CJIS 概述
美國聯邦調查局 (CJIS) ) (FBI 提供州、地方及聯邦執法及刑事司法機構取得 CJI) (刑事司法資訊。 首席法院包括指紋紀錄和犯罪紀錄。 美國的執法機關及其他政府機關必須確保其使用雲端服務傳輸、儲存或處理CJI時,符合CJIS安全政策,該政策訂定了最低安全要求與控制措施以保障CJI。
CJIS安全政策整合了總統及聯邦調查局指令、聯邦法律,以及刑事司法界諮詢政策委員會的決策,並結合國家標準與技術研究院 (NIST) 的指導。 政策會定期更新,以反映不斷演變的安全需求。
CJIS 安全政策定義了 13 個領域,私人承包商(如雲端服務提供商)必須評估,以判斷其雲端服務的使用是否符合 CJIS 的要求。 這些領域與 NIST 800-53 密切對應,該 800-53 也是 聯邦風險與授權管理計畫 (FedRAMP) 的基礎,該計畫下 Microsoft 已獲得政府雲端服務的認證。
此外,所有處理首席法院判決的私人承包商必須簽署《首席司法部安全附錄》,這是一份由美國司法部長核准的統一協議,有助於確保首席法院安全與保密性,符合安全政策的要求。 同時也承諾承包商維持符合聯邦及州法律、法規與標準的安全計畫,並將CJI的使用限制於政府機關提供的目的。
Microsoft 與 CJIS 安全政策
Microsoft 在有 CJIS 資訊協議的州簽署 CJIS 安全附錄。 這些協議告訴負責遵守CJIS安全政策的州執法機關,Microsoft的雲端安全控管如何幫助保護資料的整個生命週期,並確保有權限存取CJI的營運人員接受適當的背景調查。 Microsoft 持續與各州政府合作,簽訂 CJIS 資訊協議。
Microsoft 已評估 Microsoft Azure Government、Microsoft Office 365 美國政府及 Microsoft Dynamics 365 美國政府的營運政策與程序,並將在適用服務協議中證明其符合 FBI 對範圍內服務使用要求的能力。
Microsoft 範圍內雲端平台與服務
- Azure Government
- Dynamics 365 美國政府
- Office 365 美國政府
- Power BI 雲端服務作為 Office 365 政府版社群雲品牌方案或套件的一部分
Azure, Dynamics 365, and CJIS
欲了解更多關於 Azure、Dynamics 365 及其他線上服務合規的資訊,請參閱 Azure CJIS 服務。
Office 365 與 CJIS
Office 365 環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋以下 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| GCC | 合規管理、Delve、Exchange Online、表單、適用於 Office 365 的 Microsoft Defender、Microsoft Entra ID、Microsoft Purview 入口網站、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office Online、Office Pro Plus,商務用 OneDrive、Planner、Power Apps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream |
Office 365 稽核、報告和認證
FBI 不提供 Microsoft 符合 CJIS 要求的認證。 相反地,Microsoft 的證明文件會包含在 Microsoft 與某州首席司法部(CJIS)機構,以及 Microsoft 與其客戶之間的協議中。
截至2024年9月27日,CJIS在美國 (的狀態)
有涵蓋47個州及哥倫比亞特區刑事司法機構的CJIS管理協議:
阿拉巴馬州、阿拉斯加州、亞利桑那州、阿肯色州、加利福尼亞州、科羅拉多州、康乃狄克州、佛羅里達州、喬治亞州、夏威夷州、愛達荷州、伊利諾州、印第安納州、愛荷華州、堪薩斯州、肯塔基州、路易斯安那州、緬因州、馬里蘭州、麻薩諸塞州、密西根州、明尼蘇達州、密西西比州、密蘇里州、蒙大拿州、內布拉斯加州、內華達州、新罕布夏州、新澤西州、新墨西哥州、紐約州、北卡羅來納州、北達科他州、俄亥俄州、奧克拉荷馬州、俄勒岡州、賓夕法尼亞州、羅德島州、南卡羅來納州、田納西州、德州、猶他州、佛蒙特州、維吉尼亞州、華盛頓州、西維吉尼亞州、威斯康辛州, 以及哥倫比亞特區。
Microsoft 致力於遵守適用的 CJIS 監管控管,使刑事司法組織能實施雲端解決方案,並符合 CJIS 安全政策 v6.0 的規範。
常見問題集
我可以在哪裡申請合規資訊?
請聯絡您的 Microsoft 帳戶代表,了解您感興趣的司法管轄區資訊。 如需了解目前在哪些州提供哪些服務,請聯絡 cjis@microsoft.com 我們。
Microsoft 如何證明其雲端服務能符合我所在州的要求?
Microsoft與州政府 CJIS 系統機構簽署資訊協議 (CSA) ;你可以向你所在州的CSA申請副本。 此外,Microsoft 也為客戶提供深入的安全、隱私與合規資訊。 客戶亦可審查獨立稽核人員所編製的安全與合規報告,以驗證Microsoft實施的安全控管措施 (如ISO 27001) 符合相關稽核範疇。
我該從哪裡開始推動我機構的合規工作?
CJIS 安全政策 涵蓋貴機構必須採取的防護措施,以保護 CJI。 此外,您的 Microsoft 帳戶代表也能協助您聯繫熟悉您所在司法管轄區要求的人士。
使用 Microsoft Purview 合規管理工具來評估您的風險
Microsoft Purview 合規管理工具 是 Microsoft Purview 入口網站 中的一項功能,幫助您了解組織的合規狀況並採取措施降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。