美國國防部 (DoD) 影響等級 5 (IL5)
DoD IL5 概觀
美國國防部 (DoD) 的一個機構,負責開發和維護 SRG ) 的 DoD 雲端運算安全性需求指南 (,美國國防部 (DISA) 。 SRG 會定義 DoD 用來評估雲端服務提供者 (CSP) 安全性狀態的基準安全性需求,支援授與 DoD 暫存授權 (PA) 以允許 CSP 裝載 DoD 任務的決定。 它會將先前發佈的 DoD 雲端安全性模型納入、取代及撤銷 (CSM) ,並對應至 DoD Risk Management Framework (RMF) 。
DISA 會引導 DoD 機構和部門規劃和授權 CSP 的使用。 它也會評估 CSP 供應專案是否符合 SRG,這是一種授權程式,CSP 可透過此程式提供檔,概述其與 DoD 標準的合規性。 它會在適當時發出 DoD 臨時授權 (CA) ,因此 DoD 機構和支援組織可以使用雲端服務,而不需要自行完成完整核准程式,節省時間和精力。
根據 SRG 第 3.2 節的信息影響層級,IL5 資訊涵蓋:
受控未分類資訊 (CUI) ,需要比 IL4 提供更高的保護層級
- CUI 登錄提供受執行分支保護的特定資訊類別,例如,CUI 類別清單中包含超過 20 個類別群組。
- NIST SP 800-171保護非同盟系統和組織中受控的未分類資訊 ,適用於聯邦機構在與非聯邦組織建立的合約或其他協定中使用。
NSS) (網路安全性系統
- 將資訊系統識別為國家安全系統的NIST SP 800-59 指導方針提供 NSS 的定義。
- CNSSI 1253Security Categorization and Control Selection for National Security Systems 提供有關聯邦機構應套用以分類國家安全性資訊的安全性標準指引。
2014 年 12 月 15 日 DoD CIO 關於取得和使用商業雲端運算服務的更新指引說明「FedRAMP 將作為所有 DoD 雲端服務的最低安全性基準」。 SRG 會在 IL) 的所有資訊影響層級 (使用 FedRAMP Moderate 基準,並考慮某些資訊影響層級的高基準。
FedRAMP 安全性控件的 SRG 區段 5.1.1DoD 說明 FedRAMP High PA,加上 DoD FedRAMP+ 控件和控件增強功能, (SRG 中的 C/CE) 和需求,用來評估 CSP 在 IL5 上授與 DoD PA。 不論使用何種 C/CE 基準作為 FedRAMP High PA 的基礎,都必須先評估和核准其他考慮和/或需求,才能在 IL5 頒發 DoD PA。 具體而言, SRG 第 5.1.2 節DoD FedRAMP+ 安全性控件/增強功能 表 2 指出 DoD IL5 PA 需要超過 FedRAMP High 基準的 10 個額外 C/CE。
此外,根據 SRG 5.2.2.3IL5 位置和分隔需求,層級 5 PA 必須 (下列需求) :
- DoD 與聯邦政府租使用者/任務之間的虛擬/邏輯區隔就已足夠。 租使用者/任務系統之間需要虛擬/邏輯分隔。
- 必須與非 DoD/非聯邦政府租用戶實體隔離, (也就是公用、本機/州政府租使用者) 。
- CSP 會將 DoD 和社群資訊的潛在存取權限制為身為美國公民的 CSP 員工。
Microsoft 範圍內雲端平台與服務
- Azure
- Dynamics 365 Customer Service
- 適用於端點的 Microsoft Defender (之前稱為 Microsoft Defender 進階威脅防護)
- Microsoft Graph
- Microsoft Stream
- Office 365 美國政府國防版
- Power Automate (之前稱為 Microsoft Flow)
- Power BI
Azure、Dynamics 365 和 DoD IL5
如需 Azure、Dynamics 365 和其他在線服務合規性的詳細資訊,請參閱 Azure DoD IL5 供應專案。
Office 365 和 DoD IL5
Office 365 環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| DoD | 活動摘要服務、Bing 服務、預約、Exchange Online 保護、Exchange Online、智慧服務、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務基礎結構、Office 使用量報告、商務用 OneDrive、人員卡片、SharePoint Online、商務用 Skype、Windows Ink |
證明檔
美國政府客戶可以提交套件存取要求窗體,直接從 FedRAMP Marketplace 要求 Office 365 美國政府防禦 FedRAMP 檔。 您必須有 .gov 或 .mil 電子郵件位址,才能直接從 FedRAMP 存取 FedRAMP 安全性套件。
選取 FedRAMP 和 DoD 檔,包括系統安全性計畫 (SSP) 、持續監視報告、行動計畫和里程碑 (POA&M) 等,可供 NDA 下的客戶使用,以及服務信任入口網站 稽核報告 - FedRAMP 報告 一節中的暫止存取授權。 請連絡您的Microsoft帳戶代表以取得協助。
資源
- Microsoft政府解決方案
- FedRAMP 檔
- DoD Information Technology 8510.01DoD Risk Management Framework (RMF) doD Information Technology (IT)
- 適用於資訊系統和組織的 NIST SP 800-37風險管理架構:安全性和隱私權的系統 Life-Cycle 方法
- 信息系統和組織的 NIST SP 800-53安全性和隱私權控制
- NIST SP 800-59將資訊系統識別為網路安全性系統的指導方針
- CNSSI 1253國家安全性系統的安全性分類和控制選項
- NIST SP 800-171保護非同盟系統和組織中受控制的未分類資訊
- 受控的未分類資訊 (CUI) 登錄 和 CUI 類別清單。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: