다음을 통해 공유


미국 국세청 발행물 1075

미국 국세청 발행물 1075 개요

국세청 발행물 1075(IRS 1075)는 미국 정부 기관 및 FTI(연방 세금 정보)에 액세스하는 에이전트에 대한 지침을 제공하여 정책, 관행 및 제어를 사용하여 기밀성을 보호할 수 있도록 합니다. IRS 1075는 외부 정부 기관이 보유한 FTI의 손실, 위반 또는 오용 위험을 최소화하는 것을 목표로 합니다. 예를 들어 거주자 또는 FTI에 액세스하는 보건 서비스 기관에 대한 세금 신고서에서 FTI를 처리하는 주 국세청에는 해당 정보를 보호하기 위한 프로그램이 있어야 합니다.

FTI를 보호하기 위해 IRS 1075는 애플리케이션, 플랫폼 및 데이터 센터 서비스에 대한 보안 및 개인 정보 제어를 규정합니다. instance 경우 FTI의 적절한 처리 및 진입을 제한하는 데이터 센터 계약자의 감독과 같은 데이터 센터 활동의 보안 우선 순위를 지정합니다. FTI를 받는 정부 기관이 이러한 통제를 적용할 수 있도록 국세청은 이러한 기관과 계약자에 대한 정기적인 검토를 포함하는 세이프가드 프로그램을 설립했습니다.

Microsoft 및 미국 국세청 발행물 1075

Microsoft Azure Government 및 Microsoft Office 365 미국 정부 클라우드 서비스는 적절한 제어를 갖추고 있으며 Microsoft 에이전시 고객이 IRS 1075의 실질적인 요구 사항을 충족하는 데 필요한 보안 기능을 가지고 있다는 계약 약정을 제공합니다.

정부용 Microsoft 클라우드 서비스는 고객이 솔루션을 빌드하고 운영할 수 있는 플랫폼을 제공하지만, 고객은 이러한 특정 솔루션이 IRS 1075에 따라 운영되는지 여부를 스스로 결정해야 하므로 IRS 감사가 적용됩니다.

정부 기관의 규정 준수 노력을 돕기 위해 Microsoft:

  • 기관이 책임을 이해하고 다양한 IRS 제어가 미국 정부의 기능에 매핑되는 방식을 이해하는 데 도움이 되는 자세한 지침을 Azure Government Office 365. IRS 1075 SSR(세이프가드 보안 보고서)은 Microsoft 서비스가 해당 IRS 제어를 구현하는 방법을 철저히 문서화하고 미국 정부의 Azure Government 및 Office 365 FedRAMP 패키지를 기반으로 합니다. IRS 1075와 FedRAMP는 모두 NIST 800-53을 기반으로 하므로 IRS 1075의 준수 경계는 FedRAMP 권한 부여와 동일합니다.
  • 국세청은 IRS 세이프가드 문서의 릴리스를 명시적으로 승인해야 하므로 NDA 미만의 정부 고객만 SSR을 검토할 수 있습니다.
  • 클라우드 서비스에 대해 독립적인 평가자가 생성한 감사 보고서 및 모니터링 정보를 제공합니다.
  • IRS Azure Government 규정 준수 고려 사항 및 Office 365 미국 정부 규정 준수 고려 사항을 제공합니다. 이 고려 사항은 기관이 IRS 1075를 준수하는 방식으로 정부용 Microsoft 클라우드 서비스를 사용하는 방법을 간략하게 설명합니다. NDA에 따라 정부 고객은 이러한 문서를 요청할 수 있습니다.
  • 필요한 경우 고객에게 Microsoft 주제 전문가 또는 외부 감사자와 통신할 수 있는 기회를 제공합니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

FedRAMP 권한 부여는 NIST 지침(낮음, 중간 및 높음)에 따라 세 가지 영향 수준에서 부여됩니다. 이러한 순위는 기밀성, 무결성 또는 가용성 손실이 낮은(제한된 효과), 중간(심각한 부작용) 및 높음(심각하거나 치명적인 영향)의 organization 미칠 수 있는 영향의 순위를 매겼습니다.

  • Azure 및 Azure Government
  • Dynamics 365 미국 정부
  • Office 365, Office 365 미국 정부
  • 독립형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power BI 클라우드 서비스
  • Windows 365(미국 정부)

Azure, Dynamics 365 및 IRS 1075

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure IRS 1075 제품을 참조하세요.

Office 365 및 IRS 1075

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
GCC 활동 피드 서비스, Bing Services, Delve, Exchange Online Protection, Exchange Online, 지능형 서비스, Microsoft Teams, Office 365 고객 포털, Office Online, Office 서비스 인프라, Office 사용 현황 보고서, 비즈니스용 OneDrive, 사람 카드, SharePoint Online, 비즈니스용 Skype, Windows Ink

Office 365 감사, 보고서 및 인증서

IRS 1075의 실질적인 요구 사항을 준수하는 것은 매년 FedRAMP 감사에서 다룹니다.

질문과 대답

Microsoft는 IRS 1075의 요구 사항을 어떻게 해결하나요?

Microsoft는 정기적으로 보안, 개인 정보 보호 및 운영 제어 및 NIST 800-53 rev를 모니터링합니다. 중간 영향 정보 시스템에 대한 FedRAMP 기준에 필요한 4개의 컨트롤입니다. 지속적인 모니터링 보고서를 통해 이 정보에 분기별로 액세스할 수 있습니다. Azure Government 및 Office 365 미국 정부 고객은 Service Trust Portal을 통해 이 중요한 규정 준수 정보에 액세스할 수 있습니다.

또한 Microsoft는 미국 정부 Azure Government 및 Office 365 대한 master 제어 집합에 IRS 1075 컨트롤을 포함하고 매년 이에 대한 감사를 약속했습니다.

FedRAMP 패키지 또는 시스템 보안 계획을 검토할 수 있나요?

예, organization Azure Government 및 Office 365 미국 정부에 대한 자격 요구 사항을 충족하는 경우. 이러한 문서를 검토하려면 Microsoft 계정 담당자에게 직접 문의하세요. 규정 준수 클라우드 서비스 공급자의 FedRAMP 목록을 참조할 수도 있습니다.

Azure 또는 Office 365 퍼블릭 클라우드 환경을 사용하고 여전히 IRS 1075를 준수할 수 있나요?

자격 요구 사항을 충족하는 고객은 Azure Government 또는 Office 365 Government Community Cloud에 연방 세금 정보를 저장 및/또는 처리할 수 있습니다. 이러한 고객은 두 가지 컨트롤을 관리하는 경우 Azure Commercial에 연방 세금 정보를 저장 및/또는 처리할 수도 있습니다. 데이터 스토리지를 미국 제한하고 해당 제어 하에 FIPS 140 유효성이 검사된 HSM(하드웨어 보안 모듈)을 통해 CMK(고객 관리형 키) 암호화를 구현합니다.

Microsoft Purview 준수 관리자를 사용하여 위험 평가

Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스