我想取得有關雲端 CJIS 的資訊

 

 

AWS 上的 CJIS

AWS 遵守 FBI 刑事司法資訊服務 (CJIS) 標準的規定。我們與客戶簽定 CJIS 安全合約,包括依據 CJIS 安全政策允許或執行任何必要的員工背景審查。

AWS 根據符合 CJIS 政策領域的安全計劃範本格式,制訂了刑事司法資訊服務 (CJIS) 工作手冊

執法部門客戶 (及管理 CJI 的合作夥伴) 利用 AWS 服務,透過 AWS 進階安全服務和功能大幅提升 CJI 資料的安全和保護,這些進階安全服務和功能包括:活動記錄 (AWS CloudTrail)、動態和靜態資料加密 (可選擇使用自有金鑰的 S3 伺服器端加密)、完備的金鑰管理和保護 (AWS Key Management ServiceCloudHSM),以及整合的許可管理 (IAM 聯合身分管理、多重驗證)。


CJI 是指 FBI CJIS 提供給執法部門機構用以執行任務及強制執法的必要資訊,例如,生物特徵辨識、身分歷史記錄、個人、組織、財產以及案例/事件歷史資料。CJI 也指民間機構用以執行任務的必要資訊,例如,用來決定是否聘用的資料。

AWS 上的 CJIS 合規

AWS 的 CJIS 工作手冊

CJIS 安全政策和要求 (簡稱為「政策」) 反映出 FBI CJIS、CJIS Systems Agency (CSA) 與 State Identification Bureaus (SIB) 之間對於刑事司法資訊 ("CJI") 法律用途和適當保護共同的責任。此「政策」為目前和已計劃服務提供安全要求基準,並為新的提案設定最低標準。我們遵循該「政策」,善盡做為雲端服務供應商的責任,並透過各種服務為客戶提供讓 AWS 的 IT 環境符合 CJIS 要求的方式。

是。為了滿足 CJIS 客戶的需求,我們已將 AWS 雲端基礎設施架構設計為最靈活且最安全的雲端運算環境之一。客戶可以部署應用程式、資料和服務,而這些都完全遵守 CJIS 安全政策要求。

AWS CJIS 安全政策工作手冊

與我們其他的合規性架構相似,CJIS 政策讓 AWS 與客戶一起分擔共同的責任。使用符合 CJIS 安全要求的雲端服務並不表示您的環境自動處於 CSP 安全狀態。使用 AWS 時,您仍必須:

  • 審閱「政策」要求,判斷哪些要求與您的環境直接相關
  • 實作解決方案 (視需要) 解決每個需求
  • 根據適用的控制要求對解決方案進行評估和稽核
  • 使用 AWS CJIS 工作手冊將 CJIS 文件提交給客戶機構,由他們審閱並取得正式的 CJIS 授權。

最後,支援客戶 CJIS 工作負載時有以下要點:

  • 安全是共同的責任 – 由於 AWS 不負責管理客戶環境或資料,這表示除了 AWS 在基礎設施內實作的安全要求之外,您還要負責在 AWS 環境中實作適用的 CJIS 安全政策要求。
  • 加密靜態資料很重要 – AWS 提供數個「關鍵」資源,協助您完成這個重要的解決方案。從協助您的解決方案架構師到我們的加密靜態資料白皮書,AWS 努力為您提供實作安全解決方案時所需的資源。
  • AWS 會直接滿足適用於 AWS 基礎設施的相關 CJIS 安全政策要求。由於 AWS 提供由客戶完全管理的自行佈建平台,因此 AWS 不受 CJIS 安全政策的直接規範。不過,我們完全致力於維護世界級的雲端安全和合規計劃以支援客戶的需求。AWS 遵守適用的 CJIS 要求,由我們的第三方評估架構 (如 FedRAMP) 支援,透過 FedRAMP 認可的 3PAO 進行現場資料中心稽核。
  • AWS 秉持著共同的責任理念,提供符合 CJIS 政策領域的 CJIS 安全政策工作手冊 (位於系統安全計劃範本)。這些工作手冊旨在支援客戶以系統化的方式記錄 CJIS 要求實作及每個要求的 AWS 方法 (以及提交文件進行審閱和授權的準則)。這個工作手冊可供客戶使用
  • AWS 提供多個內建的安全功能來支援 CJIS 工作負載,例如:
    o 使用 AWS Identity and Access Management (IAM) 搭配多重驗證的安全存取
    o 加密的資料儲存體,其中包含 AWS 提供的選項或客戶維護的選項
    o 使用 S3 記錄AWS CloudTrailAmazon CloudWatchAWS Trusted Advisor 進行記錄和監控
    o 使用 AWS CloudHSMAWS Key Management Service (KMS) 進行集中化、客戶管控的金鑰管理

與 AWS 支援的許多合規性架構不同,沒有中央 CJIS 授權主體、沒有獨立評估機構的認可集區,也沒有標準評估方法來判斷特定解決方案是否可視為「CJIS 合規」。簡單來說,在所有執法部門機構上運作的標準化「CJIS 合規」解決方案並不存在。

而是授予 CJIS 授權的每個執法機構根據自己的風險接受標準來解釋解決方案,以判斷哪些可視為符合 CJIS 要求。一州的授權不會與另一州有互惠協議 (甚至在同一州也不一定有);供應商必須將解決方案提交給每個機構授權的官員進行審查,其中可能包含重複的指紋,以及背景審查和其他州/管轄權特定的需求。

每個授權是與該特定組織的協議;這個協議必須在每個當地的執法部門重複進行。AWS 不會提供虛假的聲明,因此我們不會廣泛宣稱我們具備「CJIS 合規」。雖然特定州或機構為了自己的用途判定 AWS 符合 CJIS 的規範,但是沒有一個 CJIS 認證適用於所有執法部門。

當然有。我們有數個合作夥伴解決方案,它們收集、傳輸、管理和分享與執法互動有關的數位證據 (例如,影片和音訊檔)。AWS 也與提供電子搜索令服務的合作夥伴合作,這種服務在多個州級、郡級和市級執法部門之間以電子方式建立、傳送核准和發出現場搜索證。此外,AWS 也支援執法部門管理警方的搜證影片,如示威活動、公眾聚會及一般警察事務,做為透過公有入口網站建立公開透明制度的方法,協助在執法部門之間建立信任和透明度。

 

聯絡我們