DFARS(Defense Federal Acquisition Regulation Supplement)
DFARS 개요
2016년 10월 21일, 국방부(DoD)는 DFARS(Defense Federal Acquisition Regulation Supplement)를 개정하고 정보 시스템이 커버드 방어 정보(CDI)를 처리, 저장 또는 전송하는 방위 계약자에 대한 보호 및 사이버 인시던트 보고 의무를 부과하는 최종 규칙을 발표했습니다.
최종 DFARS 절 252.204-7012(보호 대상 방어 정보 및 사이버 인시던트 보고 보호)는 클라우드 서비스 공급자에 대한 사이버 인시던트 보고 요구 사항 및 추가 고려 사항을 포함하도록 보호 장치를 지정합니다. DFARS 252.204-7012에 따라 모든 DoD 계약자와 방위 산업 기반은 적절한 보안을 위해 DFARS 요구 사항을 준수해야 합니다.'2017년 12월 31일 이후는 아닙니다.
Microsoft 및 DFARS
Microsoft Government 클라우드 서비스는 미국 방위 산업 기반 및 방위 계약업체 고객이 클라우드 서비스 공급자에게 적용되는 DFARS 절 252.204-7012에 열거된 DFARS 요구 사항을 충족하도록 지원합니다. 방위 계약자가 계약에서 DFARS 조항 252.204-7012를 준수해야 하는 경우 Microsoft는 Azure Government 및 Office 365 미국 정부 방위 서비스에 대한 클라우드 서비스 공급자에 적용되는 요구 사항을 지원할 수 있습니다. 두 서비스 모두 고객이 국방부 보안 요구 사항 가이드에 대한 L5 인증을 통해 DFARS 7012 조항을 준수하는 데 필요한 기능에 대한 지원을 보여줍니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
DoD 영향 수준 5에 대한 적용 대상 서비스
- Azure 및 Azure Government
- Office 365 미국 정부와 Office 365 미국 정부 국방
Azure, Dynamics 365 및 DFARS
Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure DFARS 제품을 참조하세요.
Office 365 및 DFARS
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
| 적용 가능성 | 범위 내 서비스 |
|---|---|
| GCC | Microsoft Entra ID, 준수 관리자, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, Stream |
| GCC High | Microsoft Entra ID, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype |
| DoD | Microsoft Entra ID, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, Power BI, SharePoint Online, 비즈니스용 Skype |
Office 365 감사, 보고서 및 인증서
자주하는 질문
Office 365 미국 정부 방어에서 지원하는 DFARS 요구 사항은 무엇인가요?
Office 365 미국 정부 방위를 통해 당사의 방위 산업 기반 및 방위 계약업체 고객은 클라우드 서비스 공급자에게 적용되는 252.204-7012의 DFARS 조항에 열거된 DFARS 요구 사항을 충족할 수 있습니다.
독립적인 평가자가 Office 365 미국 정부 방위가 DFARS 요구 사항을 지원하는지 확인했나요?
예, 타사 평가 organization Office 365 미국 정부 국방 클라우드 서비스 제품이 DFARS 조항 252.204-7012(분류되지 않은 제어 기술 정보 보호)의 적용 가능한 요구 사항을 충족한다는 것을 테스트했습니다.
CUI(제어된 미분류 정보)와 CDI(적용된 방어 정보) 간의 관계는 무엇인가요?
CUI는 법률, 규정 또는 정부 차원의 정책에 따라 제어를 보호하거나 보급해야 하는 정보입니다. CUI 레지스트리는 승인된 CUI 범주 및 하위 범주를 식별합니다.
CDI는 보호 또는 보급 제어가 필요한 기술 정보 또는 기타 정보(CUI 레지스트리에 설명됨)로 제어되며 다음 중 하나입니다.
- 계약, 작업 주문 또는 배달 주문에서 표시되거나 기타 식별되며 계약 성과와 관련하여 DoD를 대신하여 또는 를 대신하여 계약자에게 제공되거나
- 계약 이행을 지원하기 위해 계약자를 대신하여 수집, 개발, 수신, 전송, 사용 또는 저장
모든 Microsoft Office 365 서비스가 DFARS 규정에 따라 '포함된 방어 정보'에 적용되는 '적절한 보안' 요구 사항을 충족하나요?
2016년 10월, 국방부(DoD)는 정보 시스템을 통해 '적용된 방어 정보'를 처리, 저장 또는 전송하는 모든 DoD 계약자에게 적용되는 DFARS(Defense Federal Acquisition Regulation Supplement) 조항을 시행하는 최종 규칙을 공포했습니다. 이 규칙은 이러한 시스템이 NIST SP 800-171, 비페더널 정보 시스템 및 조직에서 제어되는 미분류 정보 보호 또는 DoD 계약 담당자가 승인한 '대체적이지만 똑같이 효과적인 보안 조치'에 명시된 보안 요구 사항을 충족해야 한다고 명시하고 있습니다. 또한 DoD 계약자가 외부 클라우드 서비스 공급자를 사용하여 적용된 방어 정보를 처리, 저장 또는 전송하는 경우 이러한 공급자는 FedRAMP Moderate 기준과 동일한 보안 요구 사항을 충족해야 합니다.
다음 Microsoft Office 365 클라우드 서비스는 FedRAMP 중간 권한 부여를 받았으며 DFARS에 적합합니다: Office 365 미국 정부 및 Office 365 미국 정부 방어.
또한 DoD 계약자가 '적용된 방어 정보'를 처리, 저장 또는 전송하는 데 사용할 수 있는 FedRAMP 인증 경계 외부의 Microsoft 제품은 2017년 12월 31일 규정 준수 마감일을 충족하기 위한 검토를 진행하고 있습니다. Microsoft는 이러한 내부 및 고객 지향 서비스가 DFARS 관련 조항을 충족하기 위해 NIST SP 800-171 또는 그에 상응하는 허용 가능한 보안을 준수하는 방법을 문서화하기 위해 노력하고 있습니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
리소스
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기