刑事司法信息服务 (CJIS)

概览

CJIS_Logo

AWS 遵守美国联邦调查局 (FBI) 的刑事司法信息服务 (CJIS) 安全政策。我们与客户签署了 CJIS 安全协议,协议内容包括根据 CJIS 安全政策允许或执行任何要求的员工背景调查。

AWS 采用一种符合 CJIS 政策范围的安全计划模板格式,编制了刑事司法信息服务 (CJIS) 业务手册电子表格

执法部门的客户以及管理刑事司法信息 (CJI) 的合作伙伴正在利用 AWS 产品大幅改善 CJI 数据的安全性和保护效果。AWS 拥有高级安全服务和功能,如活动日志记录 (AWS CloudTrail)、动态和静态数据加密(S3 服务器端加密,可选择使用自己的密钥)、全面的密钥管理和保护(AWS Key Management ServiceCloudHSM)以及综合权限管理(IAM 联合身份管理和多重验证)。

  • 什么是刑事司法信息?

    刑事司法信息 (CJI) 是指执法机构履行其使命和执行法律所必需的数据,如生物特征、身份历史、个人、组织、财产以及案件/事件历史数据。CJI 也指民事机构履行其使命所必需的数据,包括用于决定是否聘用的数据。

  • 什么是 CJIS 安全政策?

    CJIS 安全政策(以下简称“政策”)反映了 FBI CJIS、CJIS 系统机构 (CSA) 及国家鉴定局 (SIB) 在合法使用和恰当保护刑事司法信息 (CJI) 方面的共同责任。该政策为当前和计划的服务提供了安全性要求的基准,并为新计划设定了最低标准。与该政策相一致,我们正在发挥着作为一家云服务提供商的作用,即通过我们的服务为客户提供相关方法,以使其符合 CJIS 对 AWS 中 IT 环境的要求。

  • AWS 可用于 CJIS 数据吗?

    可以。为了满足 CJIS 客户的需求,AWS 云基础设施的架构已设计为最为灵活、安全的可用云计算环境之一。客户可以部署应用程序、数据和服务,所有这些都完全符合 CJIS 安全政策的要求。

  • 在 AWS 上构建符合 CJIS 的应用程序和服务时需要考虑哪些方面?

    与我们的其他合规性框架类似,CJIS 安全政策采用的是 AWS 和我们的客户共担责任的模式。有关更多信息,请参阅 AWS 责任共担模式页面。

    使用符合 CJIS 安全要求的云服务提供商 (CSP) 并不意味着您的环境在 CSP 安全态势的覆盖范围内。使用 AWS 时,您仍然必须:

    • 审查 CJIS 安全政策要求,以确定哪些要求正好适用于您的环境。
    • 实施解决方案(如有必要),以满足所有这些要求。
    • 根据适用的控制要求评估和审核解决方案。
    • 通过 AWS CJIS 业务手册向您的客户机构提交 CJIS 文档,以供审查并获得 CJIS 的正式授权。

    最后,在支持客户 CJIS 工作负载方面还有几个关键点:

    • 安全是一项共同责任 AWS 并不管理客户的环境或数据,这意味着您需要负责在自己的 AWS 环境中贯彻适用的 CJIS 安全政策要求。AWS 只管理 AWS 基础设施内安全要求的贯彻情况。
    • 静态数据的加密至关重要。AWS 提供了多种资源来帮助您获得这一重要解决方案,其中包括能够为您提供帮助的解决方案架构师人员和我们的白皮书《加密静态数据》
    • AWS 可直接满足适用于 AWS 基础设施的相关 CJIS 安全政策的要求。由于 AWS 提供的是完全由客户管理的自助配置平台,所以 AWS 不直接受制于 CJIS 安全政策。但我们会尽力维护世界级云安全和合规性计划,以支持客户的需求。在我们的第三方评估框架(如 FedRAMP,其中包括由我们的 FedRAMP 认可的第三方评估组织 [3PAO] 进行的现场数据中心审核)的支持下,AWS 证明了其符合适用的 CJIS 要求。
    • 本着责任共担模式的精神,AWS 提供了符合 CJIS 政策范围的 CJIS 安全政策业务手册(采用系统安全计划模板)。该业务手册可帮助客户系统地记录他们对 CJIS 要求的贯彻情况,并为其提供贯彻每项要求的 AWS 方法(连同有关提交文档以供审查并获得授权的指导)。请参阅刑事司法信息服务 (CJIS) 业务手册电子表格
    • AWS 提供了可支持 CJIS 工作负载的多项内置安全功能,如:
  • 如何确定 CJIS 合规性?

    没有中央 CJIS 授权机构、没有公认的独立评审员组织,也没有标准化的评估方法来确定特定的解决方案是否符合 CJIS。没有一个符合 CJIS 的标准化解决方案可以用于所有执法机构。相反,每个授予 CJIS 授权的执法机构应根据各自理解的符合 CJIS 要求的标准解读解决方案。一个州的授权不能与另一个州实行互惠(甚至在同一个州内也不一定可以);提供商必须提交解决方案以与每个机构授权官员一同进行审查,在此过程中可能会涉及重复的指纹、背景调查以及其他州/管辖区的具体要求。

    每一个授权都是与特定组织达成的协议;是必须在每个执法机构当地执行的条款。AWS 不会自吹自擂,因此我们不会笼统地声明我们满足 CJIS 合规性。虽然某个州或机构可能已从自身角度确定 AWS 符合 CJIS,但还没有一种 CJIS 认证适用于所有执法部门。

  • 是否有客户将 AWS 用于 CJIS 数据?

    有。例如,我们有一些合作伙伴解决方案,它们可以收集、传输、管理和共享与执法部门互动相关的数字证据(如视频和音频文件)。AWS 还与提供电子授权服务的合作伙伴合作,通过这些服务创设领域权证、传送权证以供审批并以电子方式在多个州、县和市执法机构发行。此外,AWS 还支持执法机构管理与示威游行、公众集会以及一般警民互动相关的警方视频,以通过公共门户建立透明度,从而帮助在执法机构内部建立信任和透明度。

compliance-contactus-icon
有问题?与 AWS 合规性代表联系
寻找合规性产品?
立即申请 »
想更新 AWS 合规性产品?
在 Twitter 上关注我们 »