FedRAMP 概述
美國聯邦風險與授權管理計畫 (FedRAMP) 提供一套標準化方法,用於根據《聯邦資訊安全管理法》 (FISMA) ,評估、監控及授權雲端運算產品與服務。 它加速聯邦機構採用安全雲端解決方案。
管理與預算辦公室現要求所有聯邦行政機構必須使用 FedRAMP 來驗證雲端服務的安全性。 其他機構也採用了這個系統,因此在公共部門的其他領域也很有用。 國家標準與技術研究院(NIST) () SP 800-53 制定了強制性標準。 它建立了資訊系統的安全類別——機密性、完整性與可用性——以評估若資訊與資訊系統遭到入侵,對組織可能產生的影響。 FedRAMP 是認證雲端服務提供商 CSP () 符合這些標準的計畫。
希望向聯邦機構銷售服務的CSP可採取三種途徑來證明符合FedRAMP:
- 從聯合授權委員會 ( (JAB) 取得臨時授權P-ATO) 營運權限。 JAB 是 FedRAMP 的主要治理與決策機構。 國防部、國土安全部及總務管理局的代表也擔任董事會成員。 委員會會核發給證明符合 FedRAMP 規範的 CSP。
- 從聯邦機構獲得 (ATO) 的營運授權。
- 獨立開發符合計畫要求的CSP自發套件。
每條路徑都需要由FedRAMP計畫管理辦公室 (PMO) 嚴格的技術審查,以及該計畫認可的獨立第三方組織進行評估。
根據 NIST 指引,FedRAMP 授權依據三個影響等級授予——低、中、高。 這些層級對組織的保密性、完整性或可用性喪失可能造成的影響進行排序——低 (有限影響) ,中等 (嚴重不良影響) ,以及高 (嚴重或災難性影響) 。
Microsoft 和 FedRAMP
Microsoft 的政府雲端服務,包括 Azure Government、Dynamics 365 政府及Office 365美國政府,均符合美國聯邦風險與授權管理計畫(FCP) (FedRAMP) 的嚴格要求。 美國聯邦機構受益於 Microsoft 雲端的成本節省與嚴謹的安全防護。
Microsoft 政府雲端服務為公共部門客戶提供豐富且符合 FedRAMP 規範的服務,並提供強大的指導與實施工具,包括 FedRAMP High 藍圖,協助客戶部署一套核心政策,適用於必須實作 FedRAMP High 控制的 Azure 架構。
Microsoft 範圍內的雲端平台與服務
- Azure 和 Azure Government
- Dynamics 365 美國政府
- Intune
- Office 365 (美國政府,美國政府 - 高階,美國政府國防)
- Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
- Windows 365 (美國政府,美國政府 - 高)
Azure, Dynamics 365, and FedRAMP
欲了解更多關於 Azure、Dynamics 365 及其他線上服務合規的資訊,請參閱 Azure FedRAMP 服務。
Office 365 與 FedRAMP
- Office 365美國政府 (GCC和GCCH) 擁有來自美國機構的ATOs。 欲了解更多資訊,請參閱 FedRAMP 市場中 GCC 與 GCCH 的條目。
- Office 365美國政府國防部擁有美國國防資訊系統署(US Defense Information Systems Agency) (DISA) 的P-ATO授權。 如果你想部署 Office 365 美國政府防衛,你可以使用 DISA P-ATO 來產生一個機構 ATO,以證明你接受該服務。
Office 365 環境
Microsoft Office 365 是一個多租戶超大規模雲端平台,為全球多個地區的客戶提供整合的應用程式與服務體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可以將客戶資料複製到同一地理區域內的其他區域, (例如資料韌性美國) ,但Microsoft不會複製選定地理區域外的客戶資料。
本節涵蓋以下 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府版 社區雲 (GCC) :在 FedRAMP 市場中以 Office 365 (商業) 名上市,亦稱為 Office 365 Multitenant,以及 GCC 環境。 Office 365 GCC 雲端服務可供美國聯邦、州、地方及部落政府,以及代表美國政府持有或處理資料的承包商使用。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織有責任確保遵守所有適用的法律與法規。 本節所提供的資訊不構成法律建議。 如有關於貴組織法規遵循的任何疑問,請諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| GCC | 活動訂閱服務、Bing 服務、預約、Delve、Exchange Online、Exchange Online Protection、基礎架構、智慧服務、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務、Office 使用報告、商務用 OneDrive、人員卡片、SharePoint Online、商務用 Skype、Windows Ink |
| GCC High | 活動訂閱服務、Bing 服務、預約、Exchange Online、Exchange Online Protection、智慧服務、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務基礎架構、Office 使用報告、商務用 OneDrive、人員卡片、SharePoint Online、商務用 Skype、Windows Ink |
| DoD | 活動訂閱服務、Bing 服務、預約、Exchange Online Protection、Exchange Online、智慧服務、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務基礎架構、Office 使用報告、商務用 OneDrive、人員卡片、SharePoint Online、商務用 Skype、Windows Ink |
Office 365 稽核、報告和認證
Microsoft 每年都會重新認證其雲端服務,以維持其 P-ATO 和 ATOs。 為此,Microsoft 持續監控並評估其安全控管措施,並證明其服務的安全性符合法規。
常見問題集
Microsoft雲端服務是否符合《聯邦資訊安全管理法》 (FISMA) ?
FISMA 是聯邦法律,要求美國聯邦機構及其合作夥伴只能從遵守 FISMA 規定的組織採購資訊系統與服務。 大多數表示符合 FISMA 規範的機構及其供應商,是指他們如何符合 NIST 在特別出版物 800-53 修訂版第 4 版中所識別的控制措施。 FISMA 流程 (但未) 底層標準本身,於 2011 年被 FedRAMP 取代。
FedRAMP 適用於哪些人?
FedRAMP 是聯邦機構雲端部署與服務模式在低至中度風險影響等級的強制性要求。 任何想要聘用CSP的聯邦機構,都可能需要符合FedRAMP的規範。 此外,採用雲端技術於聯邦政府產品或服務的公司,可能還需取得ATO。
我的機構從哪裡開始自己的合規工作?
欲了解聯邦機構成功通過FedRAMP並符合其要求所必須採取的步驟,請參閱 Rev5 Agency授權。
我可以在我機構的授權流程中使用 Microsoft 合規嗎?
是。 您可以將 Microsoft 雲端服務的認證作為任何需要聯邦政府機構 ATO 的計畫或計畫的基礎。 不過,你需要自己取得這些服務外的零件授權。
使用 Microsoft Purview 合規管理工具來評估您的風險
Microsoft Purview 合規管理工具 是 Microsoft Purview 入口網站 中的一項功能,幫助您了解組織的合規狀況並採取措施降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。