美國國防聯邦採購法規補充條款 (DFARS)
任何與美國國防部 (DoD) 簽訂合約的公司,都必須遵守《美國國防聯邦採購法規補充條款》(DFARS) 中的一系列規範。
美國國防部承包商和國防工業基地 (DIB) 客戶必須遵守適用的 DFARS 條款,以確保安全性。這些客戶可以透過 Google Cloud 和 Google Workspace,採用我們定義的 FedRAMP 中等風險與 FedRAMP 高等風險服務,以遵守雲端服務供應商 (CSP) 適用的 DFARS 252.239-7010 和 252.204-7012 條款。
遵守 DFARS 252.239-7010
假如有人使用雲端解決方案代表 DoD 處理資料,或是 DoD 與 CSP 簽訂合約以便在雲端託管或處理資料,國防承包商必須遵守 DFARS 252.239-7010《雲端運算服務》的規範。DFARS 252.239-7010 要求雲端服務供應商遵守《DoD 雲端運算安全性要求指南》。
Google Cloud 和 Google Workspace 可以協助客戶遵守《DoD 雲端運算安全性要求指南》。Google Cloud 服務在 IL2、IL4 和 IL5 層級獲得授權,而 Google Workspace 服務在 IL2 和 IL4 獲得授權,正在取得 IL5 授權。如要進一步瞭解支援的服務,請參閱「DISA 法規遵循」頁面。
遵守 DFARS 252.204-7012
負責資訊系統處理、儲存或傳輸「涵蓋國防資訊」(CDI) 的國防承包商必須遵守 DFARS 第 252.204-7012 條,該條款規定雲端服務供應商要根據 NIST SP 800-171 實施保護「受控非列密資訊」(CUI) 和網路事件回報義務,以及其他注意事項。
Google Cloud 和 Google Workspace 支援 DFARS
客戶可以透過 Google Cloud 和 Google Workspace,實施我們定義的 FedRAMP 中度和 FedRAMP 高度風險控管措施,以遵守 CSP 適用的 DFARS 252.239-7010 和 252.204-7012 條款。
Google Cloud 和 Google Workspace 皆針對定義服務維護 FedRAMP 中等風險和 FedRAMP 高等風險執行授權 (ATO)所有 FedRAMP 中等風險和 FedRAMP 高等風險服務均符合 NIST 800-171 規定。客戶設定系統時,必須使用 Google 在 FedRAMP 系統安全性計畫 (SSP) 中的 FedRAMP 客戶責任表 (CRM),以符合 FedRAMP 法規遵循要求。我們的銷售團隊或 Google Cloud 代表可協助您取得這類文件。
針對所有 FedRAMP 服務,Google 一律採用其 FedRAMP 事件應變計畫 (IRP),這是 Google FedRAMP 系統安全性計畫 (SSP) 的一部分,授權為 FedRAMP ATO 的一部分。根據其事件應變標準程序,Google 會保留並保護在調查過程中任何適用的惡意軟體、媒體、鑑識分析和完成的損害評估。
如果客戶要求只將資料儲存在美國,必須使用 FedRAMP 高等風險服務 (已設定 Assured Workloads 或安全控管) 和 FedRAMP 客戶責任表。這可確保資料儲存在美國境內的 Google 資料中心區域。客戶也可以選擇使用 IL2、IL4 或 IL5 層級的 Google 解決方案,確保客戶資料落地。
使用 Google 產品與服務來遵守 DFARS 252.204-7012
Google Cloud 和 Google Workspace 的產品與服務可協助 DoD 承包商和 DIB 客戶遵守 DFARS 252.204-7012 的規定。這些機構只要啟用 Assured Workloads 或安全控管,就能在 Google Cloud 環境中建立符合規定的界線或系統安全區。如下所述,Google 致力於接受 (CSP) 適用於 FedRAMP 中等風險和 FedRAMP 高等風險服務的 DFARS 252.204-7012 一系列規定。
客戶必須選擇 FedRAMP 中等風險或 FedRAMP 高等風險法規控制套件,才能在軟體定義邊界內進行部署。如上方所述,客戶設定系統以遵循 FedRAMP 法規時,應使用屬於 Google FedRAMP SSP 中的 FedRAMP 客戶責任表。
Google Workspace 客戶必須確保自己僅使用符合 DFARS 252.204-7012 規範的 FedRAMP 中等風險或 FedRAMP 高等服務。如有需要,客戶可以關閉尚未獲得 FedRAMP 授權的服務。Google 建議客戶遵守 Google Workspace FedRAMP 設定指南,以符合 DFARS 252.204-7012 規範。請注意,雖然資料位置與安全控管並未明確要求符合 DFARS 252.204-7012 規定,但客戶若需要更嚴格的控管機制,也可自行選擇加購。
Google Cloud 與 Google Workspace 對於 DFARS 7012 條款要求的遵守情形
DFARS 7012 條款規定 | Google Cloud 和 Google Workspace 的法規遵循情形 |
(b) 與佈建完善安全措施相關的要求 | Google Cloud 和 Google Workspace 的適用服務持續遵守 FedRAMP 中等風險與 FedRAMP 高等風險 ATO 規範。所有 FedRAMP 中等風險和 FedRAMP 高等風險服務均符合 NIST 800-171 規定。 客戶設定系統以遵循 FedRAMP 法規時,應使用屬於 Google FedRAMP SSP 中的 FedRAMP 客戶責任表 (CRM)。客戶可以向 Google Cloud 銷售專員索取 FedRAMP SSP 和 CRM。 |
c) 網路事件回報規定 | Google 會根據 FedRAMP 責任和合約義務,回報資料事件。 Google 的《Cloud 資料處理條款》內含資料安全性一節 (第 7 節「資料安全性」),當中指出 Google 察覺到「資料事件」時會立即通知客戶,不會無故拖延 (第 7.2.1 節)。Google 的通知將說明:事件性質,包括受影響的「客戶」資源;Google 為解決事件並降低潛在風險,所採取或預計實施的措施;Google 建議客戶針對事件採取的應對措施;以及可取得更多資訊的聯絡窗口詳情 (第 7.2.2 節)。 Google 不會為了調查及識別「資料事件」而評估「客戶資料」。不過,Google 可應客戶要求,提供額外的合理合作與協助,協助「客戶」遵守與安全性和個人資料外洩相關的適用法律義務。 若客戶正確設定 Assured Workloads 與資料事件安全控管機制,Google 會致力於在 72 小時內,盡速通知適用 DFARS 規範的受影響客戶。 如要進一步瞭解 Google 的事件應變做法,請參閱資料事件應變程序。 |
(d) 惡意軟體 | 如果 Google 或「客戶」發現與適用 DFARS 的 Google Cloud 或 Google Workspace 客戶相關的惡意軟體,Google 會視情況與客戶合作,向美國國防部網路犯罪中心 (DC3) 提交惡意軟體。 Google 基礎架構內建安全防護措施,可防止有心人士部署惡意程式碼、避免使用者逕行破壞環境,並在所有服務中實施一致的控管機制。 |
(e) 媒體保存與保護 | 發生資料事件時,事件管理團隊會遵循 Google FedRAMP IRP 協定,展開標準事件調查程序並收集和保存資料。如對事件應變程序有必要,Google 會在調查過程中保護及維護實體/虛擬系統或實體媒體。客戶須負責收集並儲存任何監控或封包擷取資料。 此外,我們也建議 Google Cloud 和 Google Workspace 客戶使用 Cloud Logging,以保留稽核記錄資料至少六個月 (如需遵循 DFARS 252.204-7012 規範,至少需保留 90 天)。客戶可以向 Google Cloud 銷售專員索取 FedRAMP SSP 和 CRM (內含 IRP)。 |
(f) 取得鑑識分析所需的其他資訊或設備 | Google 可應客戶要求,提供額外的合理合作與協助,協助「客戶」遵守與安全性和個人資料外洩相關的適用法律義務。 |
(g) 網路事件損害評估活動 | 在 FedRAMP IRP 中,Google 會評估已知事件所造成的損害程度。並可能應美國國防部損害評估的要求提供這項資訊。 |
DFARS 7012 條款規定
Google Cloud 和 Google Workspace 的法規遵循情形
(b) 與佈建完善安全措施相關的要求
Google Cloud 和 Google Workspace 的適用服務持續遵守 FedRAMP 中等風險與 FedRAMP 高等風險 ATO 規範。所有 FedRAMP 中等風險和 FedRAMP 高等風險服務均符合 NIST 800-171 規定。
客戶設定系統以遵循 FedRAMP 法規時,應使用屬於 Google FedRAMP SSP 中的 FedRAMP 客戶責任表 (CRM)。客戶可以向 Google Cloud 銷售專員索取 FedRAMP SSP 和 CRM。
c) 網路事件回報規定
Google 會根據 FedRAMP 責任和合約義務,回報資料事件。
Google 的《Cloud 資料處理條款》內含資料安全性一節 (第 7 節「資料安全性」),當中指出 Google 察覺到「資料事件」時會立即通知客戶,不會無故拖延 (第 7.2.1 節)。Google 的通知將說明:事件性質,包括受影響的「客戶」資源;Google 為解決事件並降低潛在風險,所採取或預計實施的措施;Google 建議客戶針對事件採取的應對措施;以及可取得更多資訊的聯絡窗口詳情 (第 7.2.2 節)。
Google 不會為了調查及識別「資料事件」而評估「客戶資料」。不過,Google 可應客戶要求,提供額外的合理合作與協助,協助「客戶」遵守與安全性和個人資料外洩相關的適用法律義務。
若客戶正確設定 Assured Workloads 與資料事件安全控管機制,Google 會致力於在 72 小時內,盡速通知適用 DFARS 規範的受影響客戶。
如要進一步瞭解 Google 的事件應變做法,請參閱資料事件應變程序。
(d) 惡意軟體
如果 Google 或「客戶」發現與適用 DFARS 的 Google Cloud 或 Google Workspace 客戶相關的惡意軟體,Google 會視情況與客戶合作,向美國國防部網路犯罪中心 (DC3) 提交惡意軟體。
Google 基礎架構內建安全防護措施,可防止有心人士部署惡意程式碼、避免使用者逕行破壞環境,並在所有服務中實施一致的控管機制。
(e) 媒體保存與保護
發生資料事件時,事件管理團隊會遵循 Google FedRAMP IRP 協定,展開標準事件調查程序並收集和保存資料。如對事件應變程序有必要,Google 會在調查過程中保護及維護實體/虛擬系統或實體媒體。客戶須負責收集並儲存任何監控或封包擷取資料。
此外,我們也建議 Google Cloud 和 Google Workspace 客戶使用 Cloud Logging,以保留稽核記錄資料至少六個月 (如需遵循 DFARS 252.204-7012 規範,至少需保留 90 天)。客戶可以向 Google Cloud 銷售專員索取 FedRAMP SSP 和 CRM (內含 IRP)。
(f) 取得鑑識分析所需的其他資訊或設備
Google 可應客戶要求,提供額外的合理合作與協助,協助「客戶」遵守與安全性和個人資料外洩相關的適用法律義務。
(g) 網路事件損害評估活動
在 FedRAMP IRP 中,Google 會評估已知事件所造成的損害程度。並可能應美國國防部損害評估的要求提供這項資訊。
如上方所述,適用 FedRAMP 授權的 Google 產品遵守 CSP 的 DFARS 252.204-7012 規範,因而能協助承包商遵守 DFARS 252.204-7012 所規定的義務。
瞭解安全性最佳做法
查看最佳做法解決常見的問題
觀看安全性產品應用實例影片與夥伴攜手合作
查看我們的安全性合作夥伴
