国防联邦采购条例补充 (DFARS)

DFARS 概述

2016 年 10 月 21 日,国防部 (国防部) 发布了其最终规则,修订了《国防联邦采购条例补充 (DFARS) ,并对其信息系统处理、存储或传输涵盖的国防信息 (CDI) 的国防承包商施加了保护和网络事件报告义务。

最终的 DFARS 条款 252.204-7012 (保护涵盖的防御信息和网络事件报告) 指定了包括网络事件报告要求和云服务提供商的其他注意事项的安全措施。 根据 DFARS 252.204-7012,所有 DoD 承包商和国防工业基地都必须尽快遵守 DFARS 关于充分安全的要求,“尽快但不晚于 2017 年 12 月 31 日”。

Microsoft 和 DFARS

Microsoft 政府云服务可帮助美国国防工业基地和国防承包商客户满足适用于云服务提供商的 DFARS 条款 252.204-7012 中枚举的 DFARS 要求。 当国防承包商被要求遵守合同中的 DFARS 条款 252.204-7012 时,Microsoft 可以支持适用于Azure 政府和Office 365美国政府国防服务的云服务提供商的要求。 这两项服务都通过对国防部安全要求指南的 L5 认证,演示了对客户遵守 DFARS 7012 条款所需的功能的支持。

Microsoft 范围内的云平台和云服务

DoD 影响级别 5 涵盖的服务

  • Azure 与 Azure 政府
  • Office 365美国政府和Office 365美国政府防务

Azure、Dynamics 365 和 DFARS

有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure DFARS 产品/服务

Office 365和 DFARS

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
GCC Microsoft Entra ID、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版 加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream
GCC 高级 Microsoft Entra ID、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项、Office 365安全 & 合规中心、Office Online、Office Pro此外,OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online Skype for Business
DoD Microsoft Entra ID、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项、Office 365安全 & 合规中心、Office Online、Office Pro此外,OneDrive for Business、Planner、Power BI、SharePoint Online Skype for Business

Office 365 审核、报告和证书

常见问题解答

美国政府国防Office 365支持哪些 DFARS 要求?

Office 365美国政府国防允许我们的国防工业基地和国防承包商客户满足适用于云服务提供商的 DFARS 条款 252.204-7012 中枚举的 DFARS 要求。

独立评估员是否验证了美国政府国防部Office 365支持 DFARS 要求?

是的,第三方评估组织已证明Office 365美国政府国防云服务产品符合 DFARS 条款 252.204-7012 (保护未分类受控技术信息) 的适用要求。

受控未分类信息 (CUI) 与涵盖的防御信息 (CDI) 之间有什么关系?

CUI 是需要根据法律、法规或政府范围的政策保护或传播控制的信息。 CUI 注册表标识已批准的 CUI 类别和子类别。

CDI 是受控制的技术信息或其他信息 (,如 CUI 注册表) 中所述,需要保护或传播控制,并且是:

  • 在合同、任务订单或交付订单中标记或以其他方式标识,并由 DoD 或代表 DoD 向承包商提供,以履行合同或
  • 由承包商或代表承包商收集、开发、接收、传输、使用或存储,以支持合同的履行

是否所有Microsoft Office 365服务都符合 DFARS 条例下适用于“涵盖的国防信息”的“充分安全”要求?

2016 年 10 月,国防部 (国防部) 颁布了一项最终规则,该规则 (DFARS) 条款,适用于通过其信息系统处理、存储或传输“涵盖的国防信息”的所有 DoD 承包商。 该规则规定,此类系统必须满足 NIST SP 800-171、 在非联邦信息系统和组织中保护受控未分类信息中提出的安全要求,或由 DoD 合同官员批准的“替代但同样有效的安全措施”。 如果 DoD 承包商使用外部云服务提供商来处理、存储或传输涵盖的防御信息,则此类提供商必须满足相当于 FedRAMP Moderate 基线的安全要求。

以下Microsoft Office 365云服务已获得 FedRAMP 中等授权,适用于 DFARS:Office 365美国政府,Office 365美国政府国防。

此外,DoD 承包商可能用于处理、存储或传输“涵盖的防御信息”的 FedRAMP 认证边界之外的 Microsoft 产品/服务正在接受审查,以符合 2017 年 12 月 31 日合规期限。 Microsoft 正在努力记录这些面向内部和面向客户的服务如何符合 NIST SP 800-171 或可接受的等效安全要求,以满足 DFARS 相关条款。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源