刑事犯罪信息服务 (CJIS) 安全策略

CJIS 概述

美国联邦调查局 () 的刑事犯罪信息服务 (CJIS) 部门向州、地方和联邦执法机构和犯罪犯罪机构提供对犯罪情报 (CJI) (例如指纹记录和犯罪历史记录)的访问权限。 执法机构和美国的其他政府机构必须确保他们使用云服务传输、存储或处理 CJI 符合 CJIS安全策略,该安全策略建立了最低安全要求和控制来保护 CJI。

CJIS 安全策略集成了国家标准和技术协会 NIST (的联邦指令、联邦法律以及刑事犯罪社区的建议策略委员会) 决策。 该策略会定期更新,以反映不断变化的安全要求。

CJIS 安全策略定义了 13 个私有承包商(如云服务提供商)必须评估的区域,以确定其对云服务的使用是否与 CJIS 要求一致。 这些方面与 NIST 800-53 紧密对应,NIST 800-53 也是联邦风险和授权管理计划 (FedRAMP) 的基础,该计划通过 Microsoft 政府云产品/服务认证。

此外,处理 CJI 的所有私有承包商都必须签署 CJIS 安全附录,这是美国律师总署批准的统一协议,有助于确保安全策略要求的 CJI 的安全性和机密性。 它还承诺承包商维护符合联邦和州法律、法规和标准的安全计划,并限制使用 CJI 至政府机构提供它的目的。

Microsoft 和 CJIS 安全策略

Microsoft 使用 CJIS 信息协议签署 CJIS 安全附录。 这些说明会告知负责遵守 CJIS 安全策略的州执法机构,Microsoft 的云安全控制如何帮助保护数据的整个生命周期,并确保对有权访问 CJI 的操作人员进行适当的背景调查。 Microsoft 将继续与州政府合作,以签订 CJIS 信息协议。

Microsoft 已评估 Microsoft Azure Government、Microsoft Office 365 U.S. Government 和 Microsoft Dynamics 365 美国政府版的操作策略和过程,并证明他们在适用的服务协议中能够满足使用范围内服务的 FBI 要求。

了解 Microsoft 云上 CJIS 安全策略的好处:阅读使用 Clearedtec清除犯罪调查

Microsoft 范围内的云平台和云服务

  • Azure 政府
  • Dynamics 365 美国政府版
  • Office 365美国政府
  • Power BI 云服务,作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供

Azure、Dynamics 365 和 CJIS

有关 Azure、Dynamics 365 和其他联机服务合规性的信息,请参阅 Azure CJIS 产品

Office 365 和 CJIS

Office 365 云环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下 Office 365 云环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
GCC Azure Active Directory、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版附加产品、Office 365 安全与合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream

Office 365 审核、报告及证书

MICROSOFT 不提供 Microsoft 遵守 CJIS 要求的认证。 相反,Microsoft 证明包含在 Microsoft 与州 CJIS 颁发机构之间以及 Microsoft 与其客户之间的协议中。

Microsoft CJIS 云要求

截至 2020 年 11 月 5 (美国 CJIS 状态)

在地图上以绿色突出显示的 44 个州以及具有管理协议的"省/市/县"包括:

该州是,加利福尼亚、格鲁吉亚 哥伦比亚、爱达荷州、波利尼西亚、阿鲁巴岛、马来西岛、密尔尼西亚、剑桥、明尼西亚、圣文莱纳、内巴斯卡、剑桥、纽约、北尼西亚、北美、北达库塔、格林威斯、俄勒冈、密尔尼群岛、南尼西亚、顶点、华盛顿州、华盛顿州、西尼西亚、华盛顿州。

Microsoft 承诺遵守适用的 CJIS 法规控制,允许犯罪犯罪组织实施基于云的解决方案,并符合 CJIS 安全策略 V5.9。

常见问题解答

在哪里可以请求合规性信息?

有关你感兴趣的管辖地的信息,请与你的 Microsoft 帐户代表联系。 有关 cjis@microsoft.com 当前哪些服务在哪些状态中可用的信息,请与联系人联系。

Microsoft 如何证明其云服务支持符合我州的要求?

Microsoft 与州 CJIS Systems Agency 与 CSA (签署信息) ;你可以从你州 CSA 请求副本。 此外,Microsoft 为客户提供了深入的安全、隐私和合规性信息。 客户还可以查看独立审核员准备的安全和合规性报告,以便他们可以验证 Microsoft 是否实施了适用于相关审核 (如 ISO 27001) 安全控制措施。

从何处着手执行我的机构合规性工作?

CJIS 安全策略 涵盖机构保护 CJI 必须采取的预防措施。 此外,你的 Microsoft 客户代表可以联系熟悉你的管辖地要求的人

使用 Microsoft 合规性管理器评估风险

Microsoft 合规性管理器Microsoft 365 合规中心中的一项预览功能,旨在帮助你了解组织的合规情况并采取措施帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源