美国国税局出版物 1075

美国国税局出版物 1075 概述

Internal Revenue Service Publication 1075 (IRS 1075) 为访问联邦税务信息 (FTI) 的美国政府机构及其代理提供指导,以确保他们使用策略、实践和控制来保护其机密性。 IRS 1075 旨在最大限度地降低外部政府机构持有 FTI 的丢失、泄露或滥用风险。 例如,负责处理其居民的税单中的 FTI 的州税务部门,或访问 FTI 的医疗保健机构,必须拥有用于保护该信息的程序。

为了保护 FTI,IRS 1075 规定了应用程序、平台和数据中心服务的安全和隐私控制。 例如,它优先考虑数据中心活动的安全性,例如正确处理 FTI,并监督数据中心承包商限制入口。 为了确保接收 FTI 的政府机构应用这些控制措施,IRS 建立了保护措施计划,其中包括定期审查这些机构及其承包商。

Microsoft 美国国税局出版物 1075

Microsoft Azure美国政府Microsoft Office 365美国政府云服务提供合同承诺,即已实施适当的控制措施,以及 Microsoft 代理客户满足 IRS 1075 实质性要求所需的安全性功能。

这些政府 Microsoft 云服务提供了一个平台,客户可以在该平台上构建和运行他们的解决方案,但客户必须自行确定这些特定解决方案是否是根据 IRS 1075 运营的,因此需接受 IRS 审核。

为帮助政府机构进行合规性工作,Microsoft:

  • 提供详细指导,帮助机构了解他们的责任以及各种 IRS 控制措施如何映射到 Azure 政府Office 365美国政府版中的功能。 IRS 1075 安全保护报告 (SSR) 全面记录 Microsoft 服务 如何实施适用的 IRS 控制措施,并基于 Azure 政府及 Office 365 美国政府的 FedRAMP 程序包。 由于 IRS 1075 和 FedRAMP 都基于 NIST 800-53,因此 IRS 1075 的合规性边界与 FedRAMP 授权相同。
  • IRS 必须明确批准发布任何 IRS 安全措施文档,以便只有 NDA 下政府客户才能查看 SSR。
  • 提供独立评估员针对其云服务生成的审核报告和监控信息。
  • 提供 IRS Azure 政府合规性注意事项和 Office 365 美国政府合规性注意事项,其中概述了机构如何按照符合 IRS 1075 要求的方式使用 Microsoft 云政府版服务。 NDA 下政府客户可以请求这些文档。
  • 为客户提供了一 (他们) 与 Microsoft 行业专家或外部审核员沟通的机会(如果需要)。

Microsoft 范围内的云平台和云服务

FedRAMP 授权基于 NIST 准则在三个影响级别授予 — 低、中和高。 这些对丢失机密性、完整性或可用性对组织的影响进行排名 - 低 (有限影响) 、中 (严重负面影响) 以及高 (严重或灾难性) 。

  • Azure 与 Azure 政府
  • Dynamics 365 美国政府版
  • Office 365,Office 365美国政府
  • Power BI 云服务,作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供

Azure、Dynamics 365 和 IRS 1075

有关 Azure、Dynamics 365 和其他在线服务合规性的信息,请参阅 Azure IRS 1075 产品/服务

Office 365 和 IRS 1075

Office 365 云环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下 Office 365 云环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
GCC 活动源服务、必应 服务、Delve、Exchange Online Protection、Exchange Online、Intelligent Services、Microsoft Teams、Office 365 客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business、人员卡片、SharePoint Online、Skype for Business、Windows Ink

Office 365 审核、报告及证书

FedRAMP 审核每年都会涵盖符合 IRS 1075 这一重大要求的情况。

常见问题解答

Microsoft 如何满足 IRS 1075 的要求?

Microsoft 定期监视其安全性、隐私和运营控制以及 NIST 800-53 修订版。FedRAMP 基线对中等影响信息系统要求进行 4 次控制。 它通过持续监控报告提供对此信息的季度访问。 Azure 政府Office 365美国政府客户可以通过服务信任门户访问此敏感的合规性信息

此外,Microsoft 还致力于将 IRS 1075 控制措施包括在其 Azure 政府版和美国政府版Office 365控制集内,并每年进行一次审核。

我能否查看 FedRAMP 程序包或系统安全计划?

是的,如果你的组织符合 Azure 政府资格要求Office 365美国政府。 直接与 Microsoft 客户代表联系,查看这些文档。 还可以参考符合要求的云服务提供商的 FedRAMP 列表。

我能否使用 Azure 或 Office 365公共云环境,但仍符合 IRS 1075?

否。 可以存储和处理 FTI 的唯一环境是 Azure 政府Office 365美国政府。 政府客户必须满足使用这些环境的资格要求。

使用 Microsoft 合规性管理器评估风险

Microsoft 合规性管理器Microsoft 365 合规中心中的一项预览功能,旨在帮助你了解组织的合规情况并采取措施帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源