美國內部營收服務發行集 1075

  • 發行項

美國內部營收服務發行集 1075 概觀

內部營收服務發行集 1075 (IRS 1075) 提供指引,讓美國政府機關及其代理程式存取聯邦稅務資訊 (FTI) ,以確保他們使用原則、做法和控制來保護其機密性。 IRS 1075 旨在將外部政府機構所持有的 FTI 遺失、外泄或誤用的風險降到最低。 例如,處理其居民之稅金中的 FTI 的州營收部門,或是存取 FTI 的健全服務機構,必須備妥程式來保護該資訊。

為了保護 FTI,IRS 1075 規定應用程式、平台和數據中心服務的安全性和隱私權控制。 例如,它會優先處理數據中心活動的安全性,例如正確處理 FTI,以及監督數據中心承包商限制輸入。 為了確保接收 FTI 的政府機構套用這些控制措施,IRS 建立了保護計劃,其中包括定期檢閱這些機構及其承包商。

Microsoft 和美國內部營收服務發行集 1075

Microsoft Azure Government 和 Microsoft Office 365 美國政府雲端服務提供合約承諾,讓他們擁有適當的控制措施,以及 Microsoft 機構客戶符合 IRS 1075 的實質需求所需的安全性功能。

這些適用於政府機關的 Microsoft 雲端服務提供一個平臺,讓客戶可以建置及操作其解決方案,但客戶必須自行判斷這些特定解決方案是否根據 IRS 1075 運作,因此受限於 IRS 稽核。

為了協助政府機關進行合規性工作,Microsoft:

  • 提供詳細指引,協助機構瞭解其責任,以及各種 IRS 控件如何對應至 Azure Government 和 Office 365 美國政府中的功能。 IRS 1075 保護安全性報告 (SSR) 完整記載 Microsoft 服務如何實作適用的 IRS 控件,並以 Azure Government 和 Office 365 美國政府的 FedRAMP 套件為基礎。 由於 IRS 1075 和 FedRAMP 都是以 NIST 800-53 為基礎,因此 IRS 1075 的合規性界限與 FedRAMP 授權相同。
  • IRS 必須明確核准任何 IRS 保護文件的發行,因此只有 NDA 下的政府客戶可以檢閱 SSR。
  • 提供獨立評估人員為其雲端服務產生的稽核報告和監視資訊。
  • 提供 IRS Azure Government 合規性考慮和 Office 365 美國政府合規性考慮,其中概述機構如何以符合 IRS 1075 的方式使用 Microsoft Cloud for Government 服務。 NDA 下的政府客戶可以要求這些檔。
  • 為客戶提供機會 (費用) 視需要與 Microsoft 主題專家或外部稽核員通訊。

Microsoft 範圍內雲端平台與服務

FedRAMP 授權會根據 NIST 指導方針在三個影響層級授與 :低、中和高。 這些會將機密性、完整性或可用性遺失可能對組織造成的影響排名 — 低 (有限效果) 、中 (嚴重不良影響) ,以及高 (嚴重或重大影響) 。

  • Azure 和 Azure Government
  • Dynamics 365 美國政府
  • Office 365,Office 365 美國政府
  • Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
  • Windows 365 (美國政府)

Azure、Dynamics 365 和 IRS 1075

如需 Azure、Dynamics 365 和其他 線上服務 合規性的詳細資訊,請參閱 Azure IRS 1075 供應專案

Office 365 和 IRS 1075

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
GCC 活動摘要服務、Bing 服務、Delve、Exchange Online Protection、Exchange Online、智能服務、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務基礎結構、Office 使用量報告、商務用 OneDrive、人員 卡片、SharePoint Online、商務用 Skype、Windows Ink

Office 365 稽核、報告和認證

FedRAMP 稽核每年都會涵蓋符合 IRS 1075 的實質需求。

常見問題集

Microsoft 如何處理 IRS 1075 的需求?

Microsoft 會定期監視其安全性、隱私權和操作控制措施,以及 NIST 800-53 修訂。FedRAMP 基準針對中度影響資訊系統所需的 4 個控件。 它可讓您每季透過持續監視報告存取此資訊。 Azure Government 和 Office 365 美國政府客戶可以透過服務信任入口網站存取此敏感性合規性資訊。

此外,Microsoft 已承諾在其主要控制項集中包含 IRS 1075 控制件,以 Azure Government 和 Office 365 美國政府,並每年稽核這些控制件。

我可以檢閱 FedRAMP 套件或系統安全性計畫嗎?

是,如果您的組織符合 Azure Government 和 Office 365 美國政府的資格需求。 請直接連絡您的 Microsoft 帳戶代表以檢閱這些檔。 您也可以參考符合規範的雲端服務提供者 FedRAMP 清單。

我可以使用 Azure 或 Office 365 公用雲端環境,但仍符合 IRS 1075 規範嗎?

不能。 唯一可以儲存和處理 FTI 的環境是 Azure Government 或 Office 365 美國政府。 政府客戶必須符合使用這些環境的資格需求。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源