DFARS 概述
2016 年 10 月 21 日,国防部 (国防部) 发布了最终规则,修订了《国防联邦采购条例补充 (DFARS) 》,并对其信息系统处理、存储或传输涵盖的国防信息 (CDI) 的国防承包商实施保护和网络事件报告义务。
最终的 DFARS 条款 252.204-7012 (保护涵盖的防御信息和网络事件报告) 指定了包括云服务提供商的网络事件报告要求和其他注意事项的安全措施。 根据 DFARS 252.204-7012,所有 DoD 承包商和国防工业基地都必须尽快遵守 DFARS 关于充分安全的要求,“尽快但不晚于 2017 年 12 月 31 日”。
Microsoft和 DFARS
Microsoft政府云服务可帮助美国国防工业基地和国防承包商客户满足适用于云服务提供商的 DFARS 条款 252.204-7012 中枚举的 DFARS 要求。 当国防承包商需要在合同中遵守 DFARS 条款 252.204-7012 时,Microsoft可以支持适用于Azure 政府和Office 365美国政府国防服务的云服务提供商的要求。 这两项服务都通过对国防部安全要求指南的 L5 认证,演示了对客户遵守 DFARS 7012 条款所需的功能的支持。
Microsoft 范围内的云平台和云服务
DoD 影响级别 5 涵盖的服务
- Azure 与 Azure 政府
- Office 365美国政府和Office 365美国政府防务
Azure、Microsoft Dynamics 365 和 DFARS
有关Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure DFARS 产品/服务。
Office 365和 DFARS
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| GCC | 合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Entra ID、Microsoft Purview 门户、Microsoft Teams、MyAnalytics Office 365 高级合规版加载项,Office Online,Office Pro Plus,OneDrive,Planner,Power Apps,Power Automate,Power BI,SharePoint Online,Skype for Business,Stream |
| GCC 高级 | Exchange Online、窗体、Office 365 Microsoft Defender、Microsoft Entra ID、Microsoft Purview 门户、Microsoft Teams Office 365 高级合规版加载项、Office Online、Office Pro Plus、OneDrive、Planner、Power Apps、Power Automate、Power BI、SharePoint Online Skype for Business |
| DoD | Exchange Online、窗体、Microsoft Defender Office 365、Microsoft Entra ID、Microsoft Purview 门户、Microsoft Teams、Office 365 高级合规版加载项、Office Online、Office Pro Plus、OneDrive、Planner、Power BI、SharePoint联机、Skype for Business |
Office 365 审核、报告及证书
常见问题解答
美国政府国防支持哪些 DFARS 要求Office 365?
Office 365美国政府防务使国防工业基地和国防承包商客户能够满足适用于云服务提供商的 252.204-7012 DFARS 条款中所述的 DFARS 要求。
独立评估员是否验证了美国政府国防部Office 365支持 DFARS 要求?
是的,第三方评估组织证明Office 365美国政府国防云服务产品符合 DFARS 条款 252.204-7012 (保护非机密受控技术信息) 的适用要求。
受控未分类信息 (CUI) 与涵盖的防御信息 (CDI) 之间有什么关系?
CUI 是需要根据法律、法规或政府范围的政策进行保护或传播控制的信息。 CUI 注册表标识已批准的 CUI 类别和子类别。
CDI 是受控制的技术信息或其他信息 (,如 CUI 注册表) 中所述,需要保护或传播控制,并且是:
- 在合同、任务订单或交付订单中标记或以其他方式标识,并由 DoD 或代表 DoD 向承包商提供,以履行合同。
或
- 由承包商或代表承包商收集、开发、接收、传输、使用或存储,以支持合同的履行。
是否所有Microsoft Office 365服务都符合 DFARS 条例下适用于“涵盖的国防信息”的“充分安全”要求?
2016 年 10 月,国防部 (国防部) 颁布了一项最终规则,该规则 (DFARS) 条款,适用于通过其信息系统处理、存储或传输“涵盖的国防信息”的所有 DoD 承包商。 该规则规定,此类系统必须满足 NIST SP 800-171 中定义的安全要求, 即在非联邦信息系统和组织中保护受控未分类信息,或 DoD 合同官员批准的“替代但同样有效的安全措施”。 DoD 承包商使用外部云服务提供商处理、存储或传输涵盖的防御信息时;此类提供程序必须满足等效于 FedRAMP 中等基线的安全要求。
以下Microsoft Office 365云服务具有 FedRAMP 中等授权,适用于 DFARS:Office 365美国政府,Office 365美国政府国防。
此外,DoD 承包商可能用于处理、存储或传输“涵盖的防御信息”的联邦储备(FedRAMP)认证边界之外的Microsoft产品/服务正在接受审查,以达到 2017 年 12 月 31 日合规期限。 Microsoft正在努力记录这些内部和面向客户的服务如何符合 NIST SP 800-171 或可接受的等效安全性,以满足 DFARS 相关条款。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器 是 Microsoft Purview 门户中 的一项功能,可帮助你了解组织的合规性状况并采取措施来降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。