美国国税局出版物 1075

美国国税局出版物 1075 概述

美国国税局出版物 1075 (IRS 1075) 为访问联邦税务信息 (FTI) 的美国政府机构及其代理提供指导,以确保他们使用策略、做法和控制来保护其机密性。 IRS 1075 旨在最大程度地降低外部政府机构持有的 FTI 丢失、违反或滥用的风险。 例如,在居民的纳税申报表中处理 FTI 的州税务局,或访问 FTI 的卫生服务机构,必须制定计划来保护该信息。

为了保护 FTI,IRS 1075 为应用程序、平台和数据中心服务规定了安全和隐私控制。 例如,它优先考虑数据中心活动的安全性,例如正确处理 FTI,以及监督数据中心承包商以限制进入。 为确保接受 FTI 的政府机构适用这些控制措施,国税局制定了保障计划,其中包括对这些机构及其承包商的定期审查。

Microsoft和美国国税局出版物 1075

Microsoft Azure 政府和Microsoft Office 365美国政府云服务提供合同承诺,即它们具有适当的控制措施,以及Microsoft代理客户满足 IRS 1075 实质性要求所需的安全功能。

这些Microsoft政府云服务提供了一个平台,客户可以在该平台上生成和操作其解决方案,但客户必须自行确定这些特定解决方案是否按照 IRS 1075 运行,因此需要接受 IRS 审核。

为了帮助政府机构执行合规性工作,Microsoft:

  • 提供详细的指导,帮助机构了解其职责,以及各种 IRS 控制措施如何映射到Azure 政府和Office 365美国政府的功能。 IRS 1075 保障安全报告 (SSR) 全面记录了Microsoft服务如何实施适用的 IRS 控制措施,并基于Azure 政府和Office 365美国政府的 FedRAMP 包。 由于 IRS 1075 和 FedRAMP 都基于 NIST 800-53,因此 IRS 1075 的符合性边界与 FedRAMP 授权相同。
  • IRS 必须明确批准任何 IRS 安全措施文件的发布,因此只有 NDA 下的政府客户才能查看 SSR。
  • 提供独立评估人员为其云服务生成的审核报告和监视信息。
  • 向 IRS Azure 政府合规性注意事项和Office 365美国政府合规性注意事项提供,其中概述了机构如何以符合 IRS 1075 标准的方式将 Microsoft 云用于政府服务。 NDA 下的政府客户可以请求这些文件。
  • 为客户提供 () 与Microsoft行业专家或外部审核员(如果需要)进行沟通的机会。

Microsoft 范围内的云平台和云服务

FedRAMP 授权根据 NIST 指南在三个影响级别授予 -- 低、中和高。 这些对丢失机密性、完整性或可用性可能对组织造成的影响进行排名:低 (有限影响) 、中等 (严重不利影响) ,以及) (严重或灾难性影响高。

  • Azure 与 Azure 政府
  • 美国政府Dynamics 365
  • Office 365,Office 365美国政府
  • Power BI 云服务,作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供
  • Windows 365 (美国政府)

Azure、Dynamics 365和 IRS 1075

有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure IRS 1075 产品/服务

Office 365 和 IRS 1075

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
GCC 活动源服务、必应服务、Delve、Exchange Online Protection、Exchange Online、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business、人员Card、SharePoint Online、Skype for Business、Windows Ink

Office 365 审核、报告及证书

FedRAMP 审计每年涵盖 IRS 1075 实质性要求的遵守情况。

常见问题解答

Microsoft如何满足 IRS 1075 的要求?

Microsoft定期监视其安全性、隐私和操作控制措施,以及 FedRAMP 中等影响信息系统基线所需的 NIST 800-53 rev. 4 控制措施。 它通过持续监视报告提供对此信息的季度访问。 Azure 政府和Office 365美国政府客户可以通过服务信任门户访问此敏感的合规性信息。

此外,Microsoft还承诺将 IRS 1075 控制措施纳入其针对Azure 政府和Office 365美国政府的主控制措施集中,并每年对它们进行审计。

是否可以查看 FedRAMP 包或系统安全计划?

是的,如果你的组织满足Azure 政府和Office 365美国政府的资格要求。 请直接与Microsoft客户代表联系,查看这些文档。 还可以参阅符合要求的云服务提供商的 FedRAMP 列表。

是否可以使用 Azure 或 Office 365公有云环境,但仍符合 IRS 1075?

满足资格要求的客户可以在 Azure 政府 或 Office 365 政府版 Community Cloud 中存储和/或处理联邦税务信息。 如果这些客户管理两个控制措施,则还可以在 Azure 商业版中存储和/或处理联邦税务信息:将数据存储限制为美国,并通过 FIPS 140 验证的硬件安全模块实现客户管理的密钥 (CMK) 加密, (HSM) 在其控制下。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源