聯邦風險與授權管理計畫 (FedRAMP)
FedRAMP 概觀
美國聯邦風險與授權管理計劃 (FedRAMP) 是根據美國聯邦資訊安全管理法 (FISMA) ,提供評估、監視和授權雲端運算產品和服務的標準化方法,以及加速聯邦機構採用安全雲端解決方案。
管理和預算辦公室現在要求所有聯邦機關都使用 FedRAMP 來驗證雲端服務的安全性。 (其他機構也已採用它,因此它在公共事業的其他領域也很有用。) 美國國家標準與技術局 (NIST) SP 800-53 會設定強制標準、建立資訊系統的安全性類別—機密性、完整性和可用性—,以評估如果其資訊和信息系統遭到入侵,對組織的潛在影響。 FedRAMP 是認證雲端服務提供者 (CSP) 符合這些標準的程式。
想要向聯邦機構銷售服務的 CSP 可以採用三個路徑來示範 FedRAMP 合規性:
- 從聯合授權委員會取得管理 P-ATO) ( () 的臨時授權單位。 在 FEDRAMP 中,此為主要治理和決策制定主體。 來自美國國防部、美國安全性部和一般服務管理部門的代表會在面板上提供服務。 面板會將 P-ATO 授與已示範 FedRAMP 合規性的 CSP。
- 接收從聯邦機構 (ATO) 的授權單位。
- 或者,獨立工作以開發符合程式需求的 CSP 提供的套件。
每個路徑都需要 FedRAMP 計劃管理 Office (PMO) 的嚴格技術檢閱,以及由計劃所認可的獨立第三方組織進行評量。
FedRAMP 授權會根據 NIST 指導方針在三個影響層級授與:低、中和高。 這些層級會將機密性、完整性或可用性遺失可能對組織造成的影響排名—低 (有限效果) 、中 (嚴重不良影響) ,以及高 (嚴重或嚴重影響) 。
Microsoft 和 FedRAMP
Microsoft 的政府雲端服務,包括 Azure Government、Dynamics 365 Government 和 Office 365 美國政府,符合美國聯邦風險和授權管理計劃 (FedRAMP) 的嚴苛需求,讓美國聯邦機關能夠受益於 Microsoft Cloud 的成本節省和嚴格的安全性。
Microsoft Government 雲端服務為公用部門客戶提供符合 FedRAMP 規範的豐富服務陣列,以及強固的指引和實作工具,包括 FedRAMP High 藍圖,可協助客戶針對必須實作 FedRAMP High 控件的任何 Azure 部署架構部署一組核心原則。
Microsoft 範圍內雲端平台與服務
- Azure 和 Azure Government
- Dynamics 365 美國政府
- Intune
- Office 365 (美國政府、美國政府 - 高階美國政府防禦)
- Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
- Windows 365 (美國政府、美國政府 - 高)
Azure、Dynamics 365 和 FedRAMP
如需 Azure、Dynamics 365 和其他 線上服務 合規性的詳細資訊,請參閱 Azure FedRAMP 供應專案。
Office 365和 FedRAMP
- Office 365 和 Office 365 美國政府擁有來自美國健康與人力資源部的 ATO (DHHS) 。
- Office 365 美國政府防禦具有美國美國國防部信息系統局 (DISA) 的 P-ATO。 任何想要部署 Office 365 美國政府防禦的客戶,都可使用 DISA P-ATO 來產生機構 ATO,以記錄其接受程度。
- Office 365 (企業與商務方案) 和 Office 365 美國政府在偵測長的 DHHS 辦公室具有中等影響層級的 FedRAMP 機構 ATO。 Office 365 美國政府是第一個取得此授權的雲端式電子郵件和共同作業服務。
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶數據複寫到相同地理區域內的其他區域 (例如數據復原的 美國) ,但 Microsoft 不會將客戶數據複寫到所選地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府版 Community Cloud (GCC) :在 FedRAMP 市集上列為 Office 365 (商業) ,也稱為 Office 365 多租使用者和 GCC 環境。 Office 365 GCC 雲端服務適用於 美國 聯邦、州、地方和部落政府,以及代表美國政府保存或處理數據的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,您應該洽詢法律顧問,以取得有關貴組織法規合規性的任何問題。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| GCC | 活動摘要服務、Bing 服務、Bookings、Delve、Exchange Online、Exchange Online Protection、基礎結構、智慧服務、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務、Office 使用量報告、商務用 OneDrive、人員卡片、SharePoint Online、商務用 Skype、Windows Ink |
| GCC High | 活動摘要服務、Bing 服務、Bookings、Exchange Online、Exchange Online Protection、Intelligent Services、Microsoft Teams、Office 365 Customer Portal、Office Online、Office Service Infrastructure、Office Usage Reports、商務用 OneDrive、人員卡片、SharePoint Online、商務用 Skype、Windows Ink |
| DoD | 活動摘要服務、Bing 服務、Bookings、Exchange Online Protection、Exchange Online、Intelligent Services、Microsoft Teams、Office 365 Customer Portal、Office Online、Office Service Infrastructure、Office Usage Reports、商務用 OneDrive、人員卡片、SharePoint Online、商務用 Skype、Windows Ink |
Office 365 稽核、報告和認證
Microsoft 必須每年重新認證其雲端服務,以維護其 P-ATO 和 ATO。 若要這樣做,Microsoft 必須持續監視及評估其安全性控制措施,並證明其服務的安全性仍保持合規性。
常見問題集
Microsoft 雲端服務是否符合 FISMA) (美國聯邦資訊安全管理法?
FISMA 是聯邦法律,要求美國聯邦機構及其合作夥伴只能從遵守 FISMA 需求的組織購買資訊系統和服務。 大部分表示符合 FISMA 規範的機構及其廠商都是指他們如何符合 NIST 在特殊出版物 800-53 rev 4 中識別的控件。 FISMA 程式 (但並非基礎標準本身) 在 2011 年由 FedRAMP 取代。
FedRAMP 套用至誰?
「FedRAMP 對於處於低風險和中度風險影響層級的聯邦機構雲端部署和服務模型而言是必要的。」 任何想要參與 CSP 的聯邦機構都可能需要符合 FedRAMP 規格。 此外,在聯邦政府所使用的產品或服務中採用雲端技術的公司可能需要取得 ATO。
我的機構會從何處開始自己的合規性工作?
如需聯邦機關成功流覽 FedRAMP 並符合其需求時必須採取的步驟概觀,請移至 取得授權:機構授權。
我可以在我的機構授權程式中使用 Microsoft 合規性嗎?
是的。 您可以使用 Microsoft 雲端服務的認證作為任何需要來自聯邦政府機構之 ATO 之計劃或方案的基礎。 不過,您必須針對這些服務外部的元件達成自己的授權。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。