다음을 통해 공유


FedRAMP(Federal Risk and Authorization Management Program)

FedRAMP 개요

미국 연방 위험 및 권한 부여 관리 프로그램(FedRAMP)은 FISMA(연방 정보 보안 관리법)에 따라 클라우드 컴퓨팅 제품 및 서비스를 평가, 모니터링 및 승인하기 위한 표준화된 접근 방식을 제공하고 연방 기관의 보안 클라우드 솔루션 채택을 가속화하기 위해 설립되었습니다.

이제 관리 및 예산 사무소는 모든 집행 연방 기관이 FedRAMP를 사용하여 클라우드 서비스의 보안 유효성을 검사하도록 요구합니다. (다른 기관도 채택했기 때문에 공공 부문의 다른 영역에서도 유용합니다.) NIST(National Institute of Standards and Technology) SP 800-53은 필수 표준을 설정하고, 정보 시스템의 보안 범주(기밀성, 무결성 및 가용성)를 설정하여 정보 및 정보 시스템이 손상될 경우 organization 미치는 잠재적 영향을 평가합니다. FedRAMP는 CSP(클라우드 서비스 공급자)가 이러한 표준을 충족하는지 인증하는 프로그램입니다.

연방 기관에 서비스를 판매하려는 CSP는 FedRAMP 규정 준수를 입증하는 세 가지 경로를 사용할 수 있습니다.

  • JAB(공동 권한 부여 위원회)에서 P-ATO(임시 운영 기관)를 획득합니다. JAB는 FedRAMP의 주요 거버넌스 및 의사 결정 기관입니다. 국방부, 국토 안보부 및 일반 서비스 관리의 대표가 이사회에서 근무합니다. 이사회는 FedRAMP 규정 준수를 입증한 CSP에 P-ATO를 부여합니다.
  • 연방 기관으로부터 ATO(운영 기관)를 받습니다.
  • 또는 독립적으로 작업하여 프로그램 요구 사항을 충족하는 CSP 제공 패키지를 개발합니다.

이러한 각 경로에는 FedRAMP PMO(프로그램 관리 사무소)의 엄격한 기술 검토와 프로그램에서 인증한 독립적인 타사 organization 의한 평가가 필요합니다.

FedRAMP 권한 부여는 NIST 지침(낮음, 중간 및 높음)에 따라 세 가지 영향 수준에서 부여됩니다. 이러한 수준은 기밀성, 무결성 또는 가용성 손실이 낮은(제한된 효과), 중간(심각한 부작용) 및 높음(심각하거나 치명적인 영향)의 organization 미칠 수 있는 영향의 순위를 매겼습니다.

Microsoft 및 FedRAMP

Azure Government, Dynamics 365 정부 및 Office 365 미국 정부를 포함한 Microsoft의 정부 클라우드 서비스는 미국 FedRAMP(Federal Risk and Authorization Management Program)의 까다로운 요구 사항을 충족하여 미국 연방 기관이 Microsoft 클라우드의 비용 절감 및 엄격한 보안을 활용할 수 있도록 합니다.

Microsoft 정부 클라우드 서비스는 공공 부문 고객에게 FedRAMP를 준수하는 다양한 서비스 배열과 FedRAMP High 청사진을 비롯한 강력한 지침 및 구현 도구를 제공하며, 이를 통해 고객은 FedRAMP High 제어를 구현해야 하는 Azure 배포 아키텍처에 대한 핵심 정책 집합을 배포할 수 있습니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

  • Azure 및 Azure Government
  • Dynamics 365 미국 정부
  • Intune
  • Office 365(미국 정부, 미국 정부 - 높음, 미국 정부 방어)
  • 독립형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power BI 클라우드 서비스
  • Windows 365 (미국 정부, 미국 정부 - 높음)

Azure, Dynamics 365 및 FedRAMP

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure FedRAMP 제품을 참조하세요.

Office 365 및 FedRAMP

  • Office 365 및 Office 365 미국 정부는 미국 보건 복지부(DHHS)의 ATO를 가지고 있습니다.
  • Office 365 미국 정부 국방부는 미국 국방 정보 시스템 기관 (DISA)의 P-ATO를 가지고 있습니다. 미국 정부 Office 365 배포하려는 고객은 DISA P-ATO를 사용하여 기관 ATO를 생성하여 동의를 문서화할 수 있습니다.
  • Office 365(기업 및 비즈니스 계획) 및 Office 365 미국 정부는 감독관의 DHHS 사무실에서 중간 영향 수준에 FedRAMP 기관 ATO를 가지고 있습니다. Office 365 미국 정부는 이 권한 부여를 획득한 최초의 클라우드 기반 이메일 및 공동 작업 서비스입니다.

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만 Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 Government 커뮤니티 클라우드(GCC): FedRAMP 마켓플레이스에 Office 365(상업용)로 나열되고 Office 365 다중 테넌트 및 GCC 환경이라고도 합니다. Office 365 GCC 클라우드 서비스는 미국 연방, 주, 지방 및 부족 정부 및 미국 정부를 대신하여 데이터를 보유하거나 처리하는 계약자에게 제공됩니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 organization 대한 규정 준수와 관련된 질문에 대해서는 법률 고문에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
GCC 활동 피드 서비스, Bing Services, Bookings, Delve, Exchange Online, Exchange Online Protection, 인프라, 지능형 서비스, Microsoft Teams, Office 365 고객 포털, Office Online, Office Service, Office 사용 현황 보고서, 비즈니스용 OneDrive, 사람 카드, SharePoint Online, 비즈니스용 Skype, Windows Ink
GCC High 활동 피드 서비스, Bing Services, Bookings, Exchange Online, Exchange Online Protection, 지능형 서비스, Microsoft Teams, Office 365 고객 포털, Office Online, Office 서비스 인프라, Office 사용 현황 보고서, 비즈니스용 OneDrive, 사람 카드, SharePoint Online, 비즈니스용 Skype, Windows Ink
DoD 활동 피드 서비스, Bing Services, Bookings, Exchange Online Protection, Exchange Online, 지능형 서비스, Microsoft Teams, Office 365 고객 포털, Office Online, Office 서비스 인프라, Office 사용 현황 보고서, 비즈니스용 OneDrive, 사람 카드, SharePoint Online, 비즈니스용 Skype, Windows Ink

Office 365 감사, 보고서 및 인증서

Microsoft는 P-ATOs 및 ATOs를 유지하기 위해 매년 클라우드 서비스를 재인증해야 합니다. 이렇게 하려면 Microsoft는 보안 제어를 지속적으로 모니터링하고 평가해야 하며 서비스의 보안이 계속 준수되고 있음을 입증해야 합니다.

질문과 대답

Microsoft 클라우드 서비스는 FISMA(Federal Information Security Management Act)를 준수합니까?

FISMA는 미국 연방 기관과 파트너가 FISMA 요구 사항을 준수하는 조직에서만 정보 시스템 및 서비스를 조달하도록 요구하는 연방법입니다. FISMA 규격임을 나타내는 대부분의 기관 및 공급업체는 특별 발행물 800-53 rev 4에서 NIST가 식별한 컨트롤을 충족하는 방법을 언급하고 있습니다. FISMA 프로세스(기본 표준 자체는 아님)는 2011년에 FedRAMP로 대체되었습니다.

FedRAMP는 누구에게 적용하나요?

'FedRAMP는 낮고 온건한 위험 영향 수준에서 연방 기관 클라우드 배포 및 서비스 모델에 필수입니다.' CSP를 사용하려는 모든 연방 기관은 FedRAMP 사양을 충족해야 할 수 있습니다. 또한 연방 정부가 사용하는 제품 또는 서비스에 클라우드 기술을 사용하는 기업은 ATO를 획득해야 할 수 있습니다.

에이전시는 어디에서 자체 규정 준수 노력을 시작하나요?

연방 기관이 FedRAMP를 성공적으로 탐색하고 요구 사항을 충족하기 위해 수행해야 하는 단계에 대한 개요는 권한 부여: 기관 권한 부여로 이동하세요.

내 기관의 권한 부여 프로세스에서 Microsoft 규정 준수를 사용할 수 있나요?

예. Microsoft 클라우드 서비스의 인증을 연방 정부 기관의 ATO가 필요한 모든 프로그램 또는 이니셔티브의 기초로 사용할 수 있습니다. 그러나 이러한 서비스 외부의 구성 요소에 대한 자체 권한 부여를 달성해야 합니다.

Microsoft Purview 준수 관리자를 사용하여 위험 평가

Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스