刑事司法信息服务 (CJIS) 安全策略
CJIS 概述
美国联邦调查局 (FBI) 刑事司法信息服务 (CJIS) 司,使州、地方和联邦执法和刑事司法机构能够访问 (CJI) 的刑事司法信息,例如指纹记录和犯罪历史。 美国中的执法部门和其他政府机构必须确保其使用云服务来传输、存储或处理 CJI 符合 CJIS 安全策略,该策略规定了保护 CJI 的最低安全要求和控制措施。
CJIS 安全政策整合了总统和 FBI 指令、联邦法律和刑事司法界咨询政策委员会的决定,以及国家标准与技术研究所 (NIST) 的指导。 策略会定期更新,以反映不断变化的安全要求。
CJIS 安全策略定义了专用承包商(如云服务提供商)必须评估的 13 个领域,以确定他们对云服务的使用是否符合 CJIS 要求。 这些领域与 NIST 800-53 密切相关,NIST 800-53 也是 联邦风险和授权管理计划 (FedRAMP) 的基础。根据该计划,Microsoft 已为其政府云产品/服务进行了认证。
此外,处理 CJI 的所有私人承包商都必须签署 CJIS 安全附录,这是美国总检察长批准的统一协议,有助于确保安全策略要求的 CJI 安全性和机密性。 它还承诺承包商维护符合联邦和州法律、法规和标准的安全计划,并将 CJI 的使用限制在政府机构提供的目的。
Microsoft 和 CJIS 安全策略
Microsoft 在与 CJIS 信息协议的州签署 CJIS 安全附录。 它们告诉负责遵守 CJIS 安全策略的州执法部门,Microsoft 的云安全控制如何帮助保护数据的完整生命周期,并确保对有权访问 CJI 的操作人员进行适当的背景筛选。 Microsoft 继续与州政府合作,签订 CJIS 信息协议。
Microsoft 已评估 Microsoft Azure 政府、Microsoft Office 365美国政府和 Microsoft Dynamics 365美国政府的操作策略和程序,并将证明其在适用的服务协议中满足 FBI 对使用范围内服务的要求的能力。
Microsoft 范围内的云平台和云服务
- Azure 政府
- 美国政府Dynamics 365
- Office 365美国政府
- 作为Office 365 政府版社区云品牌计划或套件的一部分的 Power BI 云服务
Azure、Dynamics 365和 CJIS
有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure CJIS 产品/服务。
Office 365和 CJIS
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| GCC | Microsoft Entra ID、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版 加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
Office 365 审核、报告及证书
FBI 不提供 Microsoft 符合 CJIS 要求的认证。 相反,Microsoft 证明包含在 Microsoft 与该州的 CJIS 机构之间以及 Microsoft 与其客户之间的协议中。
截至 2024 年 3 月 28 日美国 (的 CJIS 状态)
四十六个州和哥伦比亚特区签订管理协议包括:
阿拉巴马州、阿拉斯加州、亚利桑那州、阿肯色州、加利福尼亚州、科罗拉多州、康涅狄格州、佛罗里达州、佐治亚州、夏威夷、爱达荷州、伊利诺伊州、印第安纳州、爱荷华州、堪萨斯州、肯塔基州 缅因州、马里兰州、马萨诸塞州、密歇根州、明尼苏达州、密西西比州、密苏里州、蒙大拿州、内布拉斯加州、内华达州、新罕布什尔州、新泽西州、新墨西哥州、纽约、北卡罗来纳州、北达科他州、俄亥俄州、俄克拉荷马州、俄勒冈州、宾夕法尼亚州、罗得岛州、南卡罗来纳州、田纳西州、得克萨斯州、犹他州、佛蒙特州、弗吉尼亚州、华盛顿州、西弗吉尼亚州、威斯康星州和地区哥伦比亚。
Microsoft 承诺满足适用的 CJIS 法规控制措施,使刑事司法组织能够实施基于云的解决方案并符合 CJIS 安全策略 V5.9。
常见问题解答
在哪里可以请求合规性信息?
请联系你的 Microsoft 帐户代表,了解有关你感兴趣的司法管辖区的信息。 有关哪些服务当前在哪些州可用的信息,请联系 cjis@microsoft.com 。
Microsoft 如何证明其云服务符合我州的要求?
Microsoft 与国家 CJIS 系统机构 (CSA) 签署信息协议;可以从该州的 CSA 请求副本。 此外,Microsoft 为客户提供深入的安全性、隐私和合规性信息。 客户还可以查看独立审核员准备的安全和合规性报告,以便验证 Microsoft 是否已 (实施安全控制措施,例如 ISO 27001) 适合相关审核范围。
从何处着手开展代理的合规性工作?
CJIS 安全策略 涵盖机构为保护 CJI 而必须采取的预防措施。 此外,你的 Microsoft 客户代表可以让你与熟悉你的司法管辖区要求的人员联系。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。
资源
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈