国防部 (DoD) 影响级别 2 (IL2)

DoD IL2 概述

美国国防部信息系统局 (DISA) 是美国国防部 (国防部) 的一个机构,负责开发和维护 DoD 云计算 安全要求指南 (SRG) 。 SRG 定义了 DoD 用于评估云服务提供商 (CSP) 的安全状况的基线安全要求,支持授予允许 CSP 托管 DoD 任务的 DoD 临时授权 (PA) 的决定。 它合并、取代和撤销以前发布的 DoD 云安全模型 (CSM) ,并映射到 DoD 风险管理框架 (RMF) 。

DISA 指导 DoD 机构和部门规划和授权 CSP 的使用。 它还评估 CSP 产品/服务是否符合 SRG,SRG 是一个授权过程,CSP 可以通过该流程提供文档来概述其是否符合 DoD 标准。 它会在适当时) (PAs 颁发 DoD 临时授权,因此 DoD 机构和支持组织可以使用云服务,而无需自行完成完全审批过程,从而节省时间和精力。

2014 年 12 月 15 日 DoD CIO关于获取和使用商业云计算服务的更新指南备忘录指出,“FedRAMP 将作为所有 DoD 云服务的最低安全基线”。 SRG 在所有信息影响级别使用 FedRAMP 中等基线, (IL) ,并在某些方面考虑高基线。

SRG 第 5.1.1 节DoD 使用 FedRAMP 安全控制 规定,IL2 信息可以托管在一个 CSP 中,该 CSP 最小保留 FedRAMP 中等 PA 和 DoD 级别 2 PA,但须符合第 5.6.2 节中所述的人员安全要求。 但是,此方法不会缓解 CSP 无法满足任务所有者要求的其他安全和集成要求。 根据 SRG 第 5.2.2.1 节影响级别 2 位置和分离要求,DoD IL2 PA 由 FedRAMP 中等 PA 充分涵盖,因此不会针对 IL2 PA 额外评估这些要求。

Microsoft 范围内的云平台和云服务

  • Azure
  • Dynamics 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Graph
  • Microsoft Intune
  • Microsoft Stream
  • Office 365 美国政府版、Office 365 美国政府版 - 高
  • Power Apps
  • Power Automate
  • Power BI

Azure、Dynamics 365 和 DoD IL2

有关 Azure、Dynamics 365 和其他联机服务符合性的详细信息,请参阅 Azure DoD IL2 产品/服务

Office 365 和 DoD IL2

Office 365 环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下 Office 365 环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
GCC 活动源服务、必应服务、预订、Delve、Exchange Online、Exchange Online Protection、基础结构、智能服务、Microsoft Teams、Office 365 客户门户、Office Online、Office 服务、Office 使用情况报告、OneDrive for Business、People Card、SharePoint Online、Skype for Business、Windows Ink
GCC 高级 活动源服务、必应服务、预订、Exchange Online、Exchange Online Protection、智能服务、Microsoft Teams、Office 365 客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business、People Card、SharePoint Online、Skype for Business、Windows Ink

资源