加拿大網路安全中心 (CCCS) 媒體

發行項
01/11/2024

CCCS 中型概觀

加拿大政府 (GC) 敏感性政府資訊和資產的受保護 B 安全性層級適用於資訊或資產，如果遭到入侵，可能會對個人、組織或政府造成嚴重傷害。根據加拿大網路安全性中心 (CCCS) 發佈的 IT 安全性風險管理資訊安全性指引 (ITSG) 33，GC 開發了 Cloud-Based Services (ITSP.50.103) 的安全性分類指引，以及適用於雲端 GC 服務的加拿大政府安全性控制配置檔 (GC 安全性控制配置檔) ，可識別適用於處理安全性類別為受保護 B、中完整性和中等可用性 (PBMM) 資訊的基準安全性控制件。原始的 PBMM 安全性控制配置檔已演進為 CCCS 中型雲端配置文件建議。

GC 安全性控制配置檔是使用 ITSG-33 和美國聯邦風險與授權管理計劃 (FedRAMP) 所開發，兩者都有美國國家標準與技術局 (NIST) 特殊發行 (SP) 800-53 安全性和隱私權控制的基礎。 GC 已將 GC 安全性控制配置檔與 FedRAMP 對齊，以最大化雲端服務的互操作性，以及雲端服務提供者所產生的授權辨識項可重複使用性， (CSP) 。

加拿大庫庫委員會 (TBS) 負責雲端服務的 GC 企業治理、策略和原則，包括遵循服務和數位的指示規定，維護監督和監視部門對 GC Cloud Guardrails 的合規性。 GC 已發展其雲端採用策略，現在採用雲端智能原則，其中雲端是新應用程式的慣用選項，並將現有的應用程式組合合理化，以符合最適當的裝載模型。

加拿大網路安全中心 (CCCS) 已建立雲端服務提供者安全性評定程式，以檢閱 CSP 實作 CCCS 中度安全性控制的能力 (注意：CCCS 中度控制配置檔已取代雲端式 GC 服務) 的原始加拿大政府安全性控制配置檔。產生的技術風險評估報告包含檢閱程序的結果。 CCCS 也提供有關雲端安全性評估和授權 (ITSP.50.105) 的部門指導方針。

Microsoft 範圍內雲端平台與服務

加拿大網路安全中心會根據 CCCS 中型安全性控制配置檔，針對資訊和服務的加拿大政府安全性需求評估雲端服務提供者的安全性控制和程式，以進行評估，最高可達受保護的 B、中完整性、中等可用性 (PBMM) 。到目前為止，CCCS 已正式評估下列 Microsoft 線上服務：

Azure
Dynamics 365
Power Platform
Microsoft 365

Azure、Dynamics 365、Power Platform 和 CCCS 媒體

Microsoft 在 2019 年與聯邦政府簽訂架構協定時，是第一個符合加拿大政府安全雲端服務資格的全球雲端服務提供者之一。此架構協議支援加拿大政府為了簡化政府程式，而這是邁向真正數位政府的關鍵步驟。 Microsoft 的 Azure CCCS 中度評估服務可釋放公用部門創新、轉換和服務靈活度的新機會，因為公用階層可存取支援儲存和處理受保護 B 數據的各種複雜功能。此外，政府機關也受益於 Microsoft 的合作夥伴和開發人員生態系統，這些合作夥伴和開發人員會在 Azure 上建置創新且安全的解決方案。

Microsoft 已建立兩個加拿大 Azure 雲端區域：位於多倫多的加拿大中部和 Québec City 中的加拿大東部，每個區域都包含多個超大規模資料庫雲端數據中心網站。這些區域新增加拿大國內數據落地，以儲存待用客戶數據、應用程式的故障轉移和災害復原，以及許多核心在線服務的客戶數據。加拿大中部區域中的其他數據中心基礎結構投資也已在加拿大中部區域內啟用 Azure 可用性區域，以協助客戶為任務關鍵性工作負載建立更具復原性和高可用性的應用程式。

如需跨 Azure、Dynamics 365 和 Power Platform 的範圍內 CCCS 評估雲端服務的完整清單，請參閱服務信任入口網站加拿大區域一節中的摘要評定報告。

Office 365 和 CCCS 媒體

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台，也是全球數個區域客戶可用的應用程式和服務整合式體驗。大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如，美國) 以復原資料，但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境：

用戶端軟體 (用戶端)：客戶裝置上執行的商業用戶端軟體。
Office 365 (商業)：全球都可使用的商業公用 Office 365 雲端服務。
Office 365 政府社群雲端 (GCC)：Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
Office 365 政府社群雲端 - High (GCC High)：Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計，嚴格控制和支援受監管的聯邦和國防資訊。此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
Office 365 DoD (DoD)：Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計，控制和支援嚴格的聯邦和國防法規。此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。若要了解哪些地區提供哪些服務，請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。如需 Office 365 政府版雲端環境的詳細資訊，請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。本節中提供的資訊不構成法律建議，如果您對組織的法規合規性有任何疑問，您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表來判斷 Office 365 服務和訂用帳戶的適用性：

適用性	範圍內服務
商業	Advanced eDiscovery、客戶加密箱、Defender 端點、適用於雲端應用程式的 Defender、適用於 M365 的 Defender、身分識別的 Defender、Exchange Online (EXO) 、Loki、Microsoft 資訊保護、Microsoft Intune、Microsoft Planner、Microsoft Stream、Microsoft Teams、Office Forms、Office for the Web (Word、Excel、OneNote、PowerPoint) 、Office PODS (PowerPoint Online 文件服務) 、Office Project、Office Services 基礎結構、Office Sway、OneNote Service、電話系統 & 通話、搜尋內容服務、Sharepoint Online、SharePoint Syntex、套件用戶體驗、ToDo、Viva Insights、Viva Learning、Viva Topics、Windows 365

適用性

範圍內服務

商業

Advanced eDiscovery、客戶加密箱、Defender 端點、適用於雲端應用程式的 Defender、適用於 M365 的 Defender、身分識別的 Defender、Exchange Online (EXO) 、Loki、Microsoft 資訊保護、Microsoft Intune、Microsoft Planner、Microsoft Stream、Microsoft Teams、Office Forms、Office for the Web (Word、Excel、OneNote、PowerPoint) 、Office PODS (PowerPoint Online 文件服務) 、Office Project、Office Services 基礎結構、Office Sway、OneNote Service、電話系統 & 通話、搜尋內容服務、Sharepoint Online、SharePoint Syntex、套件用戶體驗、ToDo、Viva Insights、Viva Learning、Viva Topics、Windows 365

評定報告

在服務信任入口網站的加拿大區域區段中，客戶可以使用 Microsoft 服務的摘要 CCCS 評定報告。連絡位於的 CCCS contact@cyber.gc.ca，即可取得 Microsoft 服務的詳細安全性評估報告給加拿大政府客戶。

常見問題集

哪些 Microsoft 雲端服務可透過共用服務加拿大雲端合約提供給加拿大政府？

Microsoft 是加拿大政府第一個獲得雲端架構合約的全球雲端提供者之一，提供各種商業雲端服務，包括 Azure、Dynamics 365、Power Platform 和 Microsoft 365。共用服務加拿大雲端訊息代理程式目錄提供目前可供 GC 部門使用的 Microsoft 雲端服務詳細資料：雲端 FA 目錄 (canada.ca) 。

Microsoft 的雲端服務符合何種美國 FedRAMP 合規性層級，以及這如何套用至加拿大雲端區域？

Microsoft Azure 商業 (包括 Dynamics 365) 維護 FedRAMP High Authority 來操作 P-ATO) (。 Microsoft 365 商業版維持 FedRAMP High 等價。美國外部的 Azure 區域未由 FedRAMP 聯合授權委員會正式授權， () ，而且不在 FedRAMP High P-ATO 範圍內。不過，Azure 安全性控制和作業程式在 Azure 執行的任何地方都是一致的。 FedRAMP 是以 NIST SP 800-53 控制基準為基礎。在美國中支援 Azure FedRAMP High P-ATO 的所有 NIST SP 800-53 控件，也會在美國以外的其他 Azure 區域中運作。因此，美國以外的 Azure 客戶可以使用與 NIST SP 800-53 高控制基準相關的相同控件實作詳細數據。如需詳細資訊，請參閱 FedRAMP) (聯邦風險和授權管理計劃。 FedRAMP 稽核辨識項可在服務信任入口網站中取得。

必須儲存受保護 B 資料的位置是否有地理限制？

加拿大政府已開發彈性的數據落地 (待用數據的儲存) 原則，以根據服務和數位指示詞 4.4.3.14 節的受保護 B 數據儲存。這會在服務和數位指南的第 4.4 節中進一步釐清。加拿大數據落地必須識別並評估為將受保護的 B 數據儲存在雲端的主要傳遞選項，但部門 CIO (或在某些情況下，加拿大 CIO) 具有彈性，並負責根據實作 需求的 4.4.3 節考慮中所識別的下列商務準則，核准將數據儲存在加拿大外部的決策：

聲譽
法律和合約考慮
貿易夥伴
市場可用性
商業價值
技術功能

Microsoft 安全性控制和程式會在全球所有雲端區域中一致地實作。雖然 CCCS 中型配置檔內的控件可能會參考 GC 數據落地原則，但評估待用數據的位置並不會納入 CCCS 雲端評估報告的風險分級。

第 4.4.2 節 (為什麼這很重要？) 也說明傳輸中加密的數據不受數據落地需求限制。

下列資源提供許多常見產品和服務的數據落地相關信息：

什麼是 非區域雲端 服務？

Azure 非區域服務是不相依於特定 Azure 區域的服務，而且目前無法為客戶提供指定部署區域的能力。這些服務經過架構並優化，一律可作為 Azure 全球雲端的一部分。 Azure Active Directory 是非區域服務的範例。您可以在 Azure 依區域的產品中找到完整清單。

雲端中的數據處理會在哪裡進行？

許多 Azure 服務可讓您指定客戶資料的儲存和處理區域。如需詳細資訊，請參閱 Azure 中的 Data Residency。 Microsoft 365 等 SaaS 線上服務通常會處理最接近資料儲存位置的數據，不過客戶數據的處理可能會發生在加拿大以外的雲端區域。支援服務的傳遞可能也牽涉到在加拿大以外處理數據。

資源

Microsoft 已開發數個資源來協助客戶部署適合執行受保護 B 工作負載的雲端服務，包括：

加拿大公用部門的 Azure 登陸區域：一個專門的參考實作，可引導政府部門努力符合客戶負責的 CCCS 中型需求。
加拿大聯邦 PBMM Azure 藍圖：一組可重複的 Azure 資源和模式，可讓組織建置符合特定 CCCS 媒體控件和 GC Cloud Guardrails 規範的新雲端環境。
基礎隱私權影響評估 (PIA) ：基礎 PIA 旨在更妥善地通知隱私權領導者、從業人員和風險管理員，他們可能會考慮在採用 Microsoft 雲端式服務供應項目期間，將這項分析作為其 PIA 工作的核心。
Microsoft Purview Compliance Manager受保護的 B 評定範本：合規性管理員是 Microsoft Purview 合規性入口網站中的一項功能，可協助您了解組織的合規性狀態，並採取動作來協助降低風險。合規性管理員提供內建機制，可持續評估和追蹤 Microsoft 365 環境中許多 CCCS 中型客戶控件的實作。在合規性管理員的評定範本頁面中尋找受保護的 B 範本。瞭解如何在合規性管理員中建立評估。

Share via