跳至

刑事司法資訊服務 (CJIS)

美國聯邦調查局 (FBI) 刑事司法資訊服務 (CJIS) 部門為聯邦、州政府和當地機構提供指引,說明如何在使用 Google Cloud 等雲端服務供應商 (CSP) 時,保護刑事司法相關資訊 (CJI)。

Google Cloud 提供安全性控管功能,可讓您透過 Google Cloud 的 Assured WorkloadsGoogle Workspace 安全控管保護及儲存 CJI。執法機關可針對這些範圍內的 Google Cloud 服務導入這些控制項,以符合 CJIS 安全性政策規範。

Google 的 CJIS 法規遵循

FBI CJIS Program Office 已發布許多成果,可提供保護 CJI 的具體指引。主要文件是《FBI CJIS 安全性政策》,其中詳述了保護和維護 CJI 所需的最低安全性需求。

另外,FBI 也提供 CJIS 規範與 NIST SP 800-53 修訂版本 4 的安全性控制項對照表

所有支援 CJIS 的 Google Cloud 服務都符合保護 CJI 所需的規定。此外,Google 也經過獨立第三方評估機構的認證,確認我們確實遵循 FBI 對照表內含的 NIST 800-53 控制項。

如要進一步瞭解 Google 的 CJIS 法規遵循事宜,請透過聯絡表單與 Google Cloud 銷售團隊聯絡。

Google 的 CJIS 功能

透過 Assured Workloads安全控管導入 CJIS 安全性控管機制。可提供 CJIS 範圍的服務,並讓客戶可以使用 Google Cloud 和 Google Workspace 的功能,以便滿足業務需求。

州、地方和聯邦執法機關和刑事司法機關 (及其承包商) 可以使用這些服務,進行以下工作:

  1. 設定防護機制,藉此將 CJIS 工作負載限制為美國。
  2. 將技術支援人員限縮為美國境內的美國自然人/法人,並經 Google 和州級 CJIS 機構審核。
  3. 強制實行符合 FIPS-140-2 規範的靜態和傳輸中的加密機制。
  4. 使用客戶自行管理的加密金鑰 (CMEK)。
  5. 實作人員存取權控管機制。
  6. 強制執行開發人員法規遵循限制和邏輯區隔,以便支援 CJIS 規定等。

美國所有 Google Cloud 員工都必須接受 Google 背景調查,而 Google 會辨識 CJI 資料的機密性。因此,Google Cloud 與客戶合作,僅限美國境內已完成 CJIS 安全性政策規定的指紋 FBI 背景調查和刑事背景調查的人員提供技術支援。

美國各州也可以提供該州已核准的背景調查程序,確保客戶能夠掌控可以支援 CJI 的人員。

CJIS 安全性政策 5.9.1 版和 5.9.2 版的重要更新

FBI 在 2022 年下半年,將 CJIS 安全性政策從 5.9.0 版更新至 5.9.2 版。您可以前往 FBI 發布的規定隨附文件查看變更。

最新的政策包含數個部分的重要更新。具體來說,我們已密切根據 NIST 800-53 控制項,更新媒體保護措施、人員篩查、身分與存取權管理、相關意識和訓練,以及系統和資訊完整性等方面的指引。

這些變動的部分也有一些常見誤解。附錄 G.3 (已列入舊版政策) 在情境 2 中指出,在 CSP 的環境中解密 CJI 時,任何可以存取環境的管理人員必須「遵守 CJIS 安全性政策中所述的安全性安全性訓練和人員安全性控管措施」。即使 CJIS 機構負責管理加密金鑰,也是如此。

為了讓客戶享有完整的保護,Google 使用客戶自行管理的加密金鑰 (CMEK) 和人員安全性控管機制,只限位於美國境內,且獲得授權並符合 CJIS 安全性政策規定的美國自然人/法人存取 CJI。

常見問題

處理 CJI的實體 (例如 Google Cloud) 必須執行州級的 CJIS 安全性附加條款,以便透過該實體的服務保護 CJI。該「附加條款」是經過美國司法部長核准的協議範本,認可 Google Cloud 提供符合 CJIS 規範的安全性計畫。

您也可以參閱 CJIS 安全性政策,進一步瞭解貴機構必須如何保護 CJI 的完整生命週期。

Google Cloud 與州政府和地方政府合作,支援 CJIS 工作負載。雖然客戶可以透過 Google Cloud 在美國境內執行含有 CJI 的工作負載,但 Google Cloud 已獲得授權,可在下列州保護 CJI:

佛羅里達州

麻薩諸塞州

奧克拉荷馬州

賓夕法尼亞州

田納西州

猶他州

請透過聯絡表單與您所在州的 Google Cloud Platform 銷售團隊聯絡,開始進行相關程序,並取得 Google Cloud CJIS 安全性附加條款的存取權。

此附加條款為客戶提供詳細資訊,說明 Google Cloud 如何遵循 CJIS 安全性政策、各方的責任、涵蓋哪些雲端服務,以及其他許多重要條款。

Google 與州級 CJIS 系統局 (CSA) 或 CJIS 安全長 (CSO) 簽署 CJIS 安全性附加條款;您可以向 Google 或您所在州的 CSA 或 CSO 索取副本。

此外,Google 向客戶提供獨立稽核單位提供的法規遵循報告,方便客戶驗證 Google 已根據相關稽核範圍實作適當的安全控管機制 (例如 NIST、ISO、SOC)。

客戶可以稽核 Google 的安全性控制項,確認其符合 CJIS 安全性政策的規定。

是,客戶可以為主要服務設定位於美國的資源,Google 會依據《服務專屬條款》僅將您的靜態資料儲存在選定的區域中。

Google 投資了其公有雲基礎架構的分層式安全防護機制,提供加密功能和強大的人員資料存取權控管等功能。如此一來,您就能獲得實現 CJIS 安全性政策規定的嚴格防護措施,同時也能讓客戶持續使用公有雲的產品創新功能。

Google 實作上述控管機制 (及其他許多項目) 符合 FedRAMP 中等風險和 FedRAMP 高等風險規範,而且獲得聯合授權委員會 (JAB) 的認可。

Google 提供客戶自行管理的加密金鑰和人員資料存取權控管功能,藉此限制 CJI 存取權,因此對 Google Cloud 中的 CJIS 來說,並不需要使用機密運算。

不過,客戶還是可以使用機密運算在 Google 為 CJIS 客戶提供的安全受限制環境中,做為補充安全性控管機制。

在實際工作環境中,Google Cloud 使用通過 FIPS 140-2 (請參閱 FIPS 140-2 法規遵循頁面) 驗證的加密模組,名為 BoringCrypto (認證編號 3678)。也就是說,傳輸中的資料 (無論是傳輸至用戶端的資料或在資料中心之間傳輸) 和靜態資料,都會預設以 FIPS 140-2 驗證的加密技術進行加密。

通過 FIPS 140-2 驗證的模組屬於我們 BoringSSL 程式庫的一部分,客戶可以透過多種 Cloud Key Management 服務 (例如 Google 代管的金鑰、客戶自行管理的加密金鑰與外部金鑰管理) 維持 FIPS 法規遵循。由於 Google Cloud 預設將此層級的加密用於靜態資料和傳輸中的資料,因此客戶可以沿用 FIPS 140-2 加密,不必在 FIPS 模式下執行產品和服務。