刑事司法信息服务 (CJIS)

美国联邦调查局 (FBI) 刑事司法信息服务 (CJIS) 部门为联邦、州和地方机构提供了有关如何在使用 Google Cloud 等云服务提供商 (CSP) 时保护刑事司法信息 (CJI)。

Google Cloud 通过适用于 Google Cloud 的 Assured Workloads 和适用于 Google Workspace 的安全管控提供安全控制措施，保护和存储 CJI。执法机构可为适用范围内的 Google Cloud 服务实施这些控制措施，以符合 CJIS 安全政策。

Google 的 CJIS 合规性

FBI CJIS 计划办公室发布了许多工件，针对保护 CJI 提供了具体指导。主要文档是 FBI CJIS 安全政策，其中详细介绍了保护 CJI 的最低安全要求集。

FBI 还提供了 CJIS 要求与 NIST SP 800-53 修订版 4 中安全控制措施的对应关系。

所有支持 CJIS 的 Google Cloud 服务都能够满足保护 CJI 所必需的要求。Google 还收到了来自独立第三方评估员的证明，确认符合 FBI 映射中包含的 NIST 800-53 控制措施的要求。

请通过我们的联系表单与 Google Cloud 销售团队联系，详细了解 Google 的 CJIS 合规性。

Google 的 CJIS 功能

通过 Assured Workloads 和安全管控提供的 CJIS 范围服务，可实现 CJIS 安全控制机制并允许客户使用 Google Cloud 和 Google Workspace 的功能以满足其业务需求。

州、地方和联邦执法机构以及刑事司法机构（及其承包商）可以使用这些服务来：

设置保护措施，将 CJIS 工作负载限制在美国境内
将技术支持人员限制为位于美国并由 Google 和州 CJIS 机构筛选的美国人
在静态和传输中强制执行 FIPS-140-2 合规加密
使用客户管理的加密密钥 (CMEK)
实施人员访问权限控制
实施开发者合规性限制和逻辑细分，以满足 CJIS 要求等

虽然美国的所有 Google Cloud 员工都要接受 Google 背景调查，但 Google 了解 CJI 数据的敏感性。正因如此，Google Cloud 与客户合作，将技术支持人员限制为已完成 CJIS 安全政策规定的基于指纹的 FBI 背景调查和犯罪背景调查的美国人员。

州还可以提供自己的已获批准的背景调查流程，以确保客户能够控制谁可以支持 CJI。

CJIS 安全政策 v5.9.1 和 v5.9.2 中的重要更新

FBI 于 2022 年底将 CJIS 安全政策从 v5.9.0 更新为 v5.9.2。您可以在 FBI 发布的要求随附文档中查看变更内容。

最新的政策包含几个方面的重大更新。具体而言，与媒体保护、人员过滤、身份和访问权限管理、认知度和培训以及系统和信息完整性相关的指南已更新，现在与 NIST 800-53 控制措施的相关性更密切。

关于这些变化，也有一些常见的误解。附录 G.3（存在于先前版本的政策中）会在场景 2 中指定，当 CSP 的环境中解密 CJI 时，任何能够访问该环境的管理人员都必须“接受 CJIS 安全政策中所述的安全意识培训和人员安全控制措施”。即使 CJIS 机构保留对加密密钥的控制权，也是如此。

为了全面保护客户，Google 会使用客户管理的加密密钥 (CMEK) 和人员安全控制措施，将拥有 CJI 访问权限的人员限制为美国境内已获授权并符合 CJIS 安全政策要求的美国人。

符合 CJIS 要求的 Google Cloud 服务

BigQuery

Cloud Key Management Service

Google Kubernetes Engine

Identity and Access Management

Persistent Disk

Pub/Sub

Virtual Private Cloud

常见问题解答

处理 CJI 的实体（例如 Google Cloud）必须在希望使用实体服务来保护 CJI 的州执行 CJIS 安全附录。本附录是美国总检察长批准的模板化协议，承诺 Google Cloud 维护符合 CJIS 要求的安全计划。

您还可以参阅 CJIS 安全政策，详细了解您的代理机构必须如何保护 CJI 的整个生命周期。

Google Cloud 致力于与州政府和地方政府合作，为 CJIS 工作负载提供支持。虽然客户可以使用 Google Cloud 在美国运行包含 CJI 的工作负载，但 Google Cloud 有权在以下州保护 CJI：

佛罗里达

马萨诸塞州

俄克拉荷马

宾夕法尼亚

田纳西

犹他

请通过我们的联系表单与您所在州的 Google Cloud Platform 销售团队联系，以开始此流程并获取 Google Cloud CJIS 安全附录的访问权限。

本附录为客户提供有关 Google Cloud 如何满足 CJIS 安全政策、各方的责任、涵盖哪些云服务以及许多其他重要规定的详细信息。

Google 与州 CJIS 系统代理机构 (CSA) 或 CJIS 安全官 (CSO) 签署了 CJIS 安全附录；您可以向 Google 或您所在州的 CSA 或 CSO 索取副本。

此外，Google 还可以为客户提供由独立审核机构准备的合规性报告，以便他们验证 Google 是否已实施适用于相关审核范围的安全控制机制（例如 NIST、ISO、SOC）。

客户可以审核 Google 的安全控制措施，以验证其是否符合 CJIS 安全政策的要求。

符合。客户可以针对我们的关键服务在美国配置资源，Google 将只根据我们的服务特定条款将您的静态数据存储在选定的区域。

Google 已对公有云基础架构投入了分层式安全方法，提供了加密和强大的人员数据访问权限控制等功能。这为满足 CJIS 安全政策的严格要求提供了强大的安全状况，同时也使客户能够利用公有云的持续产品创新。

Google 实施的上述控制措施（以及许多其他控制措施）符合 FedRAMP 中等风险级别和 FedRAMP 高级别要求，并且已获得联合授权委员会 (JAB) 的认可。

不会 - 由于 Google 提供客户管理的加密密钥和限制 CJI 访问的人员数据访问权限控制，因此 Google Cloud 上的 CJIS 不需要机密计算。

但是，除了 Google 为 CJIS 客户提供的安全和受限环境之外，客户仍可以将机密计算用作补充的安全控制措施。

Google Cloud 在我们的生产环境中使用名为 BoringCrypto（证书 3678）的经过 FIPS 140-2（请参阅 FIPS 140-2 合规性页面）验证的加密模块。这意味着，传输中的数据（传输给客户的数据以及数据中心之间传输的数据）和静态数据默认使用 FIPS 140-2 验证的加密方法进行加密。

通过 FIPS 140-2 验证的这个模块属于我们的 BoringSSL 库。这样，客户可以在从各种 Cloud Key Management 产品（例如 Google 管理的密钥、客户管理的加密密钥、外部密钥管理）进行选择时保持 FIPS 合规性。由于 Google Cloud 默认对静态数据和传输中的数据使用此级别的加密，因此客户可以继承 FIPS 140-2 加密，并且无需在 FIPS 模式下运行产品和服务。