CJIS(형사 사법 정보 서비스) 보안 정책
CJIS 개요
미국 연방수사국(FBI)의 CJIS(형사 사법 정보 서비스) 부서는 주, 지방 및 연방 법 집행 기관 및 형사 사법 기관에 CJI(형사 사법 정보)에 대한 액세스 권한을 부여합니다(예: 지문 기록 및 범죄 기록). 미국 법 집행 기관 및 기타 정부 기관은 CJI의 전송, 스토리지 또는 처리에 클라우드 서비스를 사용하는 것이 CJI를 보호하기 위한 최소 보안 요구 사항 및 제어를 설정하는 CJIS 보안 정책을 준수하는지 확인해야 합니다.
CJIS 보안 정책은 대통령 및 FBI 지침, 연방 법률 및 형사 사법 커뮤니티의 자문 정책 위원회 결정과 NIST (국립 표준 기술 연구소)의 지침을 통합합니다. 정책은 진화하는 보안 요구 사항을 반영하도록 주기적으로 업데이트됩니다.
CJIS 보안 정책은 클라우드 서비스 공급자와 같은 민간 계약자가 클라우드 서비스 사용이 CJIS 요구 사항과 일치할 수 있는지 확인하기 위해 평가해야 하는 13개의 영역을 정의합니다. 이러한 영역은 NIST 800-53에 밀접하게 해당하며, 이는 Microsoft가 정부 클라우드 제품에 대해 인증을 받은 프로그램인 FedRAMP(Federal Risk and Authorization Management Program)의 기초이기도 합니다.
또한 CJI를 처리하는 모든 민간 계약자는 보안 정책에 필요한 CJI의 보안 및 기밀성을 보장하는 데 도움이 되는 미국 법무장관이 승인한 균일한 계약인 CJIS 보안 부록에 서명해야 합니다. 또한 계약자에게 연방 및 주 법률, 규정 및 표준과 일치하는 보안 프로그램을 유지 관리하도록 약속하고 CJI의 사용을 정부 기관이 제공한 목적으로 제한합니다.
Microsoft 및 CJIS 보안 정책
Microsoft는 CJIS 정보 계약을 사용하여 CJIS 보안 부록에 서명합니다. 이는 CJIS 보안 정책 준수를 담당하는 주 법 집행 기관에 Microsoft의 클라우드 보안 제어가 데이터의 전체 수명 주기를 보호하고 CJI에 액세스할 수 있는 운영 담당자의 적절한 백그라운드 검사를 보장하는 방법을 알려줍니다. Microsoft는 CJIS 정보 계약을 체결하기 위해 주 정부와 계속 협력하고 있습니다.
Microsoft는 Microsoft Azure Government, Microsoft Office 365 미국 정부 및 Microsoft Dynamics 365 미국 정부의 운영 정책 및 절차를 평가했으며, scope 서비스 사용에 대한 FBI 요구 사항을 충족하기 위해 해당 서비스 계약의 능력을 검증할 것입니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
- Azure Government
- Dynamics 365 미국 정부
- Office 365 미국 정부
- Office 365 Government Community Cloud 브랜드 플랜 또는 제품군의 일부로 Power BI 클라우드 서비스
Azure, Dynamics 365 및 CJIS
Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure CJIS 제품을 참조하세요.
Office 365 및 CJIS
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
| 적용 가능성 | 범위 내 서비스 |
|---|---|
| GCC | Microsoft Entra ID, 준수 관리자, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, Stream |
Office 365 감사, 보고서 및 인증서
FBI는 CJIS 요구 사항을 준수하는 Microsoft의 인증을 제공하지 않습니다. 대신 Microsoft 증명은 Microsoft와 주 CJIS 기관 간의 계약과 Microsoft와 고객 간의 계약에 포함됩니다.
미국 CJIS 상태(2024년 3월 28일 현재)
관리 계약이 있는 46개 주와 컬럼비아 특별구에는 다음이 포함됩니다.
앨라배마, 알래스카, 애리조나, 아칸소, 캘리포니아, 콜로라도, 코네티컷, 플로리다, 조지아, 하와이, 아이다호, 일리노이, 인디애나, 아이오와, 캔자스, 켄터키, 메인, 메릴랜드, 매사추세츠, 미시간, 미네소타, 미시시피, 미주리, 몬태나, 네브래스카, 네바다, 뉴햄프셔, 뉴저지, 뉴멕시코, 뉴욕, 노스캐롤라이나, 노스다코타, 오하이오, 오클라호마, 오리건, 펜실베이니아, 로드아일랜드, 사우스 캐롤라이나, 테네시, 텍사스, 유타, 버몬트, 버지니아, 워싱턴, 웨스트 버지니아, 위스콘신, 컬럼비아.
해당하는 CJIS 규제 제어를 충족하려는 Microsoft의 노력을 통해 형사 사법 조직은 클라우드 기반 솔루션을 구현하고 CJIS 보안 정책 V5.9를 준수할 수 있습니다.
질문과 대답
규정 준수 정보는 어디에서 요청할 수 있나요?
관심 있는 관할권에 대한 정보는 Microsoft 계정 담당자에게 문의하세요. 현재 어떤 상태에서 사용할 수 있는 서비스에 대한 정보는 문의 cjis@microsoft.com 하세요.
Microsoft는 클라우드 서비스가 내 주 요구 사항을 준수할 수 있음을 어떻게 보여 주나요?
Microsoft는 CSA(주 CJIS 시스템 기관)와 정보 계약에 서명합니다. 상태의 CSA에서 복사본을 요청할 수 있습니다. 또한 Microsoft는 고객에게 심층적인 보안, 개인 정보 및 규정 준수 정보를 제공합니다. 고객은 독립적인 감사자가 작성한 보안 및 규정 준수 보고서를 검토하여 Microsoft가 관련 감사 scope 적합한 보안 제어(예: ISO 27001)를 구현했는지 확인할 수 있습니다.
에이전시의 규정 준수 활동으로 어디서 시작해야 하나요?
CJIS 보안 정책은 기관이 CJI를 보호하기 위해 취해야 하는 예방 조치를 다룹니다. 또한 Microsoft 계정 담당자가 관할 구역의 요구 사항에 익숙한 사용자와 연락할 수 있습니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
리소스
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기