US Internal Revenue Service Veröffentlichung 1075

US Internal Revenue Service Veröffentlichung 1075 Übersicht

Internal Revenue Service Publication 1075 (IRS 1075) bietet Anleitungen für US-Regierungsbehörden und deren Agenten, die auf Bundessteuerinformationen (Federal Tax Information, FTI) zugreifen, um sicherzustellen, dass sie Richtlinien, Praktiken und Kontrollen verwenden, um deren Vertraulichkeit zu schützen. IRS 1075 zielt darauf ab, das Risiko von Verlust, Verletzung oder Missbrauch von FTI durch externe Regierungsbehörden zu minimieren. Beispielsweise muss ein staatliches Finanzministerium, das FTI in Steuererklärungen für seine Einwohner verarbeitet, oder gesundheitsdienstlichen Stellen, die auf FTI zugreifen, über Programme verfügen, um diese Informationen zu schützen.

Zum Schutz von FTI schreibt IRS 1075 Sicherheits- und Datenschutzkontrollen für Anwendungs-, Plattform- und Rechenzentrumsdienste vor. Für instance priorisiert es die Sicherheit von Rechenzentrumsaktivitäten, z. B. die ordnungsgemäße Behandlung von FTI und die Aufsicht von Rechenzentrumsauftragnehmern, um den Eintritt zu beschränken. Um sicherzustellen, dass Regierungsbehörden, die FTI erhalten, diese Kontrollen anwenden, hat die IRS das Schutzprogramm eingerichtet, das regelmäßige Überprüfungen dieser Agenturen und ihrer Auftragnehmer umfasst.

Microsoft und US Internal Revenue Service Veröffentlichung 1075

Clouddienste von Microsoft Azure Government und Microsoft Office 365 US-Regierung bieten eine vertragliche Verpflichtung, dass sie über die entsprechenden Kontrollen und die Sicherheitsfunktionen verfügen, die für Microsoft-Behördenkunden erforderlich sind, um die materiellen Anforderungen von IRS 1075 zu erfüllen.

Diese Microsoft-Clouddienste für Behörden bieten eine Plattform, auf der Kunden ihre Lösungen erstellen und betreiben können. Kunden müssen jedoch selbst bestimmen, ob diese spezifischen Lösungen gemäß IRS 1075 betrieben werden und daher der IRS-Überwachung unterliegen.

Microsoft unterstützt Regierungsbehörden bei ihren Compliance-Bemühungen:

  • Bietet detaillierte Anleitungen, die Behörden dabei helfen, ihre Zuständigkeiten zu verstehen und wie verschiedene IRS-Kontrollen funktionen in Azure Government und Office 365 US-Regierung zugeordnet werden. Der IRS 1075 Safeguard Security Report (SSR) dokumentiert ausführlich, wie Microsoft-Dienste die anwendbaren IRS-Kontrollen implementieren, und basiert auf den FedRAMP-Paketen von Azure Government und Office 365 US-Regierung. Da sowohl IRS 1075 als auch FedRAMP auf NIST 800-53 basieren, entspricht die Konformitätsgrenze für IRS 1075 der FedRAMP-Autorisierung.
  • Der IRS muss die Veröffentlichung aller IRS-Sicherheitsbestimmungen explizit genehmigen, damit nur Regierungskunden unter NDA die SSR überprüfen können.
  • Stellt Überwachungsberichte und Überwachungsinformationen zur Verfügung, die von unabhängigen Gutachtern für ihre Clouddienste erstellt wurden.
  • Stellt im IRS Azure Government Compliance Considerations and Office 365 U.S. Government Considerations (Überlegungen zur Einhaltung der Konformität von US-Behörden) bereit, in denen beschrieben wird, wie eine Behörde Microsoft Cloud for Government-Dienste auf eine Weise verwenden kann, die IRS 1075 entspricht. Behördenkunden unter NDA können diese Dokumente anfordern.
  • Bietet Kunden die Möglichkeit (auf ihre Kosten), bei Bedarf mit Microsoft-Experten oder externen Prüfern zu kommunizieren.

Zu Microsoft gehörende Cloudplattformen und -dienste

FedRAMP-Autorisierungen werden auf der Grundlage von NIST-Richtlinien mit drei Auswirkungsstufen erteilt: niedrig, mittel und hoch. Diese bewerten die Auswirkungen, die der Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit auf eine organization haben könnte – niedrig (begrenzte Wirkung), mittel (schwerwiegende nachteilige Auswirkungen) und hoch (schwerwiegende oder katastrophale Auswirkungen).

  • Azure und Azure Government
  • Dynamics 365 US-Regierung
  • Office 365, Office 365 US-Regierung
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Office 365 Markenplans oder einer Office 365 Suite
  • Windows 365 (US-Regierung)

Azure, Dynamics 365 und IRS 1075

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure IRS 1075-Angebot.

Office 365 und IRS 1075

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
GCC Aktivitätsfeeddienst, Bing-Dienste, Delve, Exchange Online Protection, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Kundenportal, Office Online, Office-Dienstinfrastruktur, Office-Nutzungsberichte, OneDrive for Business, Personen Card, SharePoint Online, Skype for Business, Windows Ink

Office 365-Audits, -Berichte und -Zertifikate

Die Einhaltung der materiellen Anforderungen von IRS 1075 wird jedes Jahr im Rahmen der FedRAMP-Prüfung abgedeckt.

Häufig gestellte Fragen

Wie erfüllt Microsoft die Anforderungen von IRS 1075?

Microsoft überwacht regelmäßig seine Sicherheits-, Datenschutz- und Betriebskontrollen und NIST 800-53 rev. 4-Kontrollen, die von der FedRAMP-Baseline für Moderate Impact-Informationssysteme erforderlich sind. Sie bietet vierteljährlichen Zugriff auf diese Informationen durch fortlaufende Überwachungsberichte. Azure Government- und Office 365 US-Behördenkunden können über das Service Trust Portal auf diese vertraulichen Konformitätsinformationen zugreifen.

Darüber hinaus hat Microsoft sich verpflichtet, IRS 1075-Kontrollen in seinen master Kontrollsatz für Azure Government und Office 365 US-Regierung einzuschliessen und diese jährlich zu überprüfen.

Kann ich die FedRAMP-Pakete oder den Systemsicherheitsplan überprüfen?

Ja, wenn Ihr organization die Berechtigungsanforderungen für Azure Government und Office 365 US-Regierung erfüllt. Wenden Sie sich direkt an Ihren Microsoft-Kontomitarbeiter, um diese Dokumente zu überprüfen. Sie können auch die FedRAMP-Liste der konformen Clouddienstanbieter lesen.

Kann ich die Azure- oder Office 365 öffentlichen Cloudumgebungen verwenden und trotzdem irs 1075 konform sein?

Kunden, die die Berechtigungsanforderungen erfüllen, können Bundessteuerinformationen in Azure Government oder Office 365 Government Community Cloud speichern und/oder verarbeiten. Diese Kunden können auch Bundessteuerinformationen in Azure Commercial speichern und/oder verarbeiten, wenn sie zwei Kontrollen verwalten. Datenspeicherung auf die USA beschränken und cmk-Verschlüsselung (Customer Managed Key) über FIPS 140-validierte Hardwaresicherheitsmodule (HSMs) unter ihrer Kontrolle implementieren.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen