刑事司法資訊服務 (CJIS)

美國聯邦調查局 (FBI) 刑事司法資訊服務 (CJIS) 部門為聯邦、州政府和當地機構提供指引，說明如何在使用 Google Cloud 等雲端服務供應商 (CSP) 時，保護刑事司法相關資訊 (CJI)。

Google Cloud 提供安全性控管功能，可讓您透過 Google Cloud 的 Assured Workloads 和 Google Workspace 安全控管保護及儲存 CJI。執法機關可針對這些範圍內的 Google Cloud 服務導入這些控制項，以符合 CJIS 安全性政策規範。

Google 的 CJIS 法規遵循

FBI CJIS Program Office 已發布許多成果，可提供保護 CJI 的具體指引。主要文件《FBI CJIS 安全性政策》詳列了保護 CJI 時必須符合的最低安全性要求。另外，FBI 也提供 CJIS 規範與 NIST SP 800-53 的安全性控制項對照表。

Google Cloud Platform 和 Google Workspace 客戶可使用 Assured Workloads 和安全控管，遵循 CJIS 安全性政策。如要進一步瞭解 Google 的 CJIS 法規遵循資訊，請透過聯絡表單與 Google Cloud 銷售團隊聯絡。

在 Google Cloud 中託管 CJIS 工作負載

Google Cloud 在自家基礎架構預設的安全防護功能上投入資源，確保內建及預先設定安全性控管機制，讓客戶無須使用傳統獨立的政府雲端架構，也能達成各種法規遵循等級。

如果客戶想要使用 Google Cloud 部署 CJIS 解決方案，可以運用 Assured Workloads 來遵守 CJIS 安全性政策。Assured Workloads 讓客戶使用 Google Cloud 服務，安心地設定機密工作負載並確保安全性，藉此滿足法規遵循與安全性需求。與公有雲端資料中心不同，Assured Workloads 不採用實體基礎架構，而是提供具有成本、速度和創新優勢的軟體定義社群雲端。

Assured Workloads 能讓您透過 Assured Workloads 監控，掌握 CJIS 工作負載的法規遵循狀態。這項工具可協助貴機構找出並解決違反法規的問題，以及為貴機構的法規遵循狀態稽核人員提供控管認證。

除了 Google Cloud 基礎架構符合的控管規範外，州、地方和聯邦執法機關和刑事司法機關 (及其承包商) 也可以使用 Assured Workloads 執行下列作業：

設定防護機制，限制 CJIS 工作負載儲存在美國境內，
實施人員安全措施和存取控制，限制 CJI 的存取對象為美國境內已完成州指紋型 FBI 背景調查和犯罪背景調查的美國自然人，
針對靜態資料和傳輸中的資料強制執行 FIPS-140-2 加密機制等，
使用客戶自行管理的加密金鑰 (CMEK)。
導入邏輯控管機制，將網路和使用者與範圍內的機密資料加以區隔。

在工作區中託管 CJIS 工作負載

Google Workspace 安全控管能協助您滿足機構和法規遵循需求，包括限制 Google 員工存取客戶資料，或決定客戶資料的靜態儲存位置。

如果客戶想要使用 Google Workspace 部署 CJIS 解決方案，可以運用安全控管功能，根據 CJIS 安全性政策設定政策。如需 Google Workspace 的 CJIS 解決方案設定指南，請按這裡。

除了對 Google Workspace 基礎架構符合的控管規範外，州/省、地方及聯邦執法機關和刑事司法機關 (及其承包商) 也可以使用安全控管功能，達成下列目標：

設定防護機制，限制 CJIS 工作負載儲存在美國境內，
實施人員安全措施和存取控制，限制 CJI 的存取對象為美國境內已完成州指紋型 FBI 背景調查和犯罪背景調查的美國自然人。
針對靜態資料和傳輸中的資料強制執行 FIPS-140-2 加密機制等。

屬於 CJIS 適用範圍的 Google Cloud 服務

Google Cloud Platform

Google Workspace

Gmail，

常見問題

如何在我所在州啟動 CJIS 安全附加條款程序？

處理 CJI的實體 (例如 Google Cloud) 必須執行州級的 CJIS 安全性附加條款，以便透過該實體的服務保護 CJI。本「附加條款」是獲得美國檢察長核准的協議範本，旨在向客戶詳細說明 Google Cloud 如何遵守 CJIS 安全性政策、各方的責任、涵蓋的雲端服務，以及許多其他重要條款。

請透過聯絡表單與您所在州的 Google Cloud Platform 銷售團隊聯絡，以便展開這項程序，並取得《Google Cloud CJIS 安全性附加條款》。

Google 如何證明其雲端服務確實符合我所在州的要求？

Google 與州級 CJIS 系統局 (CSA) 或 CJIS 安全長 (CSO) 簽署 CJIS 安全性附加條款；您可以向 Google 或您所在州的 CSA 或 CSO 索取副本。

此外，Google 也會向 CJIS 客戶提供全方位的控制論述，說明 Google Cloud 如何協助客戶滿足 CJIS 法規遵循要求，符合 FBI 對應的技術控管規範。

請來信至 cjis@google.com 取得 Google 的 CJIS 對照表副本。

Google 如何確保只有獲得授權的人員支援 CJI？

在 Google 員工可能在無人陪同下存取未加密 CJI 的州，Google 會與各州主管機關合作，確保可能在無人陪同下存取該州未加密 CJI 的人員於該州接受 CJIS 背景調查 (除了 FBI 的國家犯罪歷史報告以外）。符合資格的 Google 人員會將 FD-258 指紋卡及任何必要文件提交給各主管機關。

此流程可確保獲得授權的人員只有在完成背景調查和 CJIS 安全意識訓練後，才會授予無人陪同的存取權。

CJIS 是否需要機密運算？

Google 提供客戶自行管理的加密金鑰和人員資料存取權控管功能，藉此限制 CJI 存取權，因此對 Google Cloud 中的 CJIS 來說，並不需要使用機密運算。

不過，客戶還是可以使用機密運算在 Google 為 CJIS 客戶提供的安全受限制環境中，做為補充安全性控管機制。

Google Cloud Platform 可以將資料儲存在美國地區嗎？

是，客戶可以為主要服務設定位於美國的資源，Google 會依據《服務專屬條款》僅將您的靜態資料儲存在選定的區域中。

Google 會使用經 FIPS 140-2 驗證的加密嗎？

在正式環境中，Google Cloud 使用通過 FIPS 140-2 (請參閱 FIPS 140-2 法規遵循頁面) 驗證的加密模組，名為 BoringCrypto (認證編號 3678)。也就是說，傳輸中的資料 (無論是傳輸至用戶端的資料或在資料中心之間傳輸) 和靜態資料，都會預設以 FIPS 140-2 驗證的加密技術進行加密。

通過 FIPS 140-2 驗證的模組屬於我們 BoringSSL 程式庫的一部分，客戶可以透過多種 Cloud Key Management 服務 (例如 Google 代管的金鑰、客戶自行管理的加密金鑰與外部金鑰管理) 維持 FIPS 法規遵循。由於 Google Cloud 預設將此層級的加密用於靜態資料和傳輸中的資料，因此客戶可以沿用 FIPS 140-2 加密，不必在 FIPS 模式下執行產品和服務。