刑事司法信息服务 (CJIS)

Access Context Manager

AlloyDB for PostgreSQL

Apigee

Artifact Registry

BigQuery

Certificate Authority Service

Cloud Build

Cloud Composer

Cloud Data Fusion

Cloud DNS

Cloud External Key Manager (Cloud EKM)

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (网络地址转换)

Cloud Router

Cloud Run

Cloud SQL

Cloud Storage

Cloud Vision API

Cloud VPN

Compute Engine

Connect

Dataflow

Dataproc

Filestore

Firestore

GKE Hub

GKE Identity Service

Google 管理控制台

Google Kubernetes Engine

Identity and Access Management

Identity-Aware Proxy

Memorystore for Redis

Network Connectivity Center

永久性磁盘

Pub/Sub

Resource Manager

Secret Manager

Sensitive Data Protection

Service Mesh

Spanner

Speech-to-Text

Text-to-Speech

Vertex AI Search

Vertex AI Workbench

Virtual Private Cloud

VPC Service Controls

日历

文档

云端硬盘

表单

Gmail

Google Chat

Google Meet

新版协作平台

表格

幻灯片

一家独立的第三方评估组织最近对 Google Cloud 的 CJIS 安全控制措施进行了评估，发现 Google Cloud 成功实现了 CJIS 合规性。在 CJIS 安全政策 v6.0 发布后，Google 计划更新此评估。

如果客户或州级 CJIS 系统机构 (CSA) 提出要求，Google Cloud 将执行管理协议，向客户详细说明 Google Cloud 如何实现对 CJIS 安全政策的遵从、各方的责任、涵盖的云服务，以及其他许多重要规定。您可以发送电子邮件至 cjis@google.com，申请获取一份 Google Cloud CJIS 管理协议。

Google Cloud 合规团队还可以提供详细的合规性说明，说明 Google Cloud 如何满足适用于云服务提供商的 CJISSECPOL 要求。

是。借助 Assured Workloads 和 Assured Controls，Google Cloud 可让客户将 CJIS 工作负载限制在仅限美国的区域。Google 将根据我们的服务专用条款存储您的静态数据。

在 Google 员工可能未经陪同即可访问未加密的 CJI 的州，Google 会与 CSA（或当地机构）合作，确保可能未经陪同即可访问某州未加密的 CJI 的人员都已接受基于指纹的 FBI 背景调查。符合条件的 Google 员工将向各 CSA 提交 FD-258 指纹卡以及所有必要的文件。

此流程可确保获得授权的人员只有在完成背景调查和 CJIS 安全意识培训后，才会获得无陪同访问权限。

Google 在我们的服务和运营核心中实现了零信任，我们的基础架构不假定其上运行的服务之间存在信任。换句话说，系统会对每个资源访问请求进行检查、身份验证和核实，就好像这些请求来自不受信任的网络一样。

Google Cloud 中的客户环境在逻辑上也是隔离的，以防止用户和客户访问未分配给他们的资源。客户数据（包括 CJI）在逻辑上按网域分隔，以便为单个租户生成数据。Google Cloud 能够以这种方式保护客户数据，同时还能加快功能开发速度并为客户带来成本效益，因此是政府客户的理想之选。

最后，对于所有客户，我们默认会对所有客户数据在传输过程中进行加密，并对数据进行静态加密。这可确保多租户云架构具有多层防御机制，并为所有客户提供强大的隔离功能。

不需要。由于 Google 提供客户管理的加密密钥和用于限制 CJI 访问权限的人员数据访问权限控制，因此 Google Cloud 上的 CJIS 不需要机密计算。但是，除了 Google 为 CJIS 客户提供的安全和受限环境之外，客户仍然可以将机密计算用作补充的安全控制措施。

是 - Google Cloud 在生产环境中采用通过 FIPS 140-3 验证的加密模块 BoringCrypto（第 4735 号证书）。这意味着，传输中的数据（传输给客户的数据以及数据中心之间传输的数据）和静态数据默认使用经 FIPS 140-3 验证的加密方法进行加密。

这样，客户可以在从各种 Cloud Key Management 产品（例如 Google 管理的密钥、客户管理的加密密钥、外部密钥管理）进行选择时保持 FIPS 合规性。由于 Google Cloud 默认对静态数据和传输中的数据使用此级别的加密，因此客户可以继承 FIPS 140-3 加密，并且无需在 FIPS 模式下运行产品和服务。

CJIS 安全政策并未要求使用政府云 (“GovCloud”)，并且没有关于 GovCloud 构成的通用定义或标准。Google Cloud 可帮助 CJIS 实现 CJIS 安全政策的合规性，并且我们已向独立的第三方评估组织和众多州 CSA 证明了我们的合规性。 

Google 投资于其公有云基础设施的分层安全方法，提供加密和强大的人员数据访问权限控制等功能。这与上述零信任实现相结合，为满足 CJIS 安全政策的严格要求提供了强大的安全状况，同时也使客户能够利用公有云的持续产品创新。

Google 上述控制措施（以及许多其他控制措施）的实施符合 FedRAMP 中风险级别和 FedRAMP 高风险级别要求，并已获得联合授权委员会 (JAB) 的认可。

管理和预算办公室 (OMB) 备忘录 M-24-15（《联邦风险和授权管理计划 (FedRAMP) 现代化改造》） 验证了我们的方法，该备忘录建议联邦机构摆脱孤立的 GovCloud 架构：

“FedRAMP 不应鼓励或要求商业云服务提供商为联邦政府创建单独的专用产品或服务，无论是通过应用联邦安全框架还是其他计划运营，商业云服务提供商为了在市场上取得成功，会对其核心产品进行投资、安全维护和快速功能开发，而联邦政府则从中受益。同样，商业提供商也有动力将通过与 FedRAMP 合作而获得的改进型安全实践集成到其核心服务中，从而使所有客户受益。”

在 Google Cloud，我们认为信任源自透明。保护和管理您的云端数据是我们共同的责任，我们希望您能够透明地了解我们在这方面所做出的承诺以及您在这方面可以有哪些预期。

当您使用 Google Workspace 或 Google Cloud 时：

1. 您的数据属于您，而不是 Google
2. Google 不会向第三方出售客户数据
3. Google Cloud 不会出于广告目的使用客户数据
4. 所有客户数据默认会加密
5. 我们会采取保护措施，防止内部人员访问您的数据
6. 我们绝不会让任何政府实体“走后门”访问您的数据
7. 我们的隐私权规范按照国际标准进行审核

如需详细了解我们的数据处理承诺，请参阅云端数据处理附录 (CDPA)。