刑事司法信息服务 (CJIS) 安全策略

CJIS 概述

美国联邦调查局 (联邦调查局的刑事司法信息服务 (CJIS) 司) 允许州、地方和联邦执法和刑事司法机构 (CJI) 获取刑事司法信息。 例如,CJI 包括指纹记录和犯罪历史。 美国中的执法部门和其他政府机构必须确保其使用云服务来传输、存储或处理 CJI 符合 CJIS 安全策略,该策略规定了保护 CJI 的最低安全要求和控制措施。

CJIS 安全政策整合了总统和 FBI 指令、联邦法律和刑事司法界咨询政策委员会的决定,以及国家标准与技术研究所 (NIST) 的指导。 策略会定期更新,以反映不断变化的安全要求。

CJIS 安全策略定义了专用承包商(如云服务提供商)必须评估的 13 个领域,以确定他们对云服务的使用是否符合 CJIS 要求。 这些领域与 NIST 800-53 密切相关,NIST 800-53 也是 联邦风险和授权管理计划 (FedRAMP) Microsoft的基础。

此外,处理 CJI 的所有私人承包商都必须签署 CJIS 安全附录,这是美国总检察长批准的统一协议,有助于确保安全策略要求的 CJI 安全性和机密性。 它还承诺承包商维护符合联邦和州法律、法规和标准的安全计划,并将 CJI 的使用限制在政府机构提供的目的。

Microsoft和 CJIS 安全策略

Microsoft在具有 CJIS 信息协议的州签署 CJIS 安全附录。 这些内容告知负责遵守 CJIS 安全策略的州执法部门Microsoft的云安全控制如何帮助保护数据的整个生命周期,并确保对有权访问 CJI 的操作人员进行适当的背景筛选。 Microsoft继续与州政府合作,签订CJIS信息协议。

Microsoft已经评估了Microsoft Azure 政府、Microsoft Office 365美国政府和美国政府Microsoft Dynamics 365的操作政策和程序,并将证明他们在适用的服务协议中有能力满足联邦调查局对使用范围内服务的要求。

Microsoft 范围内的云平台和云服务

  • Azure 政府
  • 美国政府Dynamics 365
  • Office 365美国政府
  • 作为Office 365 政府版社区云品牌计划或套件的一部分的 Power BI 云服务

Azure、Dynamics 365和 CJIS

有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure CJIS 产品/服务

Office 365和 CJIS

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
GCC Microsoft Entra ID、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics Office 365 高级合规版 加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream

Office 365 审核、报告及证书

FBI 不提供Microsoft符合 CJIS 要求的认证。 相反,Microsoft证明包含在Microsoft与州 CJIS 机构之间的协议中,以及Microsoft与其客户之间的协议中。

截至 2024 年 9 月 27 日) 美国 (当前 CJIS 状态

CJIS 管理协议涉及 47 个州和哥伦比亚特区的刑事司法机构:

阿拉巴马州、阿拉斯加州、亚利桑那州、阿肯色州、加利福尼亚州、科罗拉多州、康涅狄格州、佛罗里达州、佐治亚州、夏威夷、爱达荷州、伊利诺伊州、印第安纳州、爱荷华州、堪萨斯州、肯塔基州 路易斯安那州、缅因州、马里兰州、马萨诸塞州、密歇根州、明尼苏达州、密西西比州、密苏里州、蒙大拿州、内布拉斯加州、内华达州、新泽西州、新墨西哥州、纽约、北卡罗来纳州、北达科他州、俄亥俄州、俄克拉荷马州、俄勒冈州、宾夕法尼亚州、罗得岛、南卡罗来纳州、田纳西州、得克萨斯州、犹他州、佛蒙特州、弗吉尼亚州、华盛顿州、西弗吉尼亚州、威斯康星州、 和哥伦比亚特区。

Microsoft承诺满足适用的 CJIS 法规控制措施,使刑事司法组织能够实施基于云的解决方案,并符合 CJIS 安全策略 v5.9.5。

常见问题解答

在哪里可以请求合规性信息?

请联系Microsoft客户代表,了解有关您感兴趣的司法管辖区的信息。 有关哪些服务当前在哪些州可用的信息,请联系 cjis@microsoft.com

Microsoft如何证明其云服务符合我州的要求?

Microsoft与国家 CJIS 系统局 (CSA) 签署信息协议;可以从该州的 CSA 请求副本。 此外,Microsoft为客户提供深入的安全性、隐私和合规性信息。 客户还可以查看由独立审核员准备的安全和合规性报告,以便验证Microsoft是否 (实施了安全控制措施,例如 ISO 27001) 适合相关审核范围。

从何处着手开展代理的合规性工作?

CJIS 安全策略 涵盖机构为保护 CJI 而必须采取的预防措施。 此外,你的Microsoft客户代表可以让你联系那些熟悉你司法管辖区要求的人。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源