이 문서는 호주 정부 Microsoft Purview Information Protection 가이드의 핵심 구성 요소입니다. Microsoft Purview 구성과 관련된 PSPF(보호 보안 정책 프레임워크) 요구 사항을 나열합니다. 또한 명시된 요구 사항을 충족하도록 Microsoft Purview 및 기타 Microsoft 365 기능을 구성할 수 있는 방법에 대한 지침을 제공하고 이러한 기능이 추가로 논의되는 가이드 섹션에 대한 링크를 제공합니다.
보호 보안 정책 프레임워크
PSPF(보호 보안 정책 프레임워크)는 호주 정부의 최소 보호 보안 표준을 설정하여 국내 및 국제적으로 정부 비즈니스의 효과적이고 효율적인 보안 제공을 달성합니다.
PSPF에 대한 자세한 내용은 보호 보안 정책 프레임워크를 참조하세요.
Microsoft Purview Information Protection 구성과 가장 밀접하게 관련된 PSPF 릴리스 2024의 섹션은 다음과 같습니다.
- 섹션 9 - 분류 & 주의 사항
- 섹션 10 - 정보 보유
- 섹션 12 - 정보 공유
- 섹션 17 - 리소스에 대한 액세스
메일 서비스에 대한 PSPF 애플리케이션을 이해하는 핵심은 이 문서에서 참조되는 호주 정부 Email 보호 표시 Standard.
PSPF에는 조직에서 다양한 PSPF 정책에서 완성도를 보고할 수 있는 보고 메커니즘이 포함되어 있습니다. 이 가이드를 통해 성숙도가 낮은 조직은 PSPF 성숙도를 '관리' 또는 'Embedded' 수준으로 개선할 수 있습니다. PSPF 완성도 수준에 대한 자세한 내용은 보호 보안 정책 프레임워크 평가 보고서 2022-23을 참조하세요.
PSPF 섹션 9 - 분류 & 주의 사항
여기에 나열된 요구 사항은 PSPF 릴리스 2024 섹션 9 - 분류 & 주의 사항(2024년 11월 1일 업데이트)을 기반으로 합니다.
PSPF 섹션 9는 엔터티가 정보의 민감도 또는 보안 분류를 올바르게 평가하고 정보 손상을 방지하는 표시, 처리, 스토리지 및 폐기 조치를 채택하는 방법을 자세히 설명합니다.
Microsoft Purview 및 관련 구성과 관련된 요구 사항만 나열됩니다.
요구 사항 58
생성자는 공식 및 보안 기밀 정보의 삭제, 재분류 또는 분류 해제를 제어할 책임이 있으며 정보의 보안 분류에 대한 변경 내용을 승인합니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 적용된 민감도 레이블 제거 또는 낮추기를 포함하여 모든 레이블 관련 활동의 감사 가능한 내역을 기록합니다. 변경한 사용자와 변경의 근거를 포함한 레이블 변경 활동을 기록합니다. |
레이블 변경 근거 감사 로그 |
| 레이블 다운그레이드 및 반출 시퀀스를 포함하여 정보 보안에 위험하다고 간주되는 활동을 수행하는 사용자를 보고합니다. |
사용자 위험 기반 접근 방식 내부 위험 관리를 통한 공유 모니터링 |
| 적용된 보안 분류를 낮추는 등 위험한 작업을 수행하는 사용자에게 다른 데이터 보안 제어를 자동으로 적용합니다. | 적응형 보호 |
| 항목을 수정하고 항목을 유지하고 표시/분류를 적용하는 내부 또는 게스트 기능을 제한하는 항목에 암호화를 적용합니다. | 레이블 암호화 권한 할당 |
| 보호 표시를 통해 분류가 낮아진 항목을 감지하고 추가 배포를 방지합니다. | 재분류된 전자 메일 차단 |
| 항목을 레코드로 선언하고 적용된 민감도 레이블의 변경 내용을 포함하여 추가 변경 내용에서 항목을 잠그면 재분류를 방지합니다. | 재분류 방지 |
요구 사항 59
공식 정보의 가치, 중요성 또는 민감도(공식 기록으로 사용하기 위한 것)는 정보의 기밀성이 손상될 경우 발생할 수 있는 정부, 국익, 조직 또는 개인에 대한 잠재적 피해를 고려하여 작성자가 평가합니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 사용자가 민감도 레이블을 통해 항목의 민감도(파일 및 이메일)를 식별하도록 요구합니다. |
클라이언트 환경 레이블 지정 필수 레이블 지정 민감도 레이블 지정 PDF 통합 |
| 위치(사이트 및 팀)에 보호 표시를 적용하고 표시된 위치에 보호를 적용합니다. | 민감도 레이블 그룹 및 사이트 구성 |
| 모임의 민감도를 정의하고 관련 운영 제어를 구현합니다. | 일정 항목 및 팀 모임에 대한 민감도 레이블 지정 |
| 사용자가 민감도 레이블을 통해 Power BI 작업 영역의 민감도를 식별하도록 요구합니다. | Power BI 및 데이터 통합 |
| 데이터베이스 시스템에 있는 중요한 정보에 레이블을 적용합니다. | Azure 데이터 거버넌스 |
| 들어오는 항목의 민감도를 식별하고 적절한 컨트롤을 적용하는 데 사용할 수 있는 이메일 헤더를 적용합니다. | 전송 중 전자 메일 레이블 지정 |
요구 사항 60
보안 분류는 가장 낮은 적절한 수준으로 설정됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 민감도 레이블을 선택할 때 사용자에게 항목의 값, 중요도 및 민감도를 평가할 수 있는 기회를 제공합니다. | 필수 레이블 지정 |
| 레이블 선택 중에 표시되는 레이블 설명이 포함된 레이블 팝업 대화 상자를 통해 항목 민감도 평가에 사용자를 안내합니다. | 사용자를 위한 레이블 설명 |
| 레이블 선택 메뉴에서 액세스할 수 있는 organization 관련 자세한 정보 링크를 구성하는 기능을 제공하며, 사용자에게 정보 유형에 대한 적절한 레이블에 대한 추가 지침을 제공할 수 있습니다. | 사용자 지정 도움말 페이지 |
| 분류되지 않은 항목을 검색하고 적절한 경우 재평가를 권장하여 사용자가 정보 보유를 평가할 수 있도록 지원합니다. | 중요한 콘텐츠 검색을 기반으로 레이블 추천 |
| 데이터베이스 애플리케이션 또는 유사한 플랫폼 내에서 가져온 중요한 데이터를 식별하여 정보 평가를 지원합니다. | 정확한 데이터는 중요한 정보 유형과 일치합니다. |
| 기계 학습을 활용하여 일반적으로 중요한 것으로 간주되는 항목을 식별하여 정보 평가를 지원합니다. | 학습 가능한 분류자 |
| 외부 조직에서 적용한 표시와 일치하는 레이블을 추천하여 사용자가 정보 보유 평가를 지원합니다. | 외부 기관 표시를 기반으로 하는 권장 사항 |
| 기록 표시에 맞는 레이블을 추천하여 사용자가 정보 보유 평가를 지원합니다. |
기록 표시를 기반으로 하는 권장 사항 기록 보안 분류를 사용하여 항목 자동 레이블 지정 |
| 비 Microsoft 분류 솔루션에 의해 적용된 표시와 일치하는 레이블을 추천하여 사용자가 정보 보유 평가를 지원합니다. | Microsoft 이외의 도구에서 적용한 표시를 기반으로 하는 권장 사항 |
| 항목에서 중요한 정보가 검색될 때 DLP 정책 팁을 통해 사용자에게 시각적 알림을 제공하여 정보 평가를 지원합니다. | 위반에 앞서 DLP 정책 팁 |
| 데이터베이스 시스템 내에 있는 중요한 정보를 식별하고, 정보에 레이블을 지정하고, 레이블을 다운스트림 시스템에서 상속할 수 있도록 허용합니다. |
Power BI 및 Azure Purview Microsoft Purview 데이터 맵 |
요구 사항 61
보안 분류 정보는 운영상의 이유로 비실용적이지 않은 한 텍스트 기반 표시를 사용하여 해당 보안 분류 및 관련 보안 주의 사항으로 명확하게 표시됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 텍스트 기반 보호 표시를 적용하여 중요한 보안 기밀 정보를 표시합니다. |
민감도 레이블 콘텐츠 표시 정보 표시 전략 |
| Microsoft Office 클라이언트는 클라이언트 기반 레이블 표시를 통해 항목의 민감도를 명확하게 식별합니다. | 클라이언트 환경 레이블 지정 |
| 색으로 구분된 표시를 적용하여 사용자가 민감도를 식별할 수 있도록 지원합니다. | 레이블 색 |
| 사이트 또는 Teams와 같은 위치에 표시를 적용합니다. 이러한 표시는 위치/컨테이너에 존재해야 하는 가장 높은 수준의 항목 민감도를 식별합니다. | 데이터 외부 경고 |
| SharePoint 기반 디렉터리(사이트, Teams 또는 OneDrive)에서 작업할 때 사용자에게 항목 민감도를 명확하게 식별합니다. | SharePoint 위치 및 항목 민감도 |
요구 사항 62
최소 보호 및 처리 요구 사항은 공식 및 보안 기밀 정보를 보호하기 위해 적용됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| Microsoft 365 데이터 센터에 저장된 정보는 BitLocker 암호화를 통해 미사용 시 암호화됩니다. | 암호화 개요 |
| 중요한 항목의 전자 메일 기반 전송을 위해 TLS(전송 계층 보안) 암호화가 필요하므로 공용 네트워크를 통해 전송될 때 암호화됩니다. | 중요한 전자 메일 전송을 위해 TLS 암호화 필요 |
| 표시된 위치(사이트 또는 Teams)에 대한 세분화된 액세스 제어를 구성하고 액세스 요구 사항 또는 허가를 충족하지 않는 사용자, 디바이스 또는 위치를 차단합니다. |
관리되지 않는 디바이스 제한 인증 컨텍스트 |
| 공유, 게스트 액세스를 제한하고 표시된 위치의 개인 정보 구성을 제어하여 알아야 할 원칙을 유지 관리합니다. | 민감도 레이블 그룹 및 사이트 구성 |
| DLP 정책을 적용하여 알아야 할 사항을 확인하고 항목의 배포를 승인되지 않거나 불분명한 내부 사용자 및 외부 조직으로 제한합니다. | 중요한 정보의 배포 제한 |
| 중요한 항목 또는 보안 분류 항목을 암호화하여 액세스 제어를 제공하고 권한 있는 사용자만 항목의 위치에 관계없이 포함된 정보에 액세스할 수 있도록 합니다. | 민감도 레이블 암호화 |
| 암호화, 공유 및 DLP 관련 컨트롤을 포함한 보호를 레이블이 지정된 원본 시스템에서 생성된 내보내기 또는 PDF에 적용합니다. | Power BI 및 데이터 통합 |
| 기록 보안 분류로 표시된 항목을 식별하고 최신 표시로 자동 정렬하거나 필요한 컨트롤과 함께 기록 레이블을 유지 관리합니다. | 기록 표시를 기반으로 하는 권장 사항 |
요구 사항 63
호주 정부 보안 주의 사항 Standard 및 제어 기관에서 부과한 특별 처리 요구 사항은 보안 주의 정보를 보호하기 위해 적용됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 민감도 레이블 구조를 통해 주의 사항 정보 및 관련 DLLM(보급 제한 표식) 또는 분류를 표시합니다. | 필수 민감도 레이블 분류 |
| 텍스트를 통해 연결된 항목에 주의 사항을 표시합니다. |
민감도 레이블 콘텐츠 표시 주체 기반 표시 |
| 들어오고 나가는 모든 재질 전송을 기록합니다. | 감사 로그 |
| 주의 배포 및/또는 액세스 제한을 적용합니다. |
중요한 정보의 배포 제한 민감도 레이블 암호화 |
요구 사항 64
보안 주의 사항은 텍스트로 명확하게 표시되며 PROTECTED 이상의 보안 분류와 함께만 표시됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 민감도 레이블 구조를 통해 주의 사항 정보 및 관련 DLLM(보급 제한 표식) 또는 분류를 표시합니다. | 필수 민감도 레이블 분류 |
| 텍스트를 통해 연결된 항목에 주의 사항을 표시합니다. |
민감도 레이블 콘텐츠 표시 주체 기반 표시 |
요구 사항 66
책임 있는 자료는 호주 정부 보안 주의 사항 Standard 자세히 설명된 보낸 사람과 보안 주의 소유자가 부과한 특별한 처리 요구 사항에 따라 처리됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 포함된 정보를 더 잘 식별하고 보호하기 위해 책임 있는 자료에 적용할 수 있는 민감도 레이블을 구성합니다. | 책임 있는 자료 |
| 책임 있는 자료의 무단 배포를 방지합니다. | 보안 기밀 정보의 부적절한 배포 방지 |
| 권한 있는 사용자만 액세스할 수 있도록 항목에 암호화를 적용합니다. | 민감도 레이블 암호화 |
| Microsoft 365 환경에서 책임 있는 자료의 위치를 식별하고 보고합니다. | 콘텐츠 Explorer |
요구 사항 67
호주 정부 Email 보호 표시 Standard 다른 승인 된 당사자를 포함하여 호주 정부 기관 간에 이메일로 교환 된 공식 및 보안 기밀 정보를 보호하기 위해 적용됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 정부 기관을 수신하여 해석할 수 있도록 이메일에 보호 표시 적용 | 호주 정부용 Microsoft Purview를 사용한 Email 표시 전략 |
| 이메일 메타데이터(x-headers)를 통해 보호 표시를 적용합니다. | DLP 정책을 통해 x 보호 표시 헤더 적용 |
| 이메일 제목을 통해 보호 표시를 적용합니다. | 주체 기반 전자 메일 표시 적용 |
| 수신 시 보안 분류 전자 메일에 해당 민감도 레이블을 적용하여 분류를 유지 관리합니다. | 전송 중 전자 메일 레이블 지정 |
요구 사항 68
오스트레일리아 정부 레코드 보관 메타데이터 Standard '보안 분류' 속성(그리고 관련된 경우 '보안 주의' 속성)은 보안 기밀 정보를 저장, 처리 또는 통신하는 기술 시스템에 대한 정보를 보호 표시하기 위해 적용됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| AGRkMS 요구 사항에 맞게 SharePoint 검색을 통한 인덱스 보안 분류 및 보안 주의 사항 및 보급 제한 표 식 속성입니다. | 분류 및 주의 메타데이터 관리 |
| PSPF 정책 8 부속서 F에 따라 이메일 메타데이터 요구 사항을 충족하도록 X-보호 표시 x 헤더를 적용합니다. | DLP 정책을 통해 x 보호 표시 헤더 적용 |
| 연결된 데이터베이스 시스템의 중요한 정보가 포함된 데이터베이스 열에 메타데이터를 적용합니다. | Power BI 및 데이터 통합 |
요구 사항 69
호주 정부 레코드 보관 메타데이터 Standard '권한' 속성을 적용합니다. 여기서 엔터티는 액세스 제한 유형에 따라 정보 콘텐츠를 분류하려고 합니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 중요한 레코드 또는 특정 액세스 및 사용 제한이 있는 레코드의 적절한 관리 및 사용을 용이하게 하기 위해 추가 메타데이터 속성을 구현합니다. | Rights 속성 |
요구 사항 70
보안 분류 토론 및 보안 기밀 정보의 보급은 승인된 위치에서만 개최됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| Teams 모임 초대장 및 Outlook 일정 항목에 보호 표시를 적용합니다. 모임 첨부 파일 암호화와 같은 일정 항목에 컨트롤을 적용합니다. |
일정 항목의 레이블 지정 |
| Teams 모임에 보호 표시를 적용하고 고급 암호화 기술 및 모임 워터마크를 포함하여 기밀 대화를 보호하기 위한 고급 제어를 구성합니다. Teams 대화의 엔드 투 엔드 암호화를 통해 사용자에게 중요한 또는 보안 분류된 토론을 가로챌 수 없다는 확신을 제공합니다. |
레이블 구성 Teams Premium |
PSPF 섹션 10 - 정보 보유
여기에 나열된 요구 사항은 PSPF 릴리스 2024 섹션 10 - Information Holdings(2024년 11월 1일 업데이트)를 기반으로 합니다.
Microsoft Purview 및 관련 구성과 관련된 요구 사항만 나열됩니다.
요구 사항 71
엔터티는 가치, 중요도 및 민감도에 비례하는 정보 보유에 대한 운영 제어를 구현합니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 민감도 레이블에 따라 DLP(데이터 손실 방지) 정책을 사용하여 보안 분류 정보의 부적절한 배포를 방지합니다. | 기밀 정보 보호 |
| 중요한 콘텐츠를 대상으로 하는 DLP(데이터 손실 방지) 정책을 사용하여 중요한 정보의 부적절한 배포를 방지합니다. | 중요한 정보 보호 |
| 항목 내의 정보에 적용되는 보안 분류를 반영하는 개별 항목에 시각적 표시를 제공합니다. | 민감도 레이블 콘텐츠 표시 |
| 위치(사이트 또는 팀) 내에 있어야 하는 가장 높은 수준의 민감도를 반영하는 시각적 표시를 제공합니다. | Sharepoint 위치 및 항목 민감도 |
| 위치에 적용된 민감도에 따라 위치 개인 정보 설정을 구성합니다. | 레이블 개인 정보 설정 |
| 적용된 위치 레이블에 따라 위치 및 위치 내의 항목에 대한 게스트 액세스를 사용하거나 사용하지 않도록 설정합니다. | 게스트 액세스 구성 |
| 위치에 적용된 레이블에 따라 SharePoint 기반 위치(사이트 또는 팀)에 대한 Microsoft 365 공유 구성을 제어합니다. | 레이블 공유 구성 |
| 민감도가 낮은 위치에 있는 매우 중요한 항목에 대한 사용자 알림 및 경고를 제공합니다. | 데이터 중단 경고 |
| 매우 중요한 위치(사이트 또는 Teams)에 액세스하기 위한 다른 요구 사항을 구성합니다. 예를 들어 관리되지 않는 디바이스, 안전하지 않은 디바이스 또는 알 수 없는 위치에서 발생합니다. |
조건부 액세스 인증 컨텍스트 기밀 정보 보호 적응형 보호 |
| 매우 중요한 항목을 암호화하여 항목의 위치에 관계없이 권한이 없는 사용자의 액세스를 방지합니다. | 민감도 레이블 암호화 |
| 내부 사용자 또는 게스트 그룹에 대한 액세스 및 사용 제한을 구성합니다. | 레이블 암호화 권한 할당 |
| 보안 분류 항목 및/또는 포함된 정보의 이동을 해당 포함된 정보의 액세스 또는 추가 배포를 제어할 수 없는 위치로 제한합니다. |
보안 분류 항목의 다운로드 또는 인쇄 방지 관리되지 않는 위치에 보안 분류 항목 업로드 방지 |
PSPF 섹션 12 - 정보 공유
요구 사항 75
보안 기밀 정보 또는 리소스에 대한 액세스는 적절한 보안 허가(필요한 경우)와 알아야 할 사항을 가진 엔터티 외부 사용자에게만 제공되며 최소 보호 및 처리 요구 사항에 따라 전송됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 중요한 정보 또는 기밀 정보가 포함된 위치에 대한 액세스를 권한이 있는 사용자로만 제한합니다. | 인증 컨텍스트 |
| 민감도 레이블 지정 및 DLP를 통합합니다. 권한이 없는 사용자와 특정 표시가 있는 항목의 공유(이메일 또는 공유 작업을 통해)를 방지하기 위해 정책을 생성할 수 있습니다. |
권한이 없는 조직에 기밀 정보가 전자 메일로 배포되지 않도록 방지 권한이 없는 사용자에게 기밀 정보의 전자 메일 배포 방지 보안 기밀 정보의 공유 방지 |
| 정책 위반에 앞서 사용자에게 정보를 공유하지 않도록 경고하는 DLP 정책 팁을 제공하여 잘못된 ID와 같은 상황으로 인한 정보 공개 가능성을 줄입니다. | 위반에 앞서 DLP 정책 팁 |
| 적절한 보안 허가가 없는 사용자에게 레이블이 지정된 항목을 공유하거나 메일로 보내려는 시도를 모니터링, 경고 및/또는 차단합니다. | DLP 이벤트 관리 |
| 위치 표시에 따라 사이트 또는 Teams에 대한 개인 정보 옵션을 구성합니다. 이렇게 하면 알 필요가 없고 팀 또는 위치 소유자가 이러한 위치에 대한 액세스를 제어할 수 있는 위치에 대한 공개 액세스를 방지할 수 있습니다. 또한 상태, 순위 또는 편의에 따라 액세스를 자동으로 제공하지 않음으로써 지원 요구 사항 2를 충족하는 데 도움이 됩니다. | 레이블 개인 정보 설정 |
| 사이트 또는 팀에 대한 공유 제한을 구성하여 표시된 위치의 항목만 내부 사용자와 공유할 수 있도록 합니다. | 레이블 공유 구성 |
| 레이블 암호화를 사용하여 레이블이 지정된 콘텐츠에 대한 액세스를 제어하여 권한 있는 사용자만 액세스할 수 있도록 합니다. | 레이블 암호화 사용 |
| 권한이 없는 사용자가 더 쉽게 액세스할 수 있는 낮은 민감도 위치로 이동되는 보안 분류 또는 표시된 정보에 대한 경고입니다. | 데이터 외부 경고 |
요구 사항 76
영연방, 주 및 영토 간의 양해 각서는 주 및 영토 정부 기관과 정보를 공유할 때 적용됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 호주 정부 보안 기밀 정보를 보유하거나 액세스하는 주 정부 기관은 PSPF에 포함된 관련 보호 보안 조치를 해당 정보에 적용합니다. | Microsoft Purview 기능 매핑에 대한 호주 주 정부 요구 사항 |
| 주 및 연방 보안 분류 구문이 일치하지 않는 상황에서 정보에 레이블이 지정되고 보호되는지 확인합니다. | 레이블 분류가 다른 조직의 레이블 |
| 오스트레일리아 정부 보안 분류로 분류된 정보를 보호합니다. | 보안 기밀 정보의 부적절한 배포 방지 |
| 오스트레일리아 정부 보안 분류로 표시된 정보가 적용된 민감도 레이블에 관계없이 데이터 손실 방지를 통해 보호되도록 합니다. | 표시된 정보의 전자 메일 제어 |
요구 사항 77
보안 기밀 정보 또는 리소스가 공개되거나 정부 외부의 개인 또는 organization 공개되거나 공유되기 전에 계약 또는 행위와 같은 계약 또는 계약이 체결됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 조건부 액세스 정책의 일부로 사용 약관을 구성하여 게스트가 항목에 대한 액세스가 허용되기 전에 약관에 동의해야 합니다. 이는 조직 간의 서면 계약을 보완합니다. | Microsoft Entra B2B(Business to Business) 구성은 이 가이드1의 scope. 개념은 조건부 액세스에서 도입됩니다. |
| 보안 표시 또는 기밀 정보뿐만 아니라 다른 유형의 중요한 정보를 외부 조직과 공유하는 것을 방지하기 위해 제한을 구현합니다. 이러한 정책에 예외를 적용하여 공식 계약이 설정된 승인된 조직 목록에 공유가 허용되도록 할 수 있습니다. | 중요한 정보의 배포 제한 |
| 권한이 구성된 사용자 또는 조직을 제외하고 게스트에 대한 정보(파일 또는 이메일)에 대한 액세스를 제한하도록 암호화를 구성합니다. | 민감도 레이블 암호화 |
| 공식 계약이 있는 승인된 조직에서만 공동 작업 활동(공유, 공동 작성, 채팅 및 Teams 멤버 자격 포함)을 허용하도록 게스트 액세스를 구성합니다. | Microsoft Entra B2B 구성이 이 가이드1의 scope 벗어났습니다. 개념 또는 레이블이 지정된 항목에 대한 게스트 액세스 제한은 게스트 액세스 구성에서 도입됩니다. |
| 게스트 액세스 및 멤버 자격을 감사하여 리소스 소유자에게 더 이상 필요하지 않은 경우 게스트를 제거하라는 메시지를 표시하고 리소스에 액세스하지 않을 때 제거를 권장합니다. | Microsoft Entra B2B 구성이 이 가이드1, 2의 scope 벗어났습니다. |
참고
1 Microsoft Entra B2B 구성에 대한 자세한 내용은 B2B 협업을 위한 Microsoft 클라우드 설정을 참조하세요.
2 액세스 검토에 대한 자세한 내용은 액세스 검토를 참조하세요.
PSPF 섹션 17 - 리소스에 대한 액세스
요구 사항 129
공식 정보에 대한 액세스는 엔터티 담당자 및 기타 관련 이해 관계자를 위해 촉진됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 팀 또는 SharePoint 위치에 적용된 민감도 레이블에 따라 공유, 개인 정보 및/또는 게스트 액세스를 제한합니다. | 민감도 레이블 그룹 및 사이트 구성 |
| 사용자가 권한이 없는 내부 또는 외부 그룹과 레이블이 지정된 콘텐츠를 공유하려고 할 때 공유를 제한하거나 주의합니다. |
보안 기밀 정보의 부적절한 배포 방지 중요한 정보의 배포 제한 |
| 승인되지 않은 받는 사람에게 레이블이 지정된 전자 메일 또는 전자 메일 첨부 파일 배달을 방지합니다. |
권한이 없는 조직에 기밀 정보가 전자 메일로 배포되지 않도록 방지 권한이 없는 사용자에게 기밀 정보의 전자 메일 배포 방지 |
| 권한이 없는 사용자가 추가로 배포하거나 액세스할 수 있는 승인되지 않은 클라우드 서비스 또는 위치로 레이블이 지정된 콘텐츠의 업로드를 제한합니다. | 관리되지 않는 위치에 보안 분류 항목 업로드 방지 |
| 권한이 없는 사용자가 부적절하게 공유한 경우 레이블이 지정된 항목(파일 또는 전자 메일)에 대한 액세스를 방지합니다. | 민감도 레이블 암호화 |
| 레이블이 지정된 항목이 승인되지 않은 클라우드 서비스에 업로드되지 않도록 방지합니다. 인쇄, USB에 복사, Bluetooth 또는 허용되지 않는 앱을 통해 전송되지 않도록 방지합니다. |
보안 기밀 정보의 공유 방지 보안 분류 항목의 다운로드 또는 인쇄 방지 |
요구 사항 130
기술 시스템, 네트워크, 인프라, 디바이스 및 애플리케이션 지원에 대한 액세스 제어(원격 액세스 포함)를 포함하여 공식 정보에 대한 적절한 액세스를 사용할 수 있습니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 적절한 인증 요구 사항이 충족되는 경우에만 CA(조건부 액세스)를 사용하여 승인된 사용자, 디바이스 및 위치로 Microsoft 365 애플리케이션에 대한 액세스를 제한할 수 있습니다. | 조건부 액세스 |
| 중요한 또는 보안 분류된 레이블이 지정된 위치에 대한 세부적인 액세스 제어를 제공합니다. | 인증 컨텍스트 |
| 암호화된 항목(파일 또는 전자 메일)에 액세스할 때 사용자 인증 및 권한 부여를 평가합니다. | 민감도 레이블 암호화 |
요구 사항 131
보안 기밀 정보 또는 리소스에 대한 액세스 권한은 해당 정보를 알아야 하는 엔터티 담당자에게만 제공됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 암호화를 사용하도록 설정된 이니셔티브별 민감도 레이블을 활용하여 알 필요 없는 사용자가 보안 기밀 정보에 액세스하지 못하도록 방지합니다. |
Azure Rights Management 암호화 레이블 암호화 사용 |
| 사용자가 사용자 지정 권한을 적용할 수 있는 옵션을 사용하여 Azure Rights Management 암호화를 활용하여 사용자가 지정한 권한만 암호화된 항목에 액세스할 수 있도록 합니다. | 사용자가 결정하도록 허용 |
| 팀 구성원의 공유를 제한하여 소유자가 정보 공유 활동에 대한 책임을 지도록 합니다. | 기타 공유 시나리오 |
요구 사항 132
보안 기밀 정보 또는 리소스에 지속적으로 액세스해야 하는 직원은 적절한 수준으로 보안이 지워집니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 적절한 수준으로 지워지지 않은 사용자에게 보안 기밀 정보가 배포되지 않도록 DLP 정책을 구성합니다. | 권한이 없는 조직에 기밀 정보가 전자 메일로 배포되지 않도록 방지 |
| 보안 분류(또는 주의됨) 정보가 포함된 위치에 대한 액세스를 적절한 수준으로 지워진 개인으로 제한합니다. | 인증 컨텍스트 |
| 보안 분류 또는 표시된 정보가 권한이 없는 사용자가 쉽게 액세스할 수 있는 낮은 민감도 위치로 이동되지 않도록 방지합니다. | 데이터 외부 경고 |
| organization 나가는 사용자가 더 이상 중요한 자료에 액세스할 수 없도록 암호화를 구성합니다. | 민감도 레이블 암호화 |
요구 사항 133
주의 정보에 액세스해야 하는 직원은 발신자가 부과한 모든 허가 및 적합성 요구 사항을 충족하고 제어 기관에 주의해야 합니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 항목을 암호화하고 권한을 구현하여 허가 상태 평가한 권한이 있는 외부 사용자만 항목에 액세스할 수 있도록 합니다. | 암호화된 항목에 대한 외부 사용자 액세스 |
| organization 내에서 적절하게 지워진 사용자만 보안 기밀 정보를 받을 수 있는지 확인합니다. | 권한이 없는 사용자에게 기밀 정보의 전자 메일 배포 방지 |
요구 사항 134
보안 기밀 정보를 보유하는 시스템에 대한 액세스를 관리하기 위해 시스템 액세스 권한이 부여될 때마다 고유한 사용자 식별, 인증 및 권한 부여 사례가 구현됩니다.
| 솔루션 기능 | 섹션 |
|---|---|
| 서비스에 대한 액세스 권한을 부여하기 전에 MFA, 관리 디바이스 또는 알려진 위치와 같은 다른 '최신 인증' 요소를 포함하여 사용자 식별, 인증을 요구하도록 CA(조건부 액세스) 정책을 구성합니다. | 조건부 액세스 |
| 특정 레이블로 표시된 위치에 액세스할 때 사용자에게 다른 조건부 액세스 요구 사항을 적용합니다. | 인증 컨텍스트 |
| 사용자가 암호화된 항목에 액세스할 때마다 ID, 인증 및 권한 부여를 확인하는 레이블 암호화를 구성합니다. | 민감도 레이블 암호화 |