國防部門 (DoD) 影響層級 5 (IL5)
DoD IL5 概述
國防 Information Systems 機關 (DISA) 是美國國防部 (DoD) 的代理人,負責開發及維護 DoD 雲端電腦 安全性需求指南 (SRG) 。 SRG 會定義 DoD 用以評估雲端服務提供者 (CSP) 的安全性狀態的基準安全性需求,以支援 DoD 臨時授權 (PA) ,允許 CSP 主控 DoD 使命。 它包含、取代和 rescinds 先前發佈的 DoD 雲端安全性模型 (CSM) 和對應至 DoD 風險管理架構 (RMF) 。
DISA 指南 DoD 以規劃及授權使用 CSP 的機構和部門。 它也會評估與 SRG 相容性相關的 CSP 服務,這是一種授權程式,其中 Csp 可以提供檔,以概括顯示其與 DoD 標準的相容性。 在適當的情況下,它會 (PAs) DoD 臨時授權,因此 DoD 的代理商和支援組織可以使用雲端服務,而不必自行進行完整核准程式,節省時間和精力。
根據 SRG Section 3.2 資訊影響層級,IL5 資訊涵蓋:
受管理的未分類資訊 (CUI) 需要更高的保護層級,而不是 IL4 所具備的保護
- CUI登錄會提供由執行的分支所保護的特定資訊類別,例如, CUI 類別清單中包含超過20個類別群組。
- NIST SP 800-171 保護 Nonfederal 系統和組織中受控的未分類資訊 ,供聯邦代理商用於合約或與非聯邦組織建立的其他合約。
本國安全系統 (NSS)
- NIST SP 800-59 , 識別區域安全性系統的資訊系統 提供 NSS 的定義。
- CNSSI 1253 Security 分類和 Control Selection 針對全國的安全性系統,針對 聯邦機關應套用來分類全國安全性資訊的安全性標準提供指導方針。
15 月 2014 DoD 的 CIO 備忘錄,針對 購買和使用商業性雲端計算服務的更新指導 方針,其「FedRAMP 將充當所有 DoD 雲端服務的最低安全性基準。 SRG 會在所有資訊影響層級 (IL) 使用 FedRAMP 適中的基準,並考慮使用高基準。
SRG Section 5.1.1 DoD 使用 FedRAMP 安全性控制 ,說明 FedRAMP 的高 PA (結合 DoD 的 FedRAMP + 控制項和控制項增強功能) (C/CEs) 和 SRG 中的需求,是用來評估 awarding a IL5 的 a DoD PA。 不論使用何種 C/CE 基準做為 FedRAMP 高 PA 的基礎,在 IL5 中取得 DoD PA 之前,必須先評估並核准其他考慮和/或需求。 具體說來, SRG Section 5.1.2 DoD FedRAMP + Security Controls/強化 狀態在表2中,除了 FedRAMP 的高基線之外,還需要10個其他 C/CES,DoD IL5 PA。
此外,根據 SRG 區段 5.2.2.3 IL5 位置和分割性需求,下列需求 (彼此之間的需求) 必須針對第5級的 PA 進行:
- DoD 和聯邦政府承租人/使命之間的虛/邏輯分隔性已足夠。 需要租使用者/使命系統之間的虛擬/邏輯分隔。
- 從非 DoD/非聯邦政府租使用者實際的隔離 ((也就是「公用」、「州政府租使用者) )。
- CSP 會限制對美國公民的 CSP 員工,對 DoD 和社區資訊的潛在存取權。
Microsoft 範圍內雲端平台與服務
- Azure
- Dynamics 365 客戶服務
- 適用於端點的 Microsoft Defender (之前稱為 Microsoft Defender 進階威脅防護)
- Microsoft Graph
- Microsoft Stream
- Office 365 美國政府國防版
- Power Automate (之前稱為 Microsoft Flow)
- Power BI
Azure、Dynamics 365 及 DoD IL5
如需 Azure、Dynamics 365 及其他線上服務規範的詳細資訊,請參閱 Azure DOD IL5service。
Office 365 和 DoD IL5
Office 365 雲端環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 雲端環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| DoD | 活動摘要服務,Bing 服務,Exchange Online,Exchange Online Protection,智慧服務,Microsoft Teams,Office 365 客戶入口網站,Office 線上,Office 服務基礎結構,Office 使用狀況報告、商務用 OneDrive、人員卡片、SharePoint 線上、商務用 Skype Windows Ink |
證明檔
我們的政府客戶可以提交套件存取要求表單,直接從FedRAMP 的 Marketplace Office 365 美國政府國防 FedRAMP 檔。 您必須具有 .gov 或 mil 的電子郵件地址,才能直接從 FedRAMP 存取 FedRAMP 的安全性套件。
選取 [FedRAMP 和 DoD 檔,包括系統安全性計畫 (SSP) 、連續監控報告、動作和里程碑的計畫, (POA & M) (如果有的話),您可以從「服務信任入口網站 審核報告-FedRAMP 報表 」區段中的 [保密協定和暫止的存取授權] 中取得客戶。 請與您的 Microsoft 客戶代表聯繫以取得協助。
資源
- Microsoft 政府解決方案
- DoD 雲端電腦安全性性需求手冊
- FedRAMP 檔
- DoD 指令 8510.01 DoD 風險管理架構 (RMF) DoD 資訊技術 (
- NIST SP 800-37 風險管理架構:資訊系統和組織:系統安全性和隱私權的系統 Life-Cycle 方式
- NIST SP 800-53 的安全性和隱私權控制資訊系統和組織
- 將資訊系統識別為全國安全性系統的 NIST SP 800-59指導方針
- 適用于全國安全性系統的 CNSSI 1253 安全性分類和控制選項
- NIST SP 800-171 保護 Nonfederal 系統和組織中受控未分類的資訊
- 受管理的未分類資訊 (CUI) Registry 和 CUI 類別清單。