套用標記/分類能力的專案。 配置標籤加密許可權
就地鎖定專案以防止任何項目變更,包括變更套用的敏感度標籤的能力。 標籤 'lock' 方法
報告執行活動被視為對資訊安全性有風險的使用者,包括標籤降級和外泄順序。 以用戶風險為基礎的方法

透過測試人員風險管理監視共用

透過自適性保護控制共用
實作 DLP 原則,以在目前套用的標籤低於識別的標記時,偵測專案警示內的保護標記。 惡意捲標降級的影響

需求 4:標記資訊

解決方案功能 區段
Office 用戶端可透過用戶端型標籤,清楚識別專案的敏感度。 標記客戶端體驗
套用文字型保護標記,以標記機密和安全性分類資訊。 敏感度標籤標記

信息標記策略
套用帶有色彩編碼的標記,以協助用戶識別敏感度。 標籤色彩
透過電子郵件元數據 (x 標頭) 套用保護標記。 透過 DLP 原則套用 x-保護標記標頭
透過電子郵件主旨套用保護標記。 套用主體型電子郵件標記
將標記套用至位置,例如網站或Teams。 這些標記會識別應該存在於位置/容器的最高層級專案敏感度。 數據就地警示
在 SharePoint 型目錄 (網站、Teams 或 OneDrive) 中工作時,清楚地識別使用者的專案敏感度。 SharePoint 位置和專案敏感度

需求 5:使用元數據標記資訊

解決方案功能 區段
透過 SharePoint 搜尋,索引安全性分類和安全性注意事項和傳播限制標記屬性,符合 AGRkMS 需求。 管理分類和注意元數據
套用 X-保護標記 x 標頭,以符合 PSPF 原則 8 附錄 F 的電子郵件元數據需求。 透過 DLP 原則套用 x-保護標記標頭
將元數據套用至連接資料庫系統中包含敏感性資訊的資料庫數據行。 Power BI 和數據整合

需求 6:注意事項和可負責的數據

解決方案功能 區段
透過敏感度標籤結構) 或分類 (DLLM 標示已警告的資訊和相關聯的「限制標記」。 必要的敏感度標籤分類法
透過文字標記相關聯專案的警告。 敏感度標籤標記

主體型標記
記錄所有傳入和傳出數據傳輸。 稽核記錄
套用注意事項散發和/或存取限制。 限制敏感性資訊的散發

敏感度標籤加密

需求 7:最低保護和處理需求

解決方案功能 區段
儲存在 Microsoft 365 數據中心的資訊會透過 BitLocker 加密進行待用加密。 加密概觀
需要 TLS 加密才能以電子郵件為基礎的敏感性專案傳輸,以確保在透過公用網路傳輸時會加密這些專案。 需要 TLS 加密以進行敏感性電子郵件傳輸
針對網站或 Teams) (標示位置設定細微的訪問控制,並封鎖不符合存取需求或許可的使用者、裝置或位置。 非受控裝置限制

驗證內容
限制共用、來賓存取,以及控制標示位置的隱私權設定,以維護需要知道的原則。 敏感度標籤和網站設定
套用 DLP 原則以協助確保需要知道,並將專案散發限制為未經授權或不清楚的內部使用者和外部組織。 限制敏感性資訊的散發
加密敏感性或安全性分類專案,提供訪問控制,並確保只有授權的使用者可以存取包含的資訊,而不論專案的位置為何。 敏感度標籤加密
套用保護,包括加密、共用和 DLP 相關控件,以匯出或從加上標籤的來源系統產生的 PDF。 Power BI 和數據整合
識別以歷程安全性分類標示的專案,並使用新式標記自動對齊,或維護歷程記錄標籤以及必要的控件。 根據歷程記錄標記的建議

需求 8:處置

解決方案功能
實作保留原則、保留標籤、數據生命週期和記錄管理設定,包括處置檢閱,以支援封存和記錄需求。
在需要時對齊安全性標記、保留卷標/原則和相關聯的處置 (請注意,安全性和封存很少) 對齊。
實作保留原則,在符合專案保留需求后永久移除資訊,或為記錄管理小組提供處置檢閱功能,以允許在專案永久刪除之前進行篩選。

這些文章與 Microsoft Purview 資料生命週期管理 然後 資訊保護,且不在本指南的範圍內。 如需 Microsoft Purview 資料生命週期管理 的指引,請參閱生命週期管理

需求 9:機密和安全性分類討論

解決方案功能 區段
將保護標記套用至 Teams 會議邀請和 Outlook 行事曆專案。

將控件套用至行事歷專案,例如會議附件的加密。
行事曆專案的標籤
將保護標記套用至 Teams 會議,並設定進階控件來保護分類的交談,包括進階加密技術和會議浮水印。

Teams 交談的端對端加密,可讓使用者保證無法攔截敏感性或安全性分類的討論。
Teams 進階版 標籤設定

PSPF 原則 9:存取資訊

資訊的存取權是根據 PSPF 原則 9 需求 V2018.6 (2022 年 8 月 16 日更新) 。

PSPF 原則 9 與及時、可靠和適當存取官方資訊的存取有關。

如同原則 8,原則 9 會分割成核心和支援需求。

下表提供Microsoft 365 功能的相關批注,這些功能符合本文件中相關章節的需求和連結。

如需 PSPF 原則來源的資訊,請參閱: PSPF 原則 9:存取資訊

核心需求 A:在實體內與其他相關專案關係人共用資訊時啟用適當的存取權
解決方案功能 區段
根據套用至小組或 SharePoint 位置的敏感度標籤,限制共用、隱私權和/或來賓存取。 敏感度標籤和網站設定
當使用者嘗試與未經授權的內部或外部群組共用標記的內容時,請限制共用或警告使用者。 防止不當散發安全性分類資訊

限制敏感性資訊的散發
防止將已加上標籤的電子郵件或電子郵件附件傳遞給未經授權的收件者。 防止將分類信息的電子郵件散發給未經授權的組織

防止將分類資訊的電子郵件散發給未經授權的使用者
限制將標記的內容上傳至未經核准的雲端服務,或可由未經授權的用戶進一步散發或存取的位置。 防止將安全性分類項目上傳至 Unmanaged 位置
防止未經授權的使用者在不當共用 (檔案或電子郵件) 存取已加上標籤的專案。 敏感度標籤加密
防止已標記的項目上傳至未核准的雲端服務。 防止列印、複製到 USB、透過藍牙或不允許的應用程式傳輸。 防止共用安全性分類資訊

防止下載或列印安全性分類專案
核心需求 B:確保存取敏感性或安全性分類資訊的個人具有適當的安全性許可,而且需要知道該資訊
解決方案功能 Sections
將包含敏感性或分類資訊的位置限獲得授權的使用者。 驗證內容
整合敏感度標籤和 DLP。 您可以建構原則,以防止透過電子郵件共用 (,或與未經授權的用戶共用具有特定標記的專案) 動作。 防止將分類信息的電子郵件散發給未經授權的組織

防止將分類資訊的電子郵件散發給未經授權的使用者

防止共用安全性分類資訊
提供 DLP 原則提示,警告使用者不要在違反原則之前共用資訊,因身分識別錯誤之類的情況而降低資訊洩漏的可能性。 違規前的 DLP 原則提示
監視、警示和/或封鎖嘗試將標示為標籤的專案分享給沒有適當安全性許可的使用者。 DLP 事件管理
根據位置的標記,設定網站或 Teams 的隱私權選項。 這有助於防止不需知道的使用者開放存取位置,並讓小組或位置擁有者控制這些位置的存取權。 它也有助於符合支援需求 2,因為不會根據狀態、排名或便利性自動提供存取權。 標籤隱私權設定
設定網站或小組的共用限制,以確保標示位置中的專案只能與內部用戶共用。 標籤共享設定
使用標籤加密來控制對已標記內容的存取,確保只有授權的用戶能夠存取它。 啟用標籤加密
針對安全性分類或標示的信息發出警示,使其無法移至較低敏感度的位置,讓未經授權的使用者更容易存取這些資訊。 數據就地警示
核心需求 C:控制存取 (包括支援 ICT 系統、網路、基礎結構、裝置和應用程式的遠端存取)
解決方案功能 Sections
允許使用條件式存取 (CA) ,僅在符合適當的驗證需求時,將Microsoft 365 應用程式的存取權限製為已核准的使用者、裝置和位置。 條件式存取
提供敏感性或安全性分類標籤位置的細微存取控制。 驗證內容
在存取加密專案時,評估使用者驗證和授權, (檔案或電子郵件) 。 敏感度標籤加密

支援需求

支援需求 1:共用資訊和資源的正式協定
解決方案功能 Sections
將使用規定設定為條件式存取原則的一部分,讓來賓必須先同意條款,才能存取專案。 這可補充組織之間的書面協定。 Microsoft Entra 商務對企業 (B2B) 組態不在本指南1 的範圍內。 這些概念是在 條件式存取下導入。
實作限制,以防止與外部組織共用安全性標示或分類的資訊,以及其他類型的敏感性資訊。 您可以將例外狀況套用至這些原則,以便允許共用已核准已建立正式合約的組織清單。 限制敏感性資訊的散發
設定加密以限制存取資訊 (檔案或電子郵件) 給來賓,但已設定許可權的用戶或組織除外。 敏感度標籤加密
設定來賓存取權以允許共同作業活動 (包括共用、共同作業、聊天和 Teams 成員資格,) 僅與正式協定存在的已核准組織合作。 Microsoft Entra B2B 設定超出本指南1 的範圍。 概念或限制來賓存取卷標專案是在來賓存取設定下導入
稽核來賓存取權和成員資格,提示資源擁有者在不再需要時移除來賓,並在未存取資源時建議移除。 Microsoft Entra B2B 組態超出本指南1、 2 的範圍。

注意

1 如需 Microsoft Entra B2B 組態的詳細資訊,請參閱 Microsoft B2B 共同作業的雲端設定。

2 如需存取權檢閱的詳細資訊,請參閱 存取權檢閱

支援需求 2:限制存取敏感性和分類資訊和資源

除了核心需求 B 以外,沒有額外的需求。

支援需求 3:持續存取安全性分類資訊和資源
解決方案功能 Sections
設定 DLP 原則,以防止將安全性分類資訊散發給未清除至適當層級的使用者。 防止將分類信息的電子郵件散發給未經授權的組織
將包含安全性分類 (或已警告) 資訊的位置限製為已清除至適當層級的個人。 驗證內容
協助防止安全性分類或標示的資訊移至低敏感度位置,讓未經授權的用戶輕鬆存取這些資訊。 數據就地警示
設定加密以確保離開組織的用戶無法再存取敏感數據。 敏感度標籤加密
支援需求 4:暫時存取分類的資訊和資源
解決方案功能 Sections
設定標籤加密以授與敏感性項目的暫時存取權,並在一段時間後撤銷存取權,讓收件者無法讀取專案。 內容存取到期日
支援需求 5:管理資訊系統的存取權
解決方案功能 Sections
設定條件式存取 (CA) 原則,以在授與服務存取權之前,要求使用者識別、驗證,包括其他「新式驗證」因素,例如 MFA、受控裝置或已知位置。 條件式存取
當使用者存取以特定標籤示的位置時,將其他條件式存取需求套用至使用者。 驗證內容
設定標籤加密,以在每次使用者存取加密專案時確認身分識別、驗證和授權。 敏感度標籤加密

資訊安全性手冊 (ISM)

資訊安全手冊 (ISM) 的目的是要概述組織可以使用其風險管理架構來套用的網路安全性架構,以保護其資訊和系統免於遭受威脅。 此手冊包含政府組織及其他在 PSPF 下工作之澳大利亞聯邦、州和地方政府所應實作的控制,以及與其所管理數據分類相關聯的適當層級。

本 Microsoft Purview 資訊保護 指南的目的不是要取代組織應該執行的任何詳細工作,以評估其與 ISM 的一致性。 其目的是要引導組織Microsoft 365 設定,以配合 ISM 控件。

如需有關適當Microsoft 365 設定的更廣泛指引,我們建議 使用 ASD 的安全雲端藍圖

本節所討論的 ISM 需求參考 ISM 版本 - 2023 年 3 月。

下列 ISM 需求與政府組織 Microsoft Purview 資訊保護 設定相關:

ISM-0270:保護標記會套用至電子郵件,並反映主旨、本文和附件的最高敏感度或分類

解決方案功能 Sections
標籤繼承可確保根據套用至專案或附件的最高敏感度來標示電子郵件。 標籤繼承
識別敏感性資訊,並建議在分類專案時套用較高敏感度的標記。 以客戶端為基礎的自動套用標籤

識別敏感性資訊

ISM-0271:保護標記工具不會自動在電子郵件中插入保護標記

解決方案功能 Sections
要求使用者為檔案或電子郵件) (每個項目選取適當的敏感度標籤,並在尚未套用標籤時向他們要求標籤。 強制套用標籤
設定標籤建議,以建議在偵測到敏感性內容之後套用標籤,同時由用戶決定。 以客戶端為基礎的自動套用標籤建議

ISM-0272:保護標記工具不允許使用者選取系統未獲授權處理、儲存或通訊的保護標記

解決方案功能 Sections
使用者只能選取敏感度標籤,並將敏感度標籤套用至透過標籤原則發佈給他們的專案。 敏感度標籤原則

受保護層級以外信息的標籤

封鎖非已認可分類的傳輸

ISM-1089:保護標記工具不允許使用者回復或轉寄電子郵件,以選取低於先前使用的保護標記

解決方案功能 Sections
注意到此控件與Microsoft 365 方法之間的差異,Purview 可以設定為需要商業理由,以移除或降低敏感度標籤。 此資訊會保留在稽核記錄中,透過數據分類入口網站顯示,並可透過安全性資訊和事件管理 (SIEM) 解決方案導出,例如 Sentinel。 這項資訊也會納入測試人員風險管理 (IRM) 計量,可用來識別有風險的使用者,並防止他們進行惡意活動。 透過 DLP 控制標示資訊的電子郵件

惡意捲標降級的影響

標籤變更理由

稽核記錄

防止共用安全性分類資訊
設定以標籤為基礎的加密和版權管理,以防止對沒有足夠許可權的用戶變更已加上標籤的專案,防止標籤變更。 敏感度標籤加密

ISM-0565:Email 伺服器設定為封鎖、記錄和報告具有不當保護標記的電子郵件

解決方案功能 Sections
實作 DLP 原則,以防止接收並進一步散發平臺中不允許分類的專案。 封鎖非已認可分類的傳輸
設定 DLP 原則或 Exchange 郵件流程規則,以封鎖、記錄和報告含有遺漏標記的電子郵件。 強制套用標籤

封鎖未標記電子郵件的傳輸

ISM-1023:已封鎖輸入電子郵件的預期收件者,以及封鎖輸出電子郵件的寄件者會收到通知

解決方案功能 Sections
根據收件者,使用不同的通知選項來設定 DLP 原則或 Exchange 郵件流程規則。 封鎖未標記電子郵件的傳輸

ISM-0572:在透過公用網路基礎結構進行內送或外寄電子郵件連線的電子郵件伺服器上啟用了商機 TLS 加密

解決方案功能 Sections
根據預設,會在 Exchange Online 中設定商機傳輸層安全性 (TLS) 。

設定電子郵件連接器,將 TLS 加密設定為傳輸敏感性電子郵件的必要專案,而不需要對低敏感度專案強制執行這些需求。
需要 TLS 加密以進行敏感性電子郵件傳輸

ISM-1405:實作集中式事件記錄設備,並將系統設定為在每個事件發生時儘快將事件記錄檔儲存至設施

解決方案功能 Sections
統一稽核記錄會為所有Microsoft 365 服務提供集中式事件記錄。 稽核記錄

ISM-0859:事件記錄檔,不包括域名系統服務和 Web Proxy 的事件記錄檔,會保留至少七年

解決方案功能 Sections
稽核記錄可透過稽核記錄保留原則保留最多 10 年。 透過整合 Microsoft 365 與 SIEM 解決方案,例如 Sentinel,可以進一步延長這段期間。 稽核記錄

ISM-0585:針對每個記錄的事件、事件的日期和時間、相關的使用者或程式、相關文件名、事件描述,以及相關的ICT設備都會記錄下來

解決方案功能 Sections
Microsoft 365 稽核記錄會擷取使用者和管理事件詳細數據。 針對每個事件相關的詳細數據,例如專案、使用者、活動已完成,以及事件時間,都會記錄下來。

稽核記錄會擷取標籤相關活動的事件,例如標籤應用程式和變更。
稽核記錄

ISM-0133:發生數據洩漏時,系統會建議數據擁有者,並限制數據的存取權

解決方案功能 Sections
設定 DLP 原則以偵測數據外泄,並在偵測時通知適當的一方。 封鎖非已認可分類的傳輸

澳大利亞政府記錄保存元數據標準

本指南中所參考的 AGRkMS 需求版本為 AGRkMS V2.2 (2015 年 6 月) 。

澳大利亞政府記錄保存元數據標準 (AGRkMS) 和隨附的 AGRkMS 指南會列出澳大利亞政府機關應包含在其商務系統中的元數據類型,並指定最低強制需求。

這些需求包括「安全性分類」和「安全性注意事項」的元數據屬性,其符合 PSPF 原則 8。

標準包含用於包含這些元數據屬性的目的語句。 如同上一節中所述的需求,這些 AGRkMS 在此標準中包含這些屬性的意圖,與 Microsoft Purview 資訊保護 和相關聯的Microsoft 365 工具所提供的功能一致:

需求 Sections
1.若要協助或限制機構人員或公用 (分類和警告) 存取記錄或特定商務功能、活動或交易。
2.若要防止安全性許可權不足的使用者存取記錄或特定商務功能、活動或交易, (分類) 。
3.若要啟用安全性許可權不足者存取記錄的限制, (警告) 。
防止不當散發安全性分類資訊

標籤來賓存取設定

標籤共享設定

驗證內容

數據就地警示
4. 若要啟用記錄、商務功能、活動或交易,以及具有安全性敏感性的授權,請 (分類與警告) 適當地識別和管理。 標記客戶端體驗

標籤標內容標記
SharePoint 位置和專案敏感度
5. 若要警示使用者存取記錄的安全性限制,並 (分類和警告) 。 防止將分類信息的電子郵件散發給未經授權的組織

防止共用安全性分類資訊
6.若要防止探索特定安全性區間所涵蓋之資訊或活動的本質,請 (分類和警告) 。 合規性界限

您可以在 Microsoft 365 平臺上符合這些元數據需求,而不需要任何進階元數據操作。 不過,政府組織想要使用Microsoft 365 進行就地記錄管理,而想要完整符合 AGRkMS 需求的組織,應該考慮本指南的 管理分類和注意元數據 一節中提供的建議。

State Government 需求

下一節提供 State Government 需求的參考,以及一些有關其架構與聯邦政府有何差異的高階附注。

澳大利亞大寫國家/地區

澳大利亞大寫國家/地區 (ACT) 政府會使用 ACT Government 保護安全策略架構 (PSPF) ,這類似於意圖、必要標籤和資訊管理標記 (IMM) 的聯邦政府標準。 因此,本指南中的建議直接適用於 ACT Government。

新南索引

新的南達斯州 (將使用 ) 政府資訊分類、標籤和處理指導方針。

這些需求與美國聯邦 PSPF 標準高度一致,因為這兩組需求都會使用 PROTECTED 卷標的一致性。 不過,在不符合聯邦標籤 標的 DLLM) (,使用一組不同的傳播限制標記

官方:敏感性標籤是由澳大利亞政府及其他州和地區套用。由於在具有 OFFICIAL: 敏感性前置詞的 6 個 DLLM 中使用的六個 DLLM 允許使用在負載巨集中所需的特定性,因此,無須將此卷標套用至其資訊。這表示標示為 OFFICIAL:敏感性的資訊會被視為源自於外部的}。

這表示敏感性之的{'SON Government 資訊未標示為聯邦標籤,但會個別處理。」 例如,'OFFICIAL Sensitive - NAT Government' 的標籤沒有 PSPF 對等專案,因此無法轉譯為 PSPF 卷標。

在設計其 MPIP 組態時,有三個選項可讓與「GOV 政府」共同作業的聯邦政府組織考慮:

  • 使用隱藏標籤 ,系統管理員會在其中實作一組未發佈給使用者,但可供自動套用標籤服務使用的標籤。 隱藏標籤可讓 State Government 組織所產生的資訊接收與內部資訊類似的保護,而不需要以 PSPF 標記重新標記專案。 如需詳細資訊,請參閱 具有不同標籤分類法之組織的標籤
  • 使用敏感性資訊類型 (SIT) ,組織會在其中實作一組 SIT,以識別標示為[NAT Government] 卷標的資訊。 這些 SIT 會用於 DLP 和其他原則類型,以確保適當地處理資訊。 如需詳細資訊,請參閱 自定義敏感性信息類型
  • 使用對應到的單 一標籤,讓組織選擇將標籤套用至接收到且最符合隨附於負載的資源,以符合「隨附於」的「裝置」標記。 使用者可以手動採取動作,可能在自動套用卷標的協助下,建議最適當的 (OFFICIAL:在大部分情況下) 敏感性。 使用此方法時,在回復電子郵件上仍會套用到專案,並以聯邦對等專案來補充這些標記。 這有助於確保資訊在位於環境中時,會與租用戶設定一起受到保護。 如需詳細資訊,請 參閱以外部機構標記為基礎的建議

這些選項也與考慮如何處理美國聯邦 PSPF 標記接收的資訊,或是其他州政府所套用之標記的信息相關。

北部地區

北域 (NT) 政府利用 北地政府公用部門組織 (NTG PSO) :安全性分類系統。

此系統與聯邦 PSPF 有部分一致性,因為架構中存在未分類和受保護的標籤。 不過,它也會使用機密和公用卷標,這表示與 NT Government 共同作業的組織應該考慮透過先前在[NAT Government] 區段中所述的方法進行卷標翻譯或識別 NT Government 機密資訊的方法,以確保資訊在位於聯邦政府Microsoft 365 環境中時受到保護。

NT Government 組織應該考慮本檔中的建議,但新增公用標籤並取代 OFFICIAL:機密卷標的機密。 The above points around protecting information from other jurisdictions are also relevant, so NT should implement Sensitive Information Types, unpublished labels, or client-based labeling recommendations as discussed in the NSW section.

昆士蘭

政府機關必須遵守 政府資訊安全性分類架構 (QGISCF)

如同對應和 NT 一樣,加德政府的需求與 PSPF 不同,但 QGISCF 確實會利用本檔中提供的類似 OFFICIAL、SENSITIVE 和 PROTECTED 標籤拓撲和資訊。

QGISCF 旨在與澳大利亞政府保護安全策略架構和澳大利亞政府資訊安全手冊相容。 因此,美國政府組織應該使用自動套用標籤,將接收自美國政府組織的信息轉譯為對應的 PSPF 標籤, (對 OFFICIAL 敏感:敏感性例如) ,以確保這類資訊在 DLP 和其他保護範圍內,同時位於聯邦政府Microsoft 365 環境中。 反之則適用於接收聯邦政府資訊的美國政府組織。

南澳大利亞

南澳大利亞 (SA) 保護安全性架構 (SAPSF) 包含名為「INFOCEC1:保護官方資訊」的原則。 此原則與高階聯邦標準一致,並記下資訊管理標記和注意事項 (的一些變化,例如 SA CABINET 和醫療信賴) 。 由於這種一致性,因此,聯邦政府組織應該能夠識別並保護敏感性 SA Government 專案,而不會對其設定造成顯著變化。 本檔中提供的建議與 SA Government 相關,不需要翻譯成本機標記。

接收來自 SA Government 機關資訊的聯邦政府組織應該考慮 SA Government 資訊在其環境中受到保護的方式。 建立 SIT 或非發佈敏感度標籤,以擷取 SA 特定標記和 DLP 原則,以套用適當的保護 (,如) 不同 標籤分類法的組織標籤 所涵蓋。

使用本指南的 SA Government 組織應該考慮 SAPSF 架構不會指定電子郵件元數據需求,例如 X 標頭。 這與沒有規格的差異一樣,SA Government 組織在組織之間傳遞資訊時,可能難以維護分類和相關聯的保護。 使用美國聯邦 PSPF 標準適用於達成電子郵件標籤轉譯 (如 傳輸) 期間的電子郵件標籤所 涵蓋。

PSPF X-保護標記標頭中使用的方法可以調整為涵蓋SA特定標籤,例如SA CABINET和醫療信賴度。 某些 SA Government 組織已實作 PSPF 樣式元數據,而不論其未包含在 SAPSF 中。 其中一個範例是設定 「VER=2018.6, NS=sa.gov.au, SEC=OFFICIAL」 的 X-保護標記標頭。 此方法可降低與 SA 政府組織之間共用資訊相關聯的風險,並提供標記,讓其他州和聯邦組織可以用來判斷所含資訊的必要保護。

塔斯馬尼亞

(TAS) Government 的資訊安全性分類標準 是草稿,目前正在檢閱中。

如需 TAS Government 目前使用的標記相關信息,請參閱 TAS 資訊安全性分類

想要確保保護從 TAS Government 接收之資訊的聯邦政府組織,應該利用已備妥的控件來協助保護舊版 PSPF 下的舊版資訊。 如需詳細資訊,請參閱 根據歷程記錄標記的建議。

維多利亞

VIC (VIC) State Government 架構是與 SA 類似的 VPDSF (VPDSF) ,但仍與美國聯邦 PSPF 緊密一致的 VIC 保護數據安全性架構。

華盛頓州政府組織應該將本指南中提供的建議視為與自己的環境相關。

針對 VIC 架構,網域和版本值透過電子郵件 X 標頭套用的標記差異。 政府機關的封包標記也與聯邦政府不同,因此,政府機關應該注意'SH:CABINET-IN-CONFIDENCE' 的特殊處理 x 標頭,以取代 'SH:NATIONAL-CABINET'。 如需特殊處理的詳細資訊,請參閱 透過 DLP 原則套用 x-protection-marking 標頭

西澳大利亞

澳大利亞西部 (WA) Government 具有資訊分類原則,可使用一些與聯邦政府 PSPF 分類緊密一致的[OFFICIAL]、[OFFICIAL] 和 [OFFICIAL: 機密卷標]。 不過,存取和其他需求不同。

原則指出「若要保護總區安全性分類資訊,機構必須遵守相關跨管轄區協定的布建 () 。」這表示 WA Government 機關必須考慮聯邦政府需求。

WA Government 客戶應考慮本檔中提供的建議,以瞭解其與自己的設定相關性。

對於接收來自 WA Government 組織資訊的美國政府組織,因為 WA 方法與聯邦一致,本指南所涵蓋的自動套用標籤和其他設定有助於確保這類資訊在位於聯邦Microsoft 365 環境中時受到保護。