Sicherheitsrichtlinie für Strafverfolgungs-Informationsdienste (CJIS)Criminal Justice Information Services (CJIS) Security Policy

CJIS-ÜbersichtCJIS overview

Die Abteilung Strafjustiz-Informationsdienste (CJIS) des US Federal Bureau of Investigation (FBI) gibt staatliche, lokale und föderale Strafverfolgungs-und Strafverfolgungsbehörden Zugriff auf Informationen zur Strafjustiz (CJI) – beispielsweise Fingerabdruckdaten Sätze und kriminelle Geschichten.The Criminal Justice Information Services (CJIS) Division of the US Federal Bureau of Investigation (FBI) gives state, local, and federal law enforcement and criminal justice agencies access to criminal justice information (CJI) — for example, fingerprint records and criminal histories. Strafverfolgungsbehörden und andere Behörden in den Vereinigten Staaten müssen sicherstellen, dass ihre Verwendung von Cloud-Diensten für die Übertragung, Speicherung oder Verarbeitung von CJI mit der CJIS-Sicherheitsrichtlinieübereinstimmt, die Mindestanforderungen an die Sicherheit und die Steuerelemente zum Schutz von CJI festlegt.Law enforcement and other government agencies in the United States must ensure that their use of cloud services for the transmission, storage, or processing of CJI complies with the CJIS Security Policy, which establishes minimum security requirements and controls to safeguard CJI.

Die CJIS-Sicherheitsrichtlinie integriert Präsidenten-und FBI-Direktiven, Bundesgesetze und die Entscheidungen des Beratenden Entscheidungsgremiums der Strafverfolgungsbehörden sowie Anweisungen des National Institute of Standards and Technology (NIST).The CJIS Security Policy integrates presidential and FBI directives, federal laws, and the criminal justice community's Advisory Policy Board decisions, along with guidance from the National Institute of Standards and Technology (NIST). Die Richtlinie wird regelmäßig aktualisiert, um die sich entwickelnden Sicherheitsanforderungen widerzuspiegeln.The Policy is periodically updated to reflect evolving security requirements.

Die CJIS-Sicherheitsrichtlinie definiert 13 Bereiche, die private Auftragnehmer wie Anbieter von Cloud-Diensten bewerten müssen, um festzustellen, ob die Verwendung von Cloud-Diensten mit den CJIS-Anforderungen übereinstimmen kann.The CJIS Security Policy defines 13 areas that private contractors such as cloud service providers must evaluate to determine if their use of cloud services can be consistent with CJIS requirements. Diese Bereiche entsprechen eng mit NIST 800-53, was auch die Grundlage für das Federal Risk and Authorization Management Program (FedRAMP) ist, ein Programm, unter dem Microsoft für seine staatlichen Cloud-Angebote zertifiziert wurde.These areas correspond closely to NIST 800-53, which is also the basis for the Federal Risk and Authorization Management Program (FedRAMP), a program under which Microsoft has been certified for its Government Cloud offerings.

Darüber hinaus müssen alle privaten Auftragnehmer, die CJI verarbeiten, den CJIS-Sicherheits Nachtrag unterzeichnen, eine vom US-Generalstaatsanwalt genehmigte einheitliche Vereinbarung, die die Sicherheit und Vertraulichkeit von CJI gewährleistet, die für die Sicherheitsrichtlinie erforderlich ist.In addition, all private contractors who process CJI must sign the CJIS Security Addendum, a uniform agreement approved by the US Attorney General that helps ensure the security and confidentiality of CJI required by the Security Policy. Außerdem wird der Auftragnehmer verpflichtet, ein Sicherheitsprogramm in Einklang mit Bundes-und Landesgesetzen,-Verordnungen und-Standards beizubehalten und die Verwendung von CJI auf die Zwecke zu beschränken, für die eine Regierungsbehörde Sie bereitgestellt hat.It also commits the contractor to maintaining a security program consistent with federal and state laws, regulations, and standards, and limits the use of CJI to the purposes for which a government agency provided it.

Microsoft-und CJIS-SicherheitsrichtlinieMicrosoft and CJIS Security Policy

Microsoft signiert den CJIS-Sicherheits Nachtrag in Staaten mit CJIS-Informations Vereinbarungen.Microsoft signs the CJIS Security Addendum in states with CJIS Information Agreements. Diese informieren die staatlichen Strafverfolgungsbehörden, die für die Einhaltung der CJIS-Sicherheitsrichtlinien zuständig sind, wie die Cloud-Sicherheitssteuerelemente von Microsoft zum Schutz des vollständigen Lebenszyklus von Daten und zur Sicherstellungeiner angemessenen Hintergrundüberprüfung des Betriebspersonals mit Zugriff auf CJI beitragen.These tell state law enforcement authorities responsible for compliance with CJIS Security Policy how Microsoft's cloud security controls help protect the full lifecycle of data and ensure appropriate background screening of operating personnel with access to CJI. Microsoft arbeitet weiterhin mit Landesregierungen zusammen, um CJIS-Informations Vereinbarungen einzugehen.Microsoft continues to work with state governments to enter into CJIS Information Agreements.

Microsoft hat die betrieblichen Richtlinien und Verfahren für Microsoft Azure Regierung, Microsoft Office 365 US-Regierung und Microsoft Dynamics 365 US-Regierung bewertet und wird Ihre Fähigkeit in den entsprechenden Dienstleistungsvereinbarungen bestätigen, um die FBI-Anforderungen für die Verwendung von in-Scope-Diensten zu erfüllen.Microsoft has assessed the operational policies and procedures of Microsoft Azure Government, Microsoft Office 365 U.S. Government, and Microsoft Dynamics 365 U.S. Government, and will attest to their ability in the applicable services agreements to meet FBI requirements for the use of in-scope services.

Erfahren Sie mehr über die Vorteile der CJIS-Sicherheitsrichtlinie in der Microsoft-Cloud: Lesen Sie, wie Genetec strafrechtliche Untersuchungen gelöscht hat.Learn about the benefits of CJIS Security policy on the Microsoft Cloud: Read how Genetec cleared criminal investigations

Erfahren Sie, wie Sie Ihre CJIS-Sicherheitsrichtlinie mit unserem Azure Security and Compliance Blueprint beschleunigen: Laden Sie die CJIS-Implementierungsrichtlinien für Microsoft Government Cloud Services herunter .Learn how to accelerate your CJIS Security policy with our Azure Security and Compliance Blueprint: Download the CJIS implementation guidelines for Microsoft Government Cloud Services

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

Das FBI bietet keine Zertifizierung von Microsoft Compliance mit CJIS-Anforderungen.The FBI does not offer certification of Microsoft compliance with CJIS requirements. Stattdessen ist eine Microsoft-Bescheinigung in Vereinbarungen zwischen Microsoft und der CJIS-Autorität eines Staates sowie zwischen Microsoft und seinen Kunden enthalten.Instead, a Microsoft attestation is included in agreements between Microsoft and a state's CJIS authority, and between Microsoft and its customers.

Microsoft CJIS-Cloud-AnforderungenMicrosoft CJIS Cloud Requirements

CJIS-Status in den Vereinigten Staaten (aktuell 9/23/2019)CJIS status in the United States (current as of 9/23/2019)

37 Staaten und der District of Columbia mit Verwaltungsvereinbarungen, die auf der Karte in grün hervorgehoben sind, gehören:37 states and the District of Columbia with management agreements, highlighted on the map in green include:

Alabama, Alaska, Arkansas, Arizona, Kalifornien, Colorado, Florida, Georgia, Hawaii, Illinois, Indiana, Iowa, Kansas, Kentucky, Maine, Massachusetts, Michigan, Minnesota, Missouri, Montana, New Jersey, New York, Nevada, North Carolina, Oklahoma, Oregon, Pennsylvania, Rhode Island, South Carolina, Tennessee, Texas, Utah, Vermont, Virginia, Washington, Washington D.C., West Virginia, Wisconsin.Alabama, Alaska, Arkansas, Arizona, California, Colorado, Florida, Georgia, Hawaii, Illinois, Indiana, Iowa, Kansas, Kentucky, Maine, Massachusetts, Michigan, Minnesota, Missouri, Montana, New Jersey, New York, Nevada, North Carolina, Oklahoma, Oregon, Pennsylvania, Rhode Island, South Carolina, Tennessee, Texas, Utah, Vermont, Virginia, Washington, Washington D.C., West Virginia, Wisconsin.

Die Verpflichtung von Microsoft zur Erfüllung der geltenden CJIS-Regulierungs Kontrollen ermöglicht es Strafverfolgungs Organisationen, Cloud-basierte Lösungen zu implementieren und mit CJIS-Sicherheitsrichtlinie v 5.8 konform zu sein.Microsoft's commitment to meeting the applicable CJIS regulatory controls allows Criminal Justice organizations to implement cloud-based solutions and be compliant with CJIS Security Policy V5.8.

Häufig gestellte FragenFrequently asked questions

Wo kann ich Kompatibilitätsinformationen anfordern?Where can I request compliance information?

Wenden Sie sich an Ihren Microsoft-Konto Vertreter, um Informationen über die Zuständigkeit zu erhalten, die Sie interessieren.Contact your Microsoft account representative for information on the jurisdiction you are interested in. Kontakt cjis@microsoft.com Informationen darüber, welche Dienste derzeit in welchen Staaten verfügbar sind.Contact cjis@microsoft.com for information on which services are currently available in which states.

Wie zeigt Microsoft, dass die Cloud-Dienste die Einhaltung der Anforderungen meines Bundesstaates ermöglichen?How does Microsoft demonstrate that its cloud services enable compliance with my state's requirements?

Microsoft unterzeichnet eine Informations Vereinbarung mit einer staatlichen CJIS-System Agentur (CSA); Sie können eine Kopie vom CSA ihres Staates anfordern.Microsoft signs an Information Agreement with a state CJIS Systems Agency (CSA); you may request a copy from your state's CSA. Darüber hinaus bietet Microsoft Kunden umfassende Sicherheits-, Datenschutz-und Kompatibilitätsinformationen.In addition, Microsoft provides customers with in-depth security, privacy, and compliance information. Kunden können auch Sicherheits-und Konformitätsberichte überprüfen, die von unabhängigen Prüfern erstellt wurden, damit Sie überprüfen können, ob Microsoft Sicherheitssteuerelemente (wie ISO 27001) implementiert hat, die dem relevanten Überwachungsbereich entsprechen.Customers may also review security and compliance reports prepared by independent auditors so they can validate that Microsoft has implemented security controls (such as ISO 27001) appropriate to the relevant audit scope.

Wo beginne ich mit dem Compliance-Aufwand meiner Agentur?Where do I start with my agency's compliance effort?

CJIS-Sicherheitsrichtlinie umfasst die Vorsichtsmaßnahmen, die Ihre Agentur zum Schutz von CJI ergreifen muss.CJIS Security Policy covers the precautions that your agency must take to protect CJI. Darüber hinaus können Sie mit Ihrem Microsoft-Konto Vertreter Kontakt mit denjenigen aufnehmen, die mit den Anforderungen Ihrer Gerichtsbarkeit vertraut sind.In addition, your Microsoft account representative can put you in touch with those familiar with the requirements of your jurisdiction

Bewerten des Risikos mithilfe von Microsoft Compliance-ManagerUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist ein Feature im Microsoft 365 Compliance Center , mit dem Sie die Compliance-Haltung ihrer Organisation besser verstehen und Maßnahmen zur Verringerung von Risiken unterstützen können.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance-Manager bietet eine Premium-Vorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite " Bewertungs Vorlagen " im Compliance-Manager.Find the template in the assessment templates page in Compliance Manager. Hier erfahren Sie, wie Sie Assessments im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources