刑事司法資訊服務 (CJIS)
美國聯邦調查局 (FBI) 刑事司法資訊服務 (CJIS) 部門為聯邦、州政府和當地機構提供指引,說明如何在使用 Google Cloud 等雲端服務供應商 (CSP) 時,保護刑事司法相關資訊 (CJI)。
Google Cloud 提供安全性控管功能,可讓您透過 Google Cloud 的 Assured Workloads 和 Google Workspace 安全控管保護及儲存 CJI。執法機關可針對這些範圍內的 Google Cloud 服務導入這些控制項,以符合 CJIS 安全性政策規範。
Google 的 CJIS 法規遵循
FBI CJIS Program Office 已發布許多成果,可提供保護 CJI 的具體指引。主要文件是《FBI CJIS 安全性政策》,其中詳述了保護和維護 CJI 所需的最低安全性需求。
另外,FBI 也提供 CJIS 規範與 NIST SP 800-53 修訂版本 4 的安全性控制項對照表。
所有支援 CJIS 的 Google Cloud 服務都符合保護 CJI 所需的規定。此外,Google 也經過獨立第三方評估機構的認證,確認我們確實遵循 FBI 對照表內含的 NIST 800-53 控制項。
如要進一步瞭解 Google 的 CJIS 法規遵循事宜,請透過聯絡表單與 Google Cloud 銷售團隊聯絡。
Google 的 CJIS 功能
透過 Assured Workloads 和安全控管導入 CJIS 安全性控管機制。可提供 CJIS 範圍的服務,並讓客戶可以使用 Google Cloud 和 Google Workspace 的功能,以便滿足業務需求。
州、地方和聯邦執法機關和刑事司法機關 (及其承包商) 可以使用這些服務,進行以下工作:
- 設定防護機制,藉此將 CJIS 工作負載限制為美國。
- 將技術支援人員限縮為美國境內的美國自然人/法人,並經 Google 和州級 CJIS 機構審核。
- 強制實行符合 FIPS-140-2 規範的靜態和傳輸中的加密機制。
- 使用客戶自行管理的加密金鑰 (CMEK)。
- 實作人員存取權控管機制。
- 強制執行開發人員法規遵循限制和邏輯區隔,以便支援 CJIS 規定等。
美國所有 Google Cloud 員工都必須接受 Google 背景調查,而 Google 會辨識 CJI 資料的機密性。因此,Google Cloud 與客戶合作,僅限美國境內已完成 CJIS 安全性政策規定的指紋 FBI 背景調查和刑事背景調查的人員提供技術支援。
美國各州也可以提供該州已核准的背景調查程序,確保客戶能夠掌控可以支援 CJI 的人員。
CJIS 安全性政策 5.9.1 版和 5.9.2 版的重要更新
FBI 在 2022 年下半年,將 CJIS 安全性政策從 5.9.0 版更新至 5.9.2 版。您可以前往 FBI 發布的規定隨附文件查看變更。
最新的政策包含數個部分的重要更新。具體來說,我們已密切根據 NIST 800-53 控制項,更新媒體保護措施、人員篩查、身分與存取權管理、相關意識和訓練,以及系統和資訊完整性等方面的指引。
這些變動的部分也有一些常見誤解。附錄 G.3 (已列入舊版政策) 在情境 2 中指出,在 CSP 的環境中解密 CJI 時,任何可以存取環境的管理人員必須「遵守 CJIS 安全性政策中所述的安全性安全性訓練和人員安全性控管措施」。即使 CJIS 機構負責管理加密金鑰,也是如此。
為了讓客戶享有完整的保護,Google 使用客戶自行管理的加密金鑰 (CMEK) 和人員安全性控管機制,只限位於美國境內,且獲得授權並符合 CJIS 安全性政策規定的美國自然人/法人存取 CJI。