犯罪犯罪資訊服務 (CJIS) 安全性原則

CJIS 概觀

美國聯邦調查局 () 美國聯邦調查局 (的犯罪犯罪資訊服務) 可讓州、地方和聯邦執法機關和犯罪執法機關存取 CJI) (犯罪犯罪資訊,例如指紋記錄和犯罪歷程記錄。 美國中的執法機關和其他政府機構必須確保其用於傳輸、儲存或處理 CJI 的雲端服務符合CJIS 安全策略,該原則會建立最低安全性需求和控制措施來保護 CJI。

CJIS 安全性原則整合了訴訟和 MONDAY 指示詞、聯邦法律和犯罪訴訟社群的諮詢原則委員會決策,以及國家標準與技術局 (NIST) 的指引。 原則會定期更新,以反映不斷演變的安全性需求。

CJIS 安全性原則會定義 13 個區域,供私人承包商評估,例如雲端服務提供者,以判斷其雲端服務的使用是否可與 CJIS 需求一致。 這些區域與 NIST 800-53 緊密對應,這也是 美國聯邦風險和授權管理計畫 (FedRAMP) 的基礎,這是 Microsoft 已通過其政府雲端供應專案認證的計畫。

此外,所有處理 CJI 的私人約聘人員都必須簽署 CJIS 安全性增補條款,這是美國律務長核准的統一合約,可協助確保安全性原則所需的 CJI 安全性和機密性。 它也會認可承包商維護與聯邦和州法律、法規和標準一致的安全性計畫,並將 CJI 的使用限制為政府機構提供它的目的。

Microsoft 和 CJIS 安全性原則

Microsoft 會使用 CJIS 資訊合約,以狀態簽署 CJIS 安全性增補程式。 這些資訊會告訴負責遵守 CJIS 安全性原則的州執法機關,Microsoft 的雲端安全性控制措施如何協助保護資料的完整生命週期,並確保有 CJI 存取權之操作人員的適當背景檢測。 Microsoft 會繼續與州政府合作,以輸入 CJIS 資訊合約。

Microsoft 已評估 Microsoft Azure Government、Microsoft Office 365美國政府和 Microsoft Dynamics 365 美國政府的操作原則和程式,並證明其在適用的服務合約中的能力,以符合使用範圍內服務的之的對應需求。

瞭解 Microsoft 雲端上 CJIS 安全性原則的優點: 閱讀 Genetec 如何清除犯罪調查

Microsoft 範圍內的雲端平臺 & 服務

  • Azure Government
  • Dynamics 365 美國政府版
  • Office 365美國政府
  • Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中

Azure、Dynamics 365 和 CJIS

如需 Azure、Dynamics 365 和其他線上服務合規性的詳細資訊,請參閱Azure CJIS 供應專案

Office 365和 CJIS

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列Office 365環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
GCC Azure Active Directory、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365安全 & 性合規性中心、Office Online、Office Pro此外,商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream

Office 365 稽核、報告和認證

此行行不提供 Microsoft 合規性與 CJIS 需求的認證。 相反地,Microsoft 證明會包含在 Microsoft 與州 CJIS 授權單位之間的合約中,以及 Microsoft 與其客戶之間的合約中。

Microsoft CJIS 雲端需求

自 2022/8/11 起,美國 (目前的 CJIS 狀態)

45 個州和具有管理合約的哥倫比亞省,在地圖上以綠色醒目提示,包括:

馬來亞,馬來亞, 德克薩斯州、地方、加州、地方、地方、地方、地方、喬治亞、德克薩斯州、愛達托州、地方、地方、地方、地方、Nebraska、地方、新加索引、紐西蘭、新墨西哥州、紐約、北大公國、北大公國、赫勒拿州、班加羅尼亞州、羅塞群島、南德文、德克薩斯州、德克薩斯州、維吉尼亞州、華盛頓州、西維吉尼亞州,以及維吉尼亞州西部 哥倫比亞。

Microsoft 承諾符合適用的 CJIS 法規控制措施,可讓犯罪犯罪組織實作雲端式解決方案,並符合 CJIS 安全性原則 V5.9 規範。

常見問題集

哪裡可以要求合規性資訊?

如需您感興趣的管轄區相關資訊,請連絡您的 Microsoft 帳戶代表。 請連絡 cjis@microsoft.com ,以取得目前哪些服務處於何種狀態的相關資訊。

Microsoft 如何示範其雲端服務能夠符合我州的需求?

Microsoft 與 CJIS Systems Agency (CSA) 簽署資訊合約;您可以從狀態的 CSA 要求複本。 此外,Microsoft 為客戶提供深入的安全性、隱私權和合規性資訊。 客戶也可以檢閱獨立稽核員所準備的安全性與合規性報告,以便驗證 Microsoft 已實作安全性控制 (,例如 ISO 27001) 適用于相關的稽核範圍。

我的機構合規性工作從何處著手?

CJIS 安全性原則 涵蓋貴機構保護 CJI 時必須採取的預防措施。 此外,您的 Microsoft 帳戶代表可以讓您接觸熟悉您管轄區需求的人員

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員Microsoft Purview 合規性入口網站中的一項功能,可協助您瞭解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源