刑事司法信息服务 (CJIS)

概览

CJIS_Logo

AWS 服务按照 CJIS 安全政策范围来满足客户的 CJIS 要求。AWS 基础架构和服务已经过州和联邦执法部门审核,这确认了 AWS 有能力支持客户 CJIS 工作负载。

许多管理敏感数据的客户(包括执法部门、金融机构和医疗保健机构)愿意在 AWS GovCloud(美国)上部署工作负载,因为该区域经过精心设计,能够满足与敏感工作负载相关的合规性需求。除了对所有商业区域提供保障计划之外,AWS GovCloud(美国)使州、地方和联邦客户能够遵循 ITAR、FedRamp/FISMA High 以及 DoD SRG 影响级别 2、4和 5。

执法部门的客户(以及管理刑事司法信息的合作伙伴)正在利用 AWS 服务大幅提高 CJI 数据的安全性和保护级别。他们使用的 AWS 高级安全服务和功能包括:

  • 活动日志记录 (AWS CloudTrail)。
  • 动态数据和静态数据加密(Amazon S3 服务器端加密,可以使用自己的密钥)。
  • 全面的密钥管理和保护(AWS Key Management ServiceCloudHSM)。
  • 集成式权限管理(IAM 联合身份管理、多重验证)。
  • 什么是刑事司法信息?

    刑事司法信息 (CJI) 是指执法机构履行其使命和执行法律所必需的数据,如生物特征、身份历史、个人、组织、财产以及案件/事件历史数据。CJI 也指民事机构履行其使命所必需的数据,包括用于决定是否聘用的数据。

  • 什么是 CJIS 安全政策?

    CJIS 安全政策(以下简称“政策”)反映了 FBI CJIS、CJIS 系统机构 (CSA) 及国家鉴定局 (SIB) 在合法使用和恰当保护刑事司法信息 (CJI) 方面的共同责任。该政策为当前和计划的服务提供了安全性要求的基准,并为新计划设定了最低标准。与该政策相一致,我们正在发挥着作为一家云服务提供商的作用,即通过我们的服务为客户提供相关方法,以使其符合 CJIS 对 AWS 中 IT 环境的要求。

  • AWS 可用于 CJIS 数据吗?

    可以。为了满足 CJIS 客户的需求,AWS 云基础设施的架构已设计为最为灵活、安全的可用云计算环境之一。客户可以部署应用程序、数据和服务,所有这些都完全符合 CJIS 安全政策的要求。 

  • 在 AWS 上构建符合 CJIS 的应用程序和服务时需要考虑哪些方面?

    与我们的其他合规性框架类似,CJIS 安全政策采用的是 AWS 和我们的客户共担责任的模式。有关更多信息,请参阅 AWS 责任共担模式页面。

    使用符合 CJIS 安全要求的云服务提供商 (CSP) 并不意味着您的环境在 CSP 安全态势的覆盖范围内。使用 AWS 时,您仍然必须:

    • 审查 CJIS 安全政策要求,以确定哪些要求正好适用于您的环境。
    • 实施解决方案(如有必要),以满足所有这些要求。
    • 根据适用的控制要求评估和审核解决方案。
    • 通过 AWS CJIS 业务手册向您的客户机构提交 CJIS 文档,以供审查并获得 CJIS 的正式授权。

    最后,在支持客户 CJIS 工作负载方面还有几个关键点:

    • 安全是一项共同责任 AWS 并不管理客户的环境或数据,这意味着您需要负责在自己的 AWS 环境中贯彻适用的 CJIS 安全政策要求。AWS 只管理 AWS 基础设施内安全要求的贯彻情况。
    • 静态数据的加密至关重要。AWS 提供了多种资源来帮助您获得这一重要解决方案,其中包括能够为您提供帮助的解决方案架构师人员和我们的白皮书《加密静态数据》
    • AWS 可直接满足适用于 AWS 基础设施的相关 CJIS 安全政策的要求。由于 AWS 提供的是完全由客户管理的自助配置平台,所以 AWS 不直接受制于 CJIS 安全政策。但我们会尽力维护世界级云安全和合规性计划,以支持客户的需求。在我们的第三方评估框架(如 FedRAMP,其中包括由我们的 FedRAMP 认可的第三方评估组织 [3PAO] 进行的现场数据中心审核)的支持下,AWS 证明了其符合适用的 CJIS 要求。
    • 本着责任共担模式的精神,AWS 提供了符合 CJIS 政策范围的 CJIS 安全政策业务手册(采用系统安全计划模板)。该业务手册可帮助客户系统地记录他们对 CJIS 要求的贯彻情况,并为其提供贯彻每项要求的 AWS 方法(连同有关提交文档以供审查并获得授权的指导)。请参阅刑事司法信息服务 (CJIS) 业务手册电子表格
    • AWS 提供了可支持 CJIS 工作负载的多项内置安全功能,如:
  • 如何确定 CJIS 合规性?

    没有中央 CJIS 授权机构、没有公认的独立评审员组织,也没有标准化的评估方法来确定特定的解决方案是否符合 CJIS。没有一个符合 CJIS 的标准化解决方案可以用于所有执法机构。相反,每个授予 CJIS 授权的执法机构应根据各自理解的符合 CJIS 要求的标准解读解决方案。一个州的授权不能与另一个州实行互惠(甚至在同一个州内也不一定可以);提供商必须提交解决方案以与每个机构授权官员一同进行审查,在此过程中可能会涉及重复的指纹、背景调查以及其他州/管辖区的具体要求。

    每一个授权都是与特定组织达成的协议;是必须在每个执法机构当地执行的条款。AWS 不会自吹自擂,因此我们不会笼统地声明我们满足 CJIS 合规性。虽然某个州或机构可能已从自身角度确定 AWS 符合 CJIS,但还没有一种 CJIS 认证适用于所有执法部门。

  • 是否有客户将 AWS 用于 CJIS 数据?

    有。例如,我们有一些合作伙伴解决方案,它们可以收集、传输、管理和共享与执法部门互动相关的数字证据(如视频和音频文件)。AWS 还与提供电子授权服务的合作伙伴合作,通过这些服务创设领域权证、传送权证以供审批并以电子方式在多个州、县和市执法机构发行。此外,AWS 还支持执法机构管理与示威游行、公众集会以及一般警民互动相关的警方视频,以通过公共门户建立透明度,从而帮助在执法机构内部建立信任和透明度。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »