(CJIS) 安全性原則的刑事審判資訊服務

CJIS 概述

刑事司法 Information Services (CJIS 美國聯邦局調查 () FBI 的) 分公司,提供州、地方及聯邦法律強制執行與刑事審判機關的存取權司法司法資訊 (CJI) (例如,指紋記錄及刑事記錄)。 美國的法律強制執行和其他政府代理商必須確定其使用雲端服務以進行 CJI 的傳輸、儲存或處理,遵循 CJIS 安全性原則,它會建立最低的安全性需求和控制,以保護 CJI。

CJIS 安全性原則會整合總統和 FBI 指令、聯邦法律和刑事審判社區的諮詢原則董事會決策,以及國家安全局) (NIST 的指導方針。 原則會定期更新,以反映不斷演變的安全性需求。

CJIS 安全性原則定義13個私人承包商(如雲端服務提供者)必須評估,以判斷其使用雲端服務是否可與 CJIS 需求一致。 這些區域會嚴格對應 NIST 800-53,也就是 聯邦風險和授權管理計畫的基礎 (FedRAMP) ,這是 Microsoft 已針對其政府雲端服務認證的程式。

此外,處理 CJI 的所有私人承包商必須簽署 CJIS 安全性附錄,這是由美國律師一般核准的統一合約,可協助確保安全性原則所需的安全性和機密性。 它也會承諾承包商維護安全計畫與聯邦和州法律、法規和標準的一致性,並限制 CJI 使用,以供政府代理商使用的目的。

Microsoft 和 CJIS 安全性原則

Microsoft 會以含 CJIS 資訊協定的狀態,簽署 CJIS 安全性附錄。 這些指示州法律強制執行機構負責遵循 CJIS 安全性原則 Microsoft 的雲端安全性控制措施可協助保護整個資料生命週期,並確保適當的後臺篩選工作人員,以存取 CJI。 Microsoft 繼續與州政府合作,以輸入 CJIS 資訊協定。

Microsoft 已評估 Microsoft Azure 政府、Microsoft Office 365 美國政府和 Microsoft Dynamics 365 美國政府的運作原則和程式,並將證明其在適當服務合約中的能力,以符合使用內部範圍內服務的 FBI 需求。

深入瞭解 Microsoft Cloud 上的 CJIS 安全性原則的優點: 閱讀 Genetec 如何清除刑事調查

Microsoft 範圍內雲端平台與服務

  • Azure 政府
  • 美國政府的 Dynamics 365
  • Office 365美國政府
  • Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中

Azure、Dynamics 365 和 CJIS

如需 Azure、Dynamics 365 及其他線上服務規範的詳細資訊,請參閱 AZURE CJIS 服務

Office 365 和 CJIS

Office 365 雲端環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 雲端環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
GCC Azure Active Directory、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream

Office 365 稽核、報告和認證

FBI 不會提供符合 CJIS 需求的 Microsoft 認證。 相反地,microsoft 證明包含在 Microsoft 和州的 CJIS 機關,以及 Microsoft 及其客戶之間的協定中。

Microsoft CJIS 雲端需求

美國 (目前為11/5/2020 的州的 CJIS 狀態)

44州和哥倫比亞含管理合約的地區,在綠色地圖上以綠色反白顯示:

Alabama,阿拉斯加,亞利桑那,Arkansas,加州,科羅拉多,Connecticut,佛羅里達,格魯吉亞,夏威夷,Idaho,Illinois,印地安那州 Iowa、Kansas、Kentucky、Maine、麻塞諸塞、密歇根、Minnesota、Mississippi、Missouri、Montana、Nebraska、Nevada、New Hampshire、New Jersey、New 墨西哥、紐約、北卡羅萊納州、北 Dakota、Oklahoma、德克薩斯、猶他州、Rhode、南部卡羅萊納州、華盛頓、德克薩斯、Tennessee、Vermont、Wisconsin、、

Microsoft 致力於會議適用的 CJIS 管制控制措施,允許刑事審判組織執行雲端式方案,並遵循 CJIS 安全性原則5.9。

常見問題集

我可以在哪裡要求規範資訊?

請與您的 Microsoft 帳戶代表聯繫,以取得您感興趣之司法轄區的相關資訊。 相關 cjis@microsoft.com 資訊,以取得目前可用服務的相關資訊。

Microsoft 如何示範其雲端服務是否可以符合我的狀態需求?

Microsoft 會以州 CJIS 系統代理商 (CSA) 來簽署資訊協定;您可以從您的狀態 CSA 索取副本。 此外,Microsoft 還提供客戶深入的安全性、隱私權和規範資訊。 客戶也可以查看獨立審計員所準備的安全性和符合性報告,讓他們能夠驗證 Microsoft 是否已實現安全性控制 (例如 ISO 27001) 適當于相關的審計範圍。

從何處開始,我的代理人的合規性

CJIS 安全性原則 涵蓋您的代理人保護 CJI 所必須採取的防範措施。 此外,您的 Microsoft 帳戶代表可讓您與熟悉司法需求的人員保持聯繫

使用 Microsoft 合規性管理員來評估風險

Microsoft 合規性管理員Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源