NIST SP 800-171
關於 NIST SP 800-171
美國國家標準與技術局 (NIST) 會推廣和維護度量標準和指導方針,以協助保護聯邦機構的資訊和信息系統。 為了回應管理受控未分類資訊的 13556 (CUI) ,它發行了 NIST SP 800-171, 保護非同盟資訊系統和組織中受控制的未分類資訊。 CUI 定義為資訊,包括數位和實體,由政府 (或實體代表其建立,) 雖然未分類,但仍會敏感且需要保護。
NIST SP 800-171 最初發佈於 2015 年 6 月,之後已更新數次,以因應不斷演進的網路威脅。 它提供如何安全地存取、傳輸和儲存在非同盟資訊系統和組織中 CUI 的指導方針;其需求分為四個主要類別:
- 管理和保護的控件和程式
- IT 系統的監視和管理
- 清除終端使用者的做法和程式
- 實作技術和實體安全性措施
Microsoft 和 NIST SP 800-171
Accredited third-party assessment organizations, Kratos Secureinfo and Coalfire,與 Microsoft 合作,證明其範圍內的雲端服務符合 NIST SP 800-171 中的準則, 保護受控的未分類資訊 (CUI) 在非同盟資訊系統和組織中處理 CUI 時。 Microsoft 實作 FedRAMP 需求有助於確保 Microsoft 範圍內的雲端服務符合或超過使用已備妥系統和做法的 NIST SP 800-171 需求。
NIST SP 800-171 需求是 NIST SP 800-53 的子集,這是 FedRAMP 所使用的標準。 NIST SP 800-171 的附錄 D 提供其 CUI 安全性需求與 NIST SP 800-53 中相關安全性控件的直接對應,其中已在 FedRAMP 計劃下評估並授權範圍內的雲端服務。
處理或儲存美國政府 CUI 的任何實體 — 研究機構、諮詢公司、製造承包商都必須遵守 NIST SP 800-171 的嚴格需求。 此證明表示 Microsoft 範圍內的雲端服務可以容納想要部署 CUI 工作負載的客戶,並保證 Microsoft 完全符合規範。 例如,在其信息系統中使用範圍內 Microsoft 雲端服務來處理、儲存或傳輸「涵蓋的防禦資訊」的所有 DoD 承包商,都符合美國國防部 DFARS 子句,這些條款需要符合 NIST SP 800-171 的安全性需求。
Microsoft 範圍內雲端平台與服務
- Azure Commercial、Azure Government
- Dynamics 365 美國政府
- Intune
- Office 365 美國政府社群雲端 (GCC) 、Office 365 GCC High 和 DoD
- 請注意,針對 NIST 800-171 進行的第三方稽核中未包含商業 Office 365,且不在範圍內。
Azure、Dynamics 365 和 NIST SP 800-171
如需 Azure、Dynamics 365 和其他 線上服務 合規性的詳細資訊,請參閱 Azure NIST SP 800-171 供應專案。
Office 365 和 NIST SP 800-171
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| GCC | 活動摘要服務、Bing 服務、Delve、Exchange Online、智能服務、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務基礎結構、Office 使用量報告、商務用 OneDrive、人員 卡、SharePoint Online、商務用 Skype、Windows Ink |
| GCC High | 活動摘要服務、Bing 服務、Exchange Online、智慧服務、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務基礎結構、Office 使用量報告、商務用 OneDrive、人員 卡、SharePoint Online、商務用 Skype、Windows Ink |
| DoD | 活動摘要服務、Bing 服務、Exchange Online、智慧服務、Office 365 客戶入口網站、Office Online、Office 服務基礎結構、Office 使用量報告、商務用 OneDrive、人員 卡、Microsoft Teams、SharePoint Online、商務用 Skype、Windows Ink |
常見問題集
我可以為組織使用 Microsoft 合規性與 NIST SP 800-171 嗎?
是的。 Microsoft 客戶可以使用獨立第三方評定組織報告中所述的稽核控件, (3PAO) FedRAMP 標準,作為其自身 FedRAMP 和 NIST 風險分析和資格工作的一部分。 這些報告證明 Microsoft 在其範圍內雲端服務中實作的控件有效性。 客戶必須負責確保其 CUI 工作負載符合 NIST SP 800-171 指導方針。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。