美國國稅局出版物1075概述
國稅局出版物1075 (國稅局1075) 為美國政府機關及其代理人在存取聯邦稅務資訊 (FTI) 時,提供指引,確保他們使用政策、實務及控制措施來保護其機密性。 IRS 1075 旨在降低外部政府機關持有的 FTI 遺失、違規或濫用的風險。 例如,處理居民報稅時FTI的州稅務局,或取得FTI的醫療服務機構,必須有相關計畫來保障這些資訊。
為保護FTI,IRS 1075規定了應用、平台及資料中心服務的安全與隱私控制。 例如,它優先保障資料中心活動的安全,例如正確處理FTI,以及對資料中心承包商的監督,以限制入侵。 為確保接受FTI的政府機關能執行這些管制,國稅局設立了保障計畫,包含對這些機構及其承包商的定期審查。
Microsoft與美國國稅局出版物1075
Microsoft Azure Government 與 Microsoft Office 365 美國政府雲端服務提供合約承諾,確保其具備適當的控管措施,以及 Microsoft 機構客戶符合 IRS 1075 實質要求所需的安全能力。
這些 Microsoft 為政府提供的雲端服務,提供一個平台,讓客戶能建置並操作其解決方案,但客戶必須自行判斷這些特定解決方案是否依照 IRS 1075 運作,因此是否需接受 IRS 審計。
為了協助政府機關進行合規工作,Microsoft:
- 提供詳細指引,協助機關了解其責任,以及各種國稅局控制如何對應 Azure Government 與 Office 365 美國政府的功能。 IRS 1075 保障安全報告 (SSR) 詳細記錄了Microsoft服務如何實施適用的國稅局管制,並基於美國政府Azure Government Office 365 FedRAMP套件。 由於 IRS 1075 與 FedRAMP 皆基於 NIST 800-53,IRS 1075 的合規邊界與 FedRAMP 授權相同。
- 任何國稅局保障文件的發布必須經國稅局明確批准,因此只有根據保密協議(NDA)的政府客戶才能審查SSR。
- 提供由獨立評估者產生的審計報告及監控資訊,供其雲端服務使用。
- 向IRS Azure Government合規考量及Office 365美國政府合規考量提供說明,說明機構如何以符合IRS 1075方式的方式,利用Microsoft雲端提供政府服務。 根據NDA的政府客戶可申請這些文件。
- 提供客戶自費 () 必要時與Microsoft主題專家或外部稽核人員溝通的機會。
Microsoft 範圍內的雲端平台與服務
根據NIST指引,FedRAMP授權分為三個影響等級——低、中、高。 這些等級是對失去機密性、完整性或可用性可能對組織造成的影響的排名——低 (有限影響) ,中等 (嚴重不良影響) ,以及高 (嚴重或災難性影響) 。
- Azure 和 Azure Government
- Dynamics 365 美國政府
- Office 365,Office 365 美國政府
- Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
- Windows 365 (美國政府)
Azure, Dynamics 365, and IRS 1075
欲了解更多關於 Azure、Dynamics 365 及其他線上服務合規的資訊,請參閱 Azure IRS 1075 服務。
Office 365 與 IRS 1075
Office 365 環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋以下 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| GCC | 活動訂閱服務、Bing 服務、Delve、Exchange Online Protection、Exchange Online、智慧服務、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務基礎架構、Office 使用報告、商務用 OneDrive、人員卡,SharePoint Online、商務用 Skype、Windows Ink |
Office 365 稽核、報告和認證
FedRAMP每年審計涵蓋IRS 1075實質要求的合規性。
常見問題集
Microsoft 如何回應 IRS 1075 的要求?
Microsoft 定期監控其安全、隱私與營運控制,以及 FedRAMP 基準對中度影響資訊系統所需的 NIST 800-53 第4版控制。 它透過持續監測報告,提供季度存取這些資訊。 Azure Government 及 Office 365 美國政府客戶可透過服務信任入口網站存取這些敏感的合規資訊。
此外,Microsoft 承諾將 IRS 1075 控制措施納入其 Azure Government 與 Office 365 美國政府的主控管集,並每年對其進行審計。
我可以查看 FedRAMP 套件或系統安全計畫嗎?
是的,前提是你的組織符合 Azure Government 和 Office 365 美國政府的資格要求。 請直接聯絡您的 Microsoft 帳戶代表以檢視這些文件。 您也可以參考 FedRAMP 合規的雲端服務提供商名單。
我可以使用 Azure 或 Office 365 的公有雲環境,同時仍符合 IRS 1075 規定嗎?
符合資格要求的客戶可在 Azure Government 或 Office 365 政府版社群雲中儲存及/或處理聯邦稅務資訊。 若客戶管理兩項控制措施,也能在商業Azure中儲存及/或處理聯邦稅務資訊;將資料儲存限制於美國,並透過經 FIPS 140 驗證的硬體安全模組 (HSM) 實施客戶管理金鑰 (CMK) 加密。
使用 Microsoft Purview 合規管理工具來評估您的風險
Microsoft Purview 合規管理工具 是 Microsoft Purview 入口網站 中的一項功能,幫助您了解組織的合規狀況並採取措施降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。