刑事司法資訊服務 (CJIS)

美國聯邦調查局 (FBI) 刑事司法資訊服務 (CJIS) 部門為聯邦、州政府和當地機構提供指引,說明如何在使用 Google Cloud 等雲端服務供應商 (CSP) 時,保護刑事司法相關資訊 (CJI)。

Google Cloud 提供安全性控管功能,可讓您透過 Google Cloud 的 Assured WorkloadsGoogle Workspace 安全控管保護及儲存 CJI。執法機關可針對這些範圍內的 Google Cloud 服務導入這些控制項,以符合 CJIS 安全性政策規範。

Google 的 CJIS 法規遵循

FBI CJIS Program Office 已發布許多成果,可提供保護 CJI 的具體指引。主要文件《FBI CJIS 安全性政策》詳列了保護 CJI 時必須符合的最低安全性要求。另外,FBI 也提供 CJIS 規範與 NIST SP 800-53 的安全性控制項對照表

Google Cloud Platform 和 Google Workspace 客戶可使用 Assured Workloads安全控管,遵循 CJIS 安全性政策。如要進一步瞭解 Google 的 CJIS 法規遵循資訊,請透過聯絡表單與 Google Cloud 銷售團隊聯絡。

在 Google Cloud 中託管 CJIS 工作負載

Google Cloud 在自家基礎架構預設的安全防護功能上投入資源,確保內建及預先設定安全性控管機制,讓客戶無須使用傳統獨立的政府雲端架構,也能達成各種法規遵循等級。

如果客戶想要使用 Google Cloud 部署 CJIS 解決方案,可以運用 Assured Workloads 來遵守 CJIS 安全性政策。Assured Workloads 讓客戶使用 Google Cloud 服務,安心地設定機密工作負載並確保安全性,藉此滿足法規遵循與安全性需求。與公有雲端資料中心不同,Assured Workloads 不採用實體基礎架構,而是提供具有成本、速度和創新優勢的軟體定義社群雲端。

Assured Workloads 能讓您透過 Assured Workloads 監控,掌握 CJIS 工作負載的法規遵循狀態。這項工具可協助貴機構找出並解決違反法規的問題,以及為貴機構的法規遵循狀態稽核人員提供控管認證。

除了 Google Cloud 基礎架構符合的控管規範外,州、地方和聯邦執法機關和刑事司法機關 (及其承包商) 也可以使用 Assured Workloads 執行下列作業:

  • 設定防護機制,限制 CJIS 工作負載儲存在美國境內,
  • 實施人員安全措施和存取控制,限制 CJI 的存取對象為美國境內已完成州指紋型 FBI 背景調查和犯罪背景調查的美國自然人,
  • 針對靜態資料和傳輸中的資料強制執行 FIPS-140-2 加密機制等,
  • 使用客戶自行管理的加密金鑰 (CMEK)。
  • 導入邏輯控管機制,將網路和使用者與範圍內的機密資料加以區隔。

在工作區中託管 CJIS 工作負載

Google Workspace 安全控管能協助您滿足機構和法規遵循需求,包括限制 Google 員工存取客戶資料,或決定客戶資料的靜態儲存位置。

如果客戶想要使用 Google Workspace 部署 CJIS 解決方案,可以運用安全控管功能,根據 CJIS 安全性政策設定政策。如需 Google Workspace 的 CJIS 解決方案設定指南,請按這裡

除了對 Google Workspace 基礎架構符合的控管規範外,州/省、地方及聯邦執法機關和刑事司法機關 (及其承包商) 也可以使用安全控管功能,達成下列目標:

  • 設定防護機制,限制 CJIS 工作負載儲存在美國境內,
  • 實施人員安全措施和存取控制,限制 CJI 的存取對象為美國境內已完成州指紋型 FBI 背景調查和犯罪背景調查的美國自然人。
  • 針對靜態資料和傳輸中的資料強制執行 FIPS-140-2 加密機制等。

常見問題

處理 CJI的實體 (例如 Google Cloud) 必須執行州級的 CJIS 安全性附加條款,以便透過該實體的服務保護 CJI。本「附加條款」是獲得美國檢察長核准的協議範本,旨在向客戶詳細說明 Google Cloud 如何遵守 CJIS 安全性政策、各方的責任、涵蓋的雲端服務,以及許多其他重要條款。

請透過聯絡表單與您所在州的 Google Cloud Platform 銷售團隊聯絡,以便展開這項程序,並取得《Google Cloud CJIS 安全性附加條款》。

Google 與州級 CJIS 系統局 (CSA) 或 CJIS 安全長 (CSO) 簽署 CJIS 安全性附加條款;您可以向 Google 或您所在州的 CSA 或 CSO 索取副本。

此外,Google 也會向 CJIS 客戶提供全方位的控制論述,說明 Google Cloud 如何協助客戶滿足 CJIS 法規遵循要求,符合 FBI 對應的技術控管規範。

請來信至 cjis@google.com 取得 Google 的 CJIS 對照表副本。

在 Google 員工可能在無人陪同下存取未加密 CJI 的州,Google 會與各州主管機關合作,確保可能在無人陪同下存取該州未加密 CJI 的人員於該州接受 CJIS 背景調查 (除了 FBI 的國家犯罪歷史報告以外)。符合資格的 Google 人員會將 FD-258 指紋卡及任何必要文件提交給各主管機關。

此流程可確保獲得授權的人員只有在完成背景調查和 CJIS 安全意識訓練後,才會授予無人陪同的存取權。

Google 提供客戶自行管理的加密金鑰和人員資料存取權控管功能,藉此限制 CJI 存取權,因此對 Google Cloud 中的 CJIS 來說,並不需要使用機密運算。

不過,客戶還是可以使用機密運算在 Google 為 CJIS 客戶提供的安全受限制環境中,做為補充安全性控管機制。

是,客戶可以為主要服務設定位於美國的資源,Google 會依據《服務專屬條款》僅將您的靜態資料儲存在選定的區域中。

在正式環境中,Google Cloud 使用通過 FIPS 140-2 (請參閱 FIPS 140-2 法規遵循頁面) 驗證的加密模組,名為 BoringCrypto (認證編號 3678)。也就是說,傳輸中的資料 (無論是傳輸至用戶端的資料或在資料中心之間傳輸) 和靜態資料,都會預設以 FIPS 140-2 驗證的加密技術進行加密。

通過 FIPS 140-2 驗證的模組屬於我們 BoringSSL 程式庫的一部分,客戶可以透過多種 Cloud Key Management 服務 (例如 Google 代管的金鑰、客戶自行管理的加密金鑰與外部金鑰管理) 維持 FIPS 法規遵循。由於 Google Cloud 預設將此層級的加密用於靜態資料和傳輸中的資料,因此客戶可以沿用 FIPS 140-2 加密,不必在 FIPS 模式下執行產品和服務。

Google 投資了其公有雲基礎架構的分層式安全防護機制,提供加密功能和強大的人員資料存取權控管等功能。這提供了符合 CJIS 安全政策嚴苛要求所需的強大的安全防護機制,同時讓客戶得以利用公有雲的持續產品創新。

Google 實作上述控制項 (以及許多其他控管機制) 均符合 FedRAMP 中等風險和 FedRAMP 高等風險規範,並已獲得聯合授權委員會 (JAB) 認可。

展開下一步行動

運用價值 $300 美元的免費抵免額和超過 20 項一律免費的產品,開始在 Google Cloud 中建構產品與服務。

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
控制台
Google Cloud