DFARS) (美國聯邦採購法規補充
DFARS 概觀
在 2016 年 10 月 21 日,美國國防部 (DoD) 發佈其最終規則,修改美國聯邦採購法規補充 (DFARS) ,並對資訊系統處理、儲存或傳輸涵蓋的防禦資訊 (CDI) 的防禦承包商實施保護和網路事件報告義務。
最終 DFARS 子句 252.204-7012 (保護涵蓋的防禦資訊和網路事件報告) 指定保護措施,以包含網路事件報告需求和雲端服務提供者的其他考慮。 根據 DFARS 252.204-7012,所有 DoD 承包商和防禦產業基底都必須符合 DFARS 需求,以獲得適當的安全性「一切實際,但不晚於 2017 年 12 月 31 日」。
Microsoft 和 DFARS
Microsoft Government 雲端服務可協助 美國 防禦產業基礎和防禦承包商客戶符合 DFARS 需求,如適用於雲端服務提供者的 252.204-7012 DFARS 子句中所列舉。 當需要防禦承包商遵守合約中的 DFARS 條款 252.204-7012 時,Microsoft 可以支援適用於 Azure Government 和 Office 365 美國政府防禦服務的雲端服務提供者需求。 這兩項服務都示範支援客戶透過美國國防部安全性需求指南的 L5 認證來遵守 DFARS 7012 條款所需的功能。
Microsoft 範圍內雲端平台與服務
DoD 影響等級 5 的涵蓋服務
- Azure 和 Azure Government
- Office 365 美國政府與 Office 365 美國政府防禦
Azure、Dynamics 365 和 DFARS
如需 Azure、Dynamics 365 和其他 線上服務 合規性的詳細資訊,請參閱 Azure DFARS 供應專案。
Office 365和 DFARS
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| GCC | Microsoft Entra 標識符、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性 附加元件、Office 365安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream |
| GCC High | Microsoft Entra 標識碼、Exchange Online、表單、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性 附加元件、Office 365 安全性 & 合規性中心、Office Online、OfficePro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype |
| DoD | Microsoft Entra 標識碼、Exchange Online、表單、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性 附加元件、Office 365 安全性 & 合規性中心、Office Online、OfficePro Plus、商務用 OneDrive、Planner、Power BI、SharePoint Online 商務用 Skype |
Office 365 稽核、報告和認證
常見問題集
美國政府 Office 365 支援哪些 DFARS 需求?
Office 365 美國政府防禦可讓我們的防禦產業基礎和防禦承包商客戶符合 DFARS 需求,如適用於雲端服務提供者的 252.204-7012 DFARS 子句中所列舉。
是否已驗證 Office 365 美國政府防禦支援 DFARS 需求的獨立評估者?
是,第三方評定組織證明 Office 365 美國政府防禦雲端服務供應專案符合 DFARS 子句 252.204-7012 的適用需求, (保護未分類的受控技術資訊) 。
控件未分類資訊 (CUI) 與涵蓋的防禦資訊 (CDI) 之間有何關聯性?
CUI 是需要根據法律、法規或整個政府的原則來保護或傳播控件的資訊。 CUI 登錄會識別核准的 CUI 類別和子類別。
CDI 是受控制的技術資訊或其他資訊 (如 CUI 登錄) 中所述,需要保護或傳播控制,而且為:
- 在合約、工作順序或遞送訂單中標記或以其他方式識別,並透過合約的效能或代表 DoD 提供給承包商,
- 由或代表承包商收集、開發、接收、傳輸、使用或儲存,以支援合約的效能
所有 Microsoft Office 365 服務是否都符合 DFARS 規定下的「涵蓋的防禦資訊」適用的「適當安全性」需求?
在 2016 年 10 月,美國國防部 (DoD) 制定最終規則,以實作美國聯邦採購法規補充 (DFARS) 子句,這些條款會套用至所有透過資訊系統處理、儲存或傳輸「涵蓋的防禦資訊」的 DoD 承包商。 此規則指出這類系統必須符合 NIST SP 800-171、 保護非同盟資訊系統和組織中受控未分類資訊中所述的安全性需求,或是 DoD 合約主管核准的「替代但同樣有效的安全性措施」。 此外,如果 DoD 承包商使用外部雲端服務提供者來處理、儲存或傳輸涵蓋的防禦資訊,這類提供者必須符合相當於 FedRAMP Moderate 基準的安全性需求。
下列 Microsoft Office 365 雲端服務已收到 FedRAMP 中等授權,且適用於 DFARS:Office 365 美國政府,以及 Office 365 美國政府防禦。
此外,可能由 DoD 承包商用來處理、儲存或傳輸「涵蓋的防禦資訊」的 FedRAMP 認證界限外的 Microsoft 供應專案,正在進行檢閱,以符合 2017 年 12 月 31 日的合規性期限。 Microsoft 正致力於記錄這些內部和面向客戶的服務如何符合 NIST SP 800-171 或可接受的安全性對等專案,以符合 DFARS 相關條款。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。
資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應