刑事司法資訊服務 (CJIS)

概觀

CJIS_Logo

AWS 服務透過處理 CJIS 安全政策領域的方式支援客戶 CJIS 要求。AWS 基礎設施和服務已經由州和聯邦執法機構審核,確認 AWS 有能力支援客戶 CJIS 工作負載。

許多管理敏感資料的客戶,包括執法機構、金融機構和醫療保建組織,都習慣在 AWS GovCloud (US) 上部署工作負載,因為該區域經過專門設計,可滿足與敏感工作負載相關的獨特合規需求。除了提供給所有商業區域的保證計劃之外,AWS GovCloud (US) 能讓州、地方和聯邦層級的客戶遵守 ITAR、FedRamp/FISMA High 和 DoD SRG 影響級別 2、4 和 5。

執法部門客戶 (及管理刑事司法資訊的合作夥伴) 利用 AWS 服務,透過 AWS 進階安全服務和功能大幅提升 CJI 資料的安全和保護,這些進階安全服務和功能包括:

  • 活動記錄 (AWS CloudTrail)。
  • 動態和靜態資料加密 (可選擇使用自有金鑰的 Amazon S3 伺服器端加密)
  • 完備的金鑰管理和保護 (AWS Key Management ServiceCloudHSM)。
  • 整合的許可管理 (IAM 聯合身分管理、多重驗證)。
  • 什麼是刑事司法資訊?

    刑事司法資訊 (CJI) 是指執法部門機構用以執行任務及強制執法的必要資料,例如,生物特徵辨識、身分歷史記錄、個人、組織、財產以及案例/事件歷史資料。CJI 也指民間機構用以執行任務的必要資料,包含用來決定是否聘用的資料。

  • 什麼是 CJIS 安全政策?

    CJIS 安全政策 (簡稱為「政策」) 反映出 FBI CJIS、CJIS Systems Agency (CSA) 與 State Identification Bureaus (SIB) 之間,對於刑事司法資訊 (CJI) 法律用途和適當保護共同的責任。此「政策」為目前和已計劃服務提供安全要求基準,並為新的提案設定最低標準。我們遵循該「政策」,善盡做為雲端服務供應商的責任,並透過各種服務為客戶提供讓 AWS 的 IT 環境符合 CJIS 要求的方式。

  • 是否可使用 AWS 處理 CJIS 資料?

    是。為了滿足 CJIS 客戶的需求,我們已將 AWS 雲端基礎設施架構設計為最靈活且最安全的雲端運算環境之一。客戶可以部署應用程式、資料和服務,這所有項目都可以安全地達到 CJIS 安全政策的要求。 

  • 在 AWS 建置 CJIS 合規應用程式和服務時有哪些考量?

    與我們其他的合規性架構相似,CJIS 安全政策在 AWS 與客戶之間使用共同的責任模型。如需詳細資訊,請參閱 AWS 共同的責任模型網頁。

    使用符合 CJIS 安全要求的雲端服務供應商 (CSP) 並不表示您的環境自動處於 CSP 安全狀態。使用 AWS 時,您仍必須:

    • 審查 CJIS 安全政策各項規定,判斷哪些要求與您的環境直接相關。
    • 實作解決方案 (視需要) 解決每個需求。
    • 根據適用的控制要求對解決方案進行評估和稽核。
    • 使用 AWS CJIS 工作手冊將 CJIS 文件提交給客戶機構,由他們審閱並取得正式的 CJIS 授權。

    最後,支援客戶 CJIS 工作負載時有以下要點:

    • 安全是共同的責任 AWS 不負責管理客戶環境或資料,這表示您要負責在您的 AWS 環境中實作適用的 CJIS 安全政策要求。AWS 只會管理 AWS 基礎設施內各項安全規定的實施。
    • 靜態資料加密至關重要。AWS 提供多種資源來幫助您實現這一重要解決方案,其中包括解決方案架構師可提供協助,還有我們的加密靜態資料白皮書。
    • AWS 會直接滿足適用於 AWS 基礎設施的相關 CJIS 安全政策要求。由於 AWS 提供由客戶完全管理的自行佈建平台,因此 AWS 不受 CJIS 安全政策的直接規範。不過,我們完全致力於維護世界級的雲端安全和合規計劃以支援客戶的需求。AWS 遵守適用的 CJIS 規定,由我們的第三方評估架構 (如 FedRAMP) 支援,透過 FedRAMP 認可的第三方評估機構 (3PAO) 進行現場資料中心稽核。
    • AWS 秉持著共同的責任模型,提供符合 CJIS 政策領域的 CJIS 安全政策工作手冊 (位於系統安全計劃範本)。這個工作手冊能協助客戶以系統化的方式記錄 CJIS 各項規定的落實,及各項規定的 AWS 方法 (以及指導如何提交文件進行審查和授權)。請參閱刑事司法資訊服務 (CJIS) 工作手冊試算表
    • AWS 提供多個內建的安全功能來支援 CJIS 工作負載,例如:
  • 如何判斷 CJIS 合規?

    沒有中央 CJIS 授權主體、沒有獨立評估機構的認可集區,也沒有標準評估方法來判斷特定解決方案是否可視為 CJIS 合規。目前沒有制式 CJIS 合規解決方案適用於所有執法機構,而是授與 CJIS 授權的每個執法機構根據自己的標準來解釋解決方案,以判斷哪些可視為符合 CJIS 規定。一州的授權不會與另一州有互惠協議 (甚至在同一州也不一定有);供應商必須將解決方案提交給每個機構授權的官員進行審查,其中可能包含重複的指紋,以及背景審查和其他州/管轄權特定的需求。

    每個授權是與該特定組織的協議;這個協議必須在每個當地的執法部門重複進行。AWS 不會提供虛假的聲明,因此我們不會廣泛宣稱我們具備 CJIS 合規。雖然特定州或機構為了自己的用途判定 AWS 符合 CJIS 的規範,但是沒有一個 CJIS 認證適用於所有執法部門。

  • 是否有客戶使用 AWS 處理 CJIS 資料?

    是。例如,我們有數個合作夥伴解決方案,它們會收集、傳輸、管理和分享與執法互動有關的數位證據 (例如,影片和音訊檔)。AWS 也與提供電子搜索令服務的合作夥伴合作,這種服務在多個州級、郡級和市級執法部門之間,以電子方式建立、傳送核准和發出現場搜索證。此外,AWS 也支援執法部門管理警方的搜證影片,如示威活動、公眾聚會及一般警察事務,做為透過公有入口網站建立公開透明制度的方法,協助在執法部門之間建立信任和透明度。

compliance-contactus-icon
有問題? 聯絡 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »