美国国税局出版物 1075

  • 项目

美国国税局出版物 1075 概述

美国国税局出版物 1075 (IRS 1075) 为访问联邦税务信息 (FTI) 的美国政府机构及其代理提供指导,以确保他们使用策略、做法和控制来保护其机密性。 IRS 1075 旨在最大程度地降低外部政府机构持有的 FTI 丢失、违反或滥用的风险。 例如,在居民的纳税申报表中处理 FTI 的州税务局,或访问 FTI 的卫生服务机构,必须制定计划来保护该信息。

为了保护 FTI,IRS 1075 为应用程序、平台和数据中心服务规定了安全和隐私控制。 例如,它优先考虑数据中心活动的安全性,例如正确处理 FTI,以及监督数据中心承包商以限制进入。 为确保接受 FTI 的政府机构适用这些控制措施,国税局制定了保障计划,其中包括对这些机构及其承包商的定期审查。

Microsoft 和美国国税局出版物 1075

Microsoft Azure 政府和Microsoft Office 365美国政府云服务提供合同承诺,即它们具有适当的控制措施,以及 Microsoft 代理客户满足 IRS 1075 实质性要求所需的安全功能。

这些适用于政府的 Microsoft 云服务提供了一个平台,客户可以在其中生成和操作其解决方案,但客户必须自行确定这些特定解决方案是否按照 IRS 1075 进行操作,并因此受 IRS 审核的约束。

为了帮助政府机构开展合规性工作,Microsoft:

  • 提供详细的指导,帮助机构了解其职责,以及各种 IRS 控制措施如何映射到Azure 政府和Office 365美国政府的功能。 IRS 1075 保障安全报告 (SSR) 全面记录了 Microsoft 服务如何实施适用的 IRS 控制措施,并且基于Azure 政府和Office 365美国政府的 FedRAMP 包。 由于 IRS 1075 和 FedRAMP 都基于 NIST 800-53,因此 IRS 1075 的符合性边界与 FedRAMP 授权相同。
  • IRS 必须明确批准任何 IRS 安全措施文件的发布,因此只有 NDA 下的政府客户才能查看 SSR。
  • 提供独立评估人员为其云服务生成的审核报告和监视信息。
  • 向 IRS Azure 政府合规性注意事项和Office 365美国政府合规性注意事项提供,其中概述了机构如何以符合 IRS 1075 的方式使用 Microsoft 云政府版服务。 NDA 下的政府客户可以请求这些文件。
  • 为客户提供 (的机会,) 在需要时与 Microsoft 主题专家或外部审核员进行沟通。

Microsoft 范围内的云平台和云服务

FedRAMP 授权根据 NIST 指南在三个影响级别授予 - 低、中和高。 这些都对丢失机密性、完整性或可用性可能对组织造成的影响进行排名:低 (有限影响) 、中等 (严重不利影响) ,以及) (严重或灾难性影响高。

  • Azure 与 Azure 政府
  • 美国政府Dynamics 365
  • Office 365,Office 365美国政府
  • Power BI 云服务,作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供
  • Windows 365 (美国政府)

Azure、Dynamics 365和 IRS 1075

有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure IRS 1075 产品/服务

Office 365 和 IRS 1075

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
GCC 活动源服务、必应服务、Delve、Exchange Online Protection、Exchange Online、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business人员Card、SharePoint Online、Skype for Business、Windows Ink

Office 365 审核、报告及证书

FedRAMP 审计每年涵盖 IRS 1075 实质性要求的遵守情况。

常见问题解答

Microsoft 如何满足 IRS 1075 的要求?

Microsoft 定期监视其安全性、隐私和操作控制措施,以及 FedRAMP 中等影响信息系统基线所需的 NIST 800-53 rev. 4 控制措施。 它通过持续监视报告提供对此信息的季度访问。 Azure 政府和Office 365美国政府客户可以通过服务信任门户访问此敏感的合规性信息。

此外,Microsoft 还承诺将 IRS 1075 控制措施纳入其针对美国政府Azure 政府和Office 365主控制措施集中,并每年对它们进行审核。

是否可以查看 FedRAMP 包或系统安全计划?

是的,如果你的组织满足Azure 政府和Office 365美国政府的资格要求。 请直接与 Microsoft 帐户代表联系以查看这些文档。 还可以参阅符合要求的云服务提供商的 FedRAMP 列表。

是否可以使用 Azure 或 Office 365公有云环境,但仍符合 IRS 1075?

否。 可以存储和处理 FTI 的唯一环境是Azure 政府或Office 365美国政府。 政府客户必须满足使用这些环境的资格要求。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源