NIST SP 800-171
关于 NIST SP 800-171
美国国家标准与技术研究院 (NIST) 促进和维护测量标准和准则,以帮助保护联邦机构的信息和信息系统。 为了响应关于 (CUI) 管理受控未分类信息的行政命令 13556,它发布了 NIST SP 800-171, 保护非联邦信息系统和组织中的受控未分类信息。 CUI 定义为由政府 (或代表其) 实体创建的数字和物理信息,该信息虽然未分类,但仍是敏感且需要保护的。
NIST SP 800-171 最初于 2015 年 6 月发布,此后已多次更新,以应对不断发展的网络威胁。 它提供了有关如何在非联邦信息系统和组织中安全访问、传输和存储 CUI 的指南:其要求分为四个main类别:
- 用于管理和保护的控件和流程
- 监视和管理 IT 系统
- 明确最终用户的做法和过程
- 实施技术和物理安全措施
Microsoft 和 NIST SP 800-171
经认证的第三方评估组织 Kratos Secureinfo 和 Coalfire 与 Microsoft 合作,证明其范围内的云服务在处理 CUI 时符合 NIST SP 800-171、 保护受控未分类信息 (CUI) 中的条件。 Microsoft 实施 FedRAMP 要求有助于确保 Microsoft 范围内云服务使用已有的系统和做法满足或超过 NIST SP 800-171 的要求。
NIST SP 800-171 要求是 NIST SP 800-53 的子集,这是 FedRAMP 使用的标准。 NIST SP 800-171 的附录 D 提供了其 CUI 安全要求与 NIST SP 800-53 中的相关安全控制措施的直接映射,其范围内云服务已根据 FedRAMP 计划进行评估和授权。
处理或存储美国政府 CUI 的任何实体(研究机构、咨询公司、制造承包商)必须遵守 NIST SP 800-171 的严格要求。 此证明意味着 Microsoft 范围内的云服务可以容纳希望部署 CUI 工作负载的客户,同时确保 Microsoft 完全合规。 例如,在其信息系统中使用范围内的 Microsoft 云服务处理、存储或传输“涵盖的防御信息”的所有 DoD 承包商都符合美国国防部 DFARS 条款,这些条款要求符合 NIST SP 800-171 的安全要求。
Microsoft 范围内的云平台和云服务
- Azure 商业版、Azure 政府
- 美国政府Dynamics 365
- Intune
- Office 365美国政府社区云 (GCC) 、Office 365 GCC High 和 DoD
- 请注意,Office 365商业版不包括在针对 NIST 800-171 进行的第三方审核中,并且不在范围内。
Azure、Dynamics 365 和 NIST SP 800-171
有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure NIST SP 800-171 产品/服务。
Office 365 和 NIST SP 800-171
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| GCC | 活动源服务、必应服务、Delve、Exchange Online、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business、人员卡、SharePoint OnlineSkype for Business、Windows Ink |
| GCC 高级 | 活动源服务、必应服务、Exchange Online、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business、人员卡、SharePoint OnlineSkype for Business、Windows Ink |
| DoD | 活动源服务、必应服务、Exchange Online、智能服务、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business、人员卡、Microsoft Teams、SharePoint OnlineSkype for Business、Windows Ink |
常见问题解答
是否可以为组织使用 Microsoft 符合 NIST SP 800-171?
能。 Microsoft 客户可以使用独立第三方评估组织的报告中描述的审核控制措施, (3PAO) FedRAMP 标准,作为其自己的 FedRAMP 和 NIST 风险分析和限定工作的一部分。 这些报告证明 Microsoft 在其范围内云服务中实施的控制措施的有效性。 客户负责确保其 CUI 工作负载符合 NIST SP 800-171 准则。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。