联邦风险和授权管理项目 (FedRAMP)
FedRAMP 概述
美国联邦风险和授权管理计划 (FedRAMP) 的建立,旨在根据《联邦信息安全管理法》 (FISMA) 提供评估、监视和授权云计算产品和服务的标准化方法,并加速联邦机构采用安全云解决方案。
管理和预算办公室现在要求所有联邦执行机构使用 FedRAMP 来验证云服务的安全性。 (其他机构也采用了它,因此它也在公共部门的其他领域也很有用。) 美国国家标准与技术研究院 (NIST) SP 800-53 设置了强制性标准,建立了信息系统的安全类别(机密性、完整性和可用性),以评估其信息和信息系统受到威胁时对组织的潜在影响。 FedRAMP 是认证云服务提供商 (CSP) 符合这些标准的计划。
希望向联邦机构销售服务的 CSP 可以采取三种方法来证明 FedRAMP 合规性:
- 从联合授权委员会 (JAB) 获得临时授权 (P-ATO) 。 JAB 是 FedRAMP 的主要治理和决策机构。 国防部、国土安全部和总务管理局的代表在董事会任职。 董事会向已证明 FedRAMP 合规性的 CSP 授予 P-ATO。
- 从联邦机构接收运营 (ATO) 。
- 或者,独立开发满足计划要求的 CSP 提供的包。
其中每个路径都需要 FedRAMP 计划管理办公室 (PMO) 进行严格的技术审查,并由该计划认可的独立第三方组织进行评估。
FedRAMP 授权根据 NIST 指南在三个影响级别授予 -- 低、中和高。 这些级别对丢失机密性、完整性或可用性可能对组织造成的影响进行排名:低 (有限影响) 、中等 (严重不利影响) ,以及) (严重或灾难性影响。
Microsoft 与 FedRAMP
Microsoft 的政府云服务(包括Azure 政府、Dynamics 365政府和Office 365美国政府)满足美国联邦风险和授权管理计划 (FedRAMP) 的严格要求,使美国联邦机构能够受益于 Microsoft 云的成本节省和严格的安全性。
Microsoft 政府云服务为公共部门客户提供符合 FedRAMP 的丰富服务,以及可靠的指导和实施工具,包括 FedRAMP High 蓝图,可帮助客户为必须实现 FedRAMP High 控制的任何 Azure 部署体系结构部署一组核心策略。
Microsoft 范围内的云平台和云服务
- Azure 与 Azure 政府
- 美国政府Dynamics 365
- Intune
- Office 365 (美国政府,美国政府 - 高,美国政府国防)
- Power BI 云服务,作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供
- Windows 365 (美国政府,美国政府 - 高)
Azure、Dynamics 365 和 FedRAMP
有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure FedRAMP 产品/服务。
Office 365和 FedRAMP
- Office 365和Office 365美国政府有美国卫生和公众服务部的 ATO (DHHS) 。
- Office 365美国政府国防部有美国国防信息系统局的P-ATO (DISA) 。 任何希望部署Office 365美国政府国防的客户都可使用 DISA P-ATO 生成代理 ATO,以记录其接受情况。
- Office 365 (企业和业务计划) 和Office 365美国政府有一个联邦调查局机构ATO在中等影响级别从监察长办公室。 Office 365美国政府是第一个获得此授权的基于云的电子邮件和协作服务。
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域内的其他区域 (例如数据复原美国) ,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府版社区云 (GCC) :在 FedRAMP 市场中作为Office 365 (商业) (也称为 Office 365 多租户和 GCC 环境)列出。 Office 365 GCC 云服务适用于美国联邦、州、地方和部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本部分中提供的信息不构成法律建议,对于有关组织法规合规性的任何问题,应咨询法律顾问。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| GCC | 活动源服务、必应服务、预订、Delve、Exchange Online、Exchange Online Protection、基础结构、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务、Office 使用情况报告、OneDrive for Business、人员Card、SharePoint Online、Skype for Business、Windows Ink |
| GCC 高级 | 活动源服务、必应服务、预订、Exchange Online、Exchange Online Protection、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business人员Card、SharePoint Online、Skype for Business、Windows Ink |
| DoD | 活动源服务、必应服务、预订、Exchange Online Protection、Exchange Online、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business人员Card、SharePoint Online、Skype for Business、Windows Ink |
Office 365 审核、报告及证书
Microsoft 每年都必须重新证明其云服务,以维持其 P-ATO 和 ATO 认证。 为此,Microsoft 必须持续监视和评估其安全控制措施,并证明其服务的安全性符合要求。
常见问题解答
Microsoft 云服务是否符合 FISMA) (联邦信息安全管理法案?
FISMA 是联邦法律,要求美国联邦机构及其合作伙伴仅从遵守 FISMA 要求的组织采购信息系统和服务。 大多数表示符合 FISMA 标准的机构和供应商都指的是他们如何满足 NIST 在特别出版物 800-53 修订版 4 中确定的控制措施。 FISMA 流程 (但基础标准本身) 在 2011 年被 FedRAMP 取代。
FedRAMP 适用于谁?
联邦机构云部署和服务模型在低和中风险影响级别上强制实施 FedRAMP。 任何想要参与 CSP 的联邦机构都可能需要满足 FedRAMP 规范。 此外,在联邦政府使用的产品或服务中使用云技术的公司可能需要获得 ATO。
我的机构从哪里开始自己的合规性工作?
有关联邦机构成功导航 FedRAMP 并满足其要求所必须采取的步骤的概述,请转到 获取授权:机构授权。
是否可以在代理的授权过程中使用 Microsoft 合规性?
能。 可以使用 Microsoft 云服务的认证作为需要联邦政府机构 ATO 的任何计划或计划的基础。 但是,你需要对这些服务之外的组件实现自己的授权。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。