國防聯邦購置法規補充 (DFARS)

DFARS 概述

在2016年10月21日 (DoD) 發出其最終規則,修正國防聯邦取得法規補充 (DFARS) 並對國防承包商(其資訊系統處理、儲存或傳輸涵蓋的國防資訊 (CDI) )進行保護和網路附隨報告的義務。

最後的 DFARS 子句 252.204-7012 (保護涵蓋的防護資訊和網路附隨報告) 指定包含網路附隨報告需求的安全防護,以及雲端服務提供者的其他考慮。 針對每個 DFARS 252.204-7012,所有 DoD 承包商和國防工業基底都需要遵守適當安全性的 DFARS 需求,但不是晚于2017年12月31日。 '

Microsoft 和 DFARS

Microsoft 政府雲端服務可協助美國國防工業基本和國防承包商客戶符合套用至雲端服務提供者的 252.204-7012 DFARS 子句中列舉的 DFARS 需求。 當國防承包商必須遵守 DFARS 子句 252.204-7012 in 合約時,Microsoft 可支援適用于 Azure 政府和 Office 365 美國政府國防服務的雲端服務提供者的需求。 這兩項服務都會示範客戶必須遵守 DFARS 7012 子句的功能,並透過其 L5 資格鑒定至國防安全性需求指南。

Microsoft 範圍內雲端平台與服務

DoD 影響等級5所涵蓋的服務

  • Azure 和 Azure Government
  • Office 365美國政府和 Office 365 美國政府國防版

Azure、Dynamics 365 和 DFARS

如需 Azure、Dynamics 365 及其他線上服務規範的詳細資訊,請參閱 AZURE DFARS 服務

Office 365 和 DFARS

Office 365 雲端環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 雲端環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
GCC Azure Active Directory、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream
GCC High Azure Active Directory、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype
DoD Azure Active Directory、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、Power BI、SharePoint Online、商務用 Skype

Office 365 稽核、報告和認證

常見問題集

Office 365 美國政府國防版支援哪些 DFARS 需求?

Office 365美國政府國防版允許我們的國防工業基本和國防承包商客戶,在套用至雲端服務提供者的 252.204-7012 DFARS 子句中列舉的 DFARS 需求。

是否已驗證 assessor 美國政府國防是否支援 DFARS 需求 Office 365 的獨立驗證?

是的,協力廠商評定組織有 attested Office 365 美國政府國防雲端服務產品符合 DFARS 子句 252.204-7012 的適用需求, (保護未分類的受管理技術資訊) 。

受控未分類資訊 (CUI) 及涵蓋的防禦資訊) (CDI 的關係為何?

CUI 是需要根據法律、法規或政府級原則來保護或傳播控制措施的資訊。 CUI登錄會識別核准的 CUI 類別和子類別。

CDI 是控制的技術資訊或其他資訊 (,如 CUI 登錄) 所述,需要保護或傳播控制,也就是下列其中一項:

  • 已標記或以其他方式識別合同、任務順序或傳遞訂單,並提供給合同工或代表 DoD,以與合約效能關聯或
  • 承包商為支援合約效能而收集、開發、接收、傳送、使用或儲存該合約

所有 Microsoft Office 365 服務是否都符合 DFARS 法規下「涵蓋的防禦資訊」適用的「適當安全性」需求?

在10月2016,國防 (DoD) promulgated 的最終規則,以執行國防聯邦購買法規補充 (DFARS) 子句,套用到所有 DoD 的承包商,其適用于處理、儲存或傳輸「涵蓋國防資訊」(透過其資訊系統)的所有承包商。 這項規則規定這類系統必須符合 NIST SP 800-171 中規定的安全性需求、 保護 nonfederal 資訊系統和組織中控制的未分類資訊,或 DoD 簽約官核准的「替代,但同等有效的安全性度量單位」。 而且 DoD 承包商使用外部雲端服務提供者來處理、儲存或傳輸涵蓋的防禦資訊,則此提供者必須符合與 FedRAMP 適中的基準等的安全性需求。

下列 Microsoft Office 365 雲端服務已收到 FedRAMP 中授權,且足以用於 DFARS: Office 365 美國政府及 Office 365 美國政府國防。

此外,在 FedRAMP 認證的界限之外,可供 DoD 承包商處理、儲存或傳輸「涵蓋的防護資訊」所使用的 Microsoft 服務,都在進行審閱,以符合2017年12月31日的合規性期限。 Microsoft 正致力於記錄這些內部及客戶對等服務如何符合 NIST SP 800-171 或可接受的安全性對等專案,以符合 DFARS 相關條款。

使用 Microsoft 合規性管理員來評估風險

Microsoft 合規性管理員Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源