联邦风险和授权管理项目 (FedRAMP)

项目
09/27/2023

FedRAMP 概述

美国联邦风险和授权管理计划 (FedRAMP) 的建立，旨在根据《联邦信息安全管理法》 (FISMA) 提供评估、监视和授权云计算产品和服务的标准化方法，并加速联邦机构采用安全云解决方案。

管理和预算办公室现在要求所有联邦执行机构使用 FedRAMP 来验证云服务的安全性。 (其他机构也采用了它，因此它也在公共部门的其他领域也很有用。) 美国国家标准与技术研究院 (NIST) SP 800-53 设置了强制性标准，建立了信息系统的安全类别（机密性、完整性和可用性），以评估其信息和信息系统受到威胁时对组织的潜在影响。 FedRAMP 是认证云服务提供商 (CSP) 符合这些标准的计划。

希望向联邦机构销售服务的 CSP 可以采取三种方法来证明 FedRAMP 合规性：

从联合授权委员会 (JAB) 获得临时授权 (P-ATO) 。 JAB 是 FedRAMP 的主要治理和决策机构。国防部、国土安全部和总务管理局的代表在董事会任职。董事会向已证明 FedRAMP 合规性的 CSP 授予 P-ATO。
从联邦机构接收运营 (ATO) 。
或者，独立开发满足计划要求的 CSP 提供的包。

其中每个路径都需要 FedRAMP 计划管理办公室 (PMO) 进行严格的技术审查，并由该计划认可的独立第三方组织进行评估。

FedRAMP 授权根据 NIST 指南在三个影响级别授予 -- 低、中和高。这些级别对丢失机密性、完整性或可用性可能对组织造成的影响进行排名：低 (有限影响) 、中等 (严重不利影响) ，以及) (严重或灾难性影响。

Microsoft 与 FedRAMP

Microsoft 的政府云服务（包括Azure 政府、Dynamics 365政府和Office 365美国政府）满足美国联邦风险和授权管理计划 (FedRAMP) 的严格要求，使美国联邦机构能够受益于 Microsoft 云的成本节省和严格的安全性。

Microsoft 政府云服务为公共部门客户提供符合 FedRAMP 的丰富服务，以及可靠的指导和实施工具，包括 FedRAMP High 蓝图，可帮助客户为必须实现 FedRAMP High 控制的任何 Azure 部署体系结构部署一组核心策略。

Microsoft 范围内的云平台和云服务

Azure 与 Azure 政府
美国政府Dynamics 365
Intune
Office 365 (美国政府，美国政府 - 高，美国政府国防)
Power BI 云服务，作为独立服务提供，或者随 Office 365 品牌计划或套件一并提供
Windows 365 (美国政府，美国政府 - 高)

Azure、Dynamics 365 和 FedRAMP

有关 Azure、Dynamics 365和其他联机服务合规性的详细信息，请参阅 Azure FedRAMP 产品/服务。

Office 365和 FedRAMP

Office 365和Office 365美国政府有美国卫生和公众服务部的 ATO (DHHS) 。
Office 365美国政府国防部有美国国防信息系统局的P-ATO (DISA) 。任何希望部署Office 365美国政府国防的客户都可使用 DISA P-ATO 生成代理 ATO，以记录其接受情况。
Office 365 (企业和业务计划) 和Office 365美国政府有一个联邦调查局机构ATO在中等影响级别从监察长办公室。 Office 365美国政府是第一个获得此授权的基于云的电子邮件和协作服务。

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台，同时面向全球多个区域的客户提供应用和服务的集成体验。大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域内的其他区域 (例如数据复原美国) ，但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境：

客户端软件（客户端）：客户设备上运行的商业客户端软件。
Office 365（商业）：全球范围内提供的商业公共 Office 365 云服务。
Office 365 政府版社区云 (GCC) ：在 FedRAMP 市场中作为Office 365 (商业) （也称为 Office 365 多租户和 GCC 环境）列出。 Office 365 GCC 云服务适用于美国联邦、州、地方和部落政府，以及代表美国政府持有或处理数据的承包商。
Office 365 政府社区云 - 高 (GCC High)：Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计，并支持严格监管的联邦和防御信息。联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
Office 365 DoD (DoD)：Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计，并支持严格的联邦和防御法规。此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。若要了解哪些服务在哪些区域可用，请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。有关 Office 365 政府版云环境的详细信息，请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。本部分中提供的信息不构成法律建议，对于有关组织法规合规性的任何问题，应咨询法律顾问。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性：

适用性	范围内服务
GCC	活动源服务、必应服务、预订、Delve、Exchange Online、Exchange Online Protection、基础结构、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务、Office 使用情况报告、OneDrive for Business、人员Card、SharePoint Online、Skype for Business、Windows Ink
GCC 高级	活动源服务、必应服务、预订、Exchange Online、Exchange Online Protection、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business人员Card、SharePoint Online、Skype for Business、Windows Ink
DoD	活动源服务、必应服务、预订、Exchange Online Protection、Exchange Online、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business人员Card、SharePoint Online、Skype for Business、Windows Ink

Office 365 审核、报告及证书

Microsoft 每年都必须重新证明其云服务，以维持其 P-ATO 和 ATO 认证。为此，Microsoft 必须持续监视和评估其安全控制措施，并证明其服务的安全性符合要求。

Microsoft FedRAMP 审计报告

常见问题解答

Microsoft 云服务是否符合 FISMA) (联邦信息安全管理法案？

FISMA 是联邦法律，要求美国联邦机构及其合作伙伴仅从遵守 FISMA 要求的组织采购信息系统和服务。大多数表示符合 FISMA 标准的机构和供应商都指的是他们如何满足 NIST 在特别出版物 800-53 修订版 4 中确定的控制措施。 FISMA 流程 (但基础标准本身) 在 2011 年被 FedRAMP 取代。

FedRAMP 适用于谁？

联邦机构云部署和服务模型在低和中风险影响级别上强制实施 FedRAMP。任何想要参与 CSP 的联邦机构都可能需要满足 FedRAMP 规范。此外，在联邦政府使用的产品或服务中使用云技术的公司可能需要获得 ATO。

我的机构从哪里开始自己的合规性工作？

有关联邦机构成功导航 FedRAMP 并满足其要求所必须采取的步骤的概述，请转到获取授权：机构授权。

是否可以在代理的授权过程中使用 Microsoft 合规性？

能。可以使用 Microsoft 云服务的认证作为需要联邦政府机构 ATO 的任何计划或计划的基础。但是，你需要对这些服务之外的组件实现自己的授权。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能，可帮助你了解组织的合规性状况，并采取措施来帮助降低风险。合规性管理器提供了一个高级模板，用于对此法规建立评估。在合规性管理器的“评估模板”页面中找到模板。了解如何在合规性管理器中建立评估。