NIST SP 800-171

  • 아티클

NIST SP 800-171 정보

미국 국립표준기술원(NIST)은 연방 기관의 정보 및 정보 시스템을 보호하기 위해 측정 표준 및 지침을 홍보하고 유지 관리합니다. CUI(제어된 미분류 정보) 관리에 관한 행정 명령 13556에 대한 응답으로 NIST SP 800-171을 게시 하여 비페더널 정보 시스템 및 조직에서 제어되는 미분류 정보를 보호합니다. CUI는 기밀이 아니지만 여전히 민감하고 보호가 필요한 정부(또는 그 대신 엔터티)가 만든 디지털 및 물리적 정보로 정의됩니다.

NIST SP 800-171은 원래 2015년 6월에 게시되었으며 진화하는 사이버 위협에 대응하여 그 이후로 여러 번 업데이트되었습니다. CUI를 안전하게 액세스, 전송 및 비페더랄 정보 시스템 및 조직에 저장하는 방법에 대한 지침을 제공합니다. 요구 사항은 네 가지 기본 범주로 분류됩니다.

  • 관리 및 보호를 위한 제어 및 프로세스
  • IT 시스템 모니터링 및 관리
  • 최종 사용자에 대한 명확한 사례 및 절차
  • 기술 및 물리적 보안 조치 구현

Microsoft 및 NIST SP 800-171

공인 타사 평가 조직인 Kratos Secureinfo 및 Coalfire는 Microsoft와 협력하여 해당 scope 클라우드 서비스가 CUI를 처리할 때 NIST SP 800-171, 비페더랄 정보 시스템 및 조직에서 제어된 CUI(미분류 정보) 보호의 기준을 충족한다는 것을 증명했습니다. FedRAMP 요구 사항의 Microsoft 구현은 Microsoft scope 클라우드 서비스가 이미 있는 시스템 및 사례를 사용하여 NIST SP 800-171의 요구 사항을 충족하거나 초과하도록 하는 데 도움이 됩니다.

NIST SP 800-171 요구 사항은 FedRAMP에서 사용하는 표준인 NIST SP 800-53의 하위 집합입니다. NIST SP 800-171의 부록 D는 CUI 보안 요구 사항을 NIST SP 800-53의 관련 보안 제어에 대한 직접 매핑을 제공하며, 이 경우 scope 내 클라우드 서비스가 FedRAMP 프로그램에 따라 이미 평가 및 승인되었습니다.

연구 기관, 컨설팅 회사, 제조 계약자 등 미국 정부 CUI를 처리하거나 저장하는 모든 엔터티는 NIST SP 800-171의 엄격한 요구 사항을 준수해야 합니다. 이 증명은 Microsoft scope 클라우드 서비스가 Microsoft가 완전히 준수하고 있다는 확신을 가지고 CUI 워크로드를 배포하려는 고객을 수용할 수 있음을 의미합니다. 예를 들어 정보 시스템에서 scope Microsoft 클라우드 서비스를 사용하여 '적용된 방어 정보'를 처리, 저장 또는 전송하는 모든 DoD 계약자는 NIST SP 800-171의 보안 요구 사항을 준수해야 하는 미국 국방부 DFARS 조항을 충족합니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

  • Azure Commercial, Azure Government
  • Dynamics 365 미국 정부
  • Intune
  • Office 365 GCC(미국 정부 커뮤니티 클라우드), Office 365 GCC High 및 DoD
    • Office 365 상업용은 NIST 800-171에 대해 수행된 타사 감사에 포함되지 않으며 scope 없습니다.

Azure, Dynamics 365 및 NIST SP 800-171

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure NIST SP 800-171 제품을 참조하세요.

Office 365 및 NIST SP 800-171

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
GCC 활동 피드 서비스, Bing Services, Delve, Exchange Online, 지능형 서비스, Microsoft Teams, Office 365 고객 포털, Office Online, Office 서비스 인프라, Office 사용 현황 보고서, 비즈니스용 OneDrive, 사람 카드, SharePoint Online, 비즈니스용 Skype Windows Ink
GCC High 활동 피드 서비스, Bing Services, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 고객 포털, Office Online, Office 서비스 인프라, Office 사용 현황 보고서, 비즈니스용 OneDrive, 사람 카드, SharePoint Online, 비즈니스용 Skype Windows Ink
DoD 활동 피드 서비스, Bing Services, Exchange Online, 지능형 서비스, Office 365 고객 포털, Office Online, Office 서비스 인프라, Office 사용 현황 보고서, 비즈니스용 OneDrive, 사람 카드, Microsoft Teams, SharePoint Online, 비즈니스용 Skype Windows Ink

질문과 대답

내 organization NIST SP 800-171의 Microsoft 규정 준수를 사용할 수 있나요?

예. Microsoft 고객은 자체 FedRAMP 및 NIST 위험 분석 및 자격 작업의 일환으로 FedRAMP 표준에 대한 독립적인 타사 평가 조직(3PAO)의 보고서에 설명된 감사된 컨트롤을 사용할 수 있습니다. 이러한 보고서는 Microsoft가 scope 클라우드 서비스에서 구현한 컨트롤의 효율성을 확인합니다. 고객은 CUI 워크로드가 NIST SP 800-171 지침을 준수하도록 보장할 책임이 있습니다.

Microsoft Purview 준수 관리자를 사용하여 위험 평가

Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스