刑事司法資訊服務 (CJIS)

概觀

CJIS_Logo

AWS 遵守美國聯邦調查局 (FBI) 的刑事司法資訊服務 (CJIS) 安全政策。我們與客戶簽訂 CJIS 安全合約,包括依據 CJIS 安全政策允許或執行任何必要的員工背景審查。

AWS 根據符合 CJIS 政策領域的安全計劃範本格式,制訂了刑事司法資訊服務 (CJIS) 工作手冊試算表

執法部門客戶和管理刑事司法資訊 (CJI) 的合作夥伴,正在使用 AWS 服務來大幅提高 CJI 資料的安全和保護。AWS 擁有先進的安全服務和功能,例如活動日誌記錄 (AWS CloudTrail)、動態和靜態資料加密 (S3 伺服器端加密,可選擇使用自有金鑰)、完備的金鑰管理和保護 (AWS Key Management ServiceCloudHSM) 以及整合式許可管理 (IAM 聯合身分管理、多重因素認證)。

  • 什麼是刑事司法資訊?

    刑事司法資訊 (CJI) 是指執法部門機構用以執行任務及強制執法的必要資料,例如,生物特徵辨識、身分歷史記錄、個人、組織、財產以及案例/事件歷史資料。CJI 也指民間機構用以執行任務的必要資料,包含用來決定是否聘用的資料。

  • 什麼是 CJIS 安全政策?

    CJIS 安全政策 (簡稱為「政策」) 反映出 FBI CJIS、CJIS Systems Agency (CSA) 與 State Identification Bureaus (SIB) 之間,對於刑事司法資訊 (CJI) 法律用途和適當保護共同的責任。此「政策」為目前和已計劃服務提供安全要求基準,並為新的提案設定最低標準。我們遵循該「政策」,善盡做為雲端服務供應商的責任,並透過各種服務為客戶提供讓 AWS 的 IT 環境符合 CJIS 要求的方式。

  • 是否可使用 AWS 處理 CJIS 資料?

    是。為了滿足 CJIS 客戶的需求,我們已將 AWS 雲端基礎設施架構設計為最靈活且最安全的雲端運算環境之一。客戶可以部署應用程式、資料和服務,而這些都完全遵守 CJIS 安全政策要求。

  • 在 AWS 建置 CJIS 合規應用程式和服務時有哪些考量?

    與我們其他的合規性架構相似,CJIS 安全政策在 AWS 與客戶之間使用共同的責任模型。如需詳細資訊,請參閱 AWS 共同的責任模型網頁。

    使用符合 CJIS 安全要求的雲端服務供應商 (CSP) 並不表示您的環境自動處於 CSP 安全狀態。使用 AWS 時,您仍必須:

    • 審查 CJIS 安全政策各項規定,判斷哪些要求與您的環境直接相關。
    • 實作解決方案 (視需要) 解決每個需求。
    • 根據適用的控制要求對解決方案進行評估和稽核。
    • 使用 AWS CJIS 工作手冊將 CJIS 文件提交給客戶機構,由他們審閱並取得正式的 CJIS 授權。

    最後,支援客戶 CJIS 工作負載時有以下要點:

    • 安全是共同的責任 AWS 不負責管理客戶環境或資料,這表示您要負責在您的 AWS 環境中實作適用的 CJIS 安全政策要求。AWS 只會管理 AWS 基礎設施內各項安全規定的實施。
    • 靜態資料加密至關重要。AWS 提供多種資源來幫助您實現這一重要解決方案,其中包括解決方案架構師可提供協助,還有我們的加密靜態資料白皮書。
    • AWS 會直接滿足適用於 AWS 基礎設施的相關 CJIS 安全政策要求。由於 AWS 提供由客戶完全管理的自行佈建平台,因此 AWS 不受 CJIS 安全政策的直接規範。不過,我們完全致力於維護世界級的雲端安全和合規計劃以支援客戶的需求。AWS 遵守適用的 CJIS 規定,由我們的第三方評估架構 (如 FedRAMP) 支援,透過 FedRAMP 認可的第三方評估機構 (3PAO) 進行現場資料中心稽核。
    • AWS 秉持著共同的責任模型,提供符合 CJIS 政策領域的 CJIS 安全政策工作手冊 (位於系統安全計劃範本)。這個工作手冊能協助客戶以系統化的方式記錄 CJIS 各項規定的落實,及各項規定的 AWS 方法 (以及指導如何提交文件進行審查和授權)。請參閱刑事司法資訊服務 (CJIS) 工作手冊試算表
    • AWS 提供多個內建的安全功能來支援 CJIS 工作負載,例如:
  • 如何判斷 CJIS 合規?

    沒有中央 CJIS 授權主體、沒有獨立評估機構的認可集區,也沒有標準評估方法來判斷特定解決方案是否可視為 CJIS 合規。目前沒有制式 CJIS 合規解決方案適用於所有執法機構,而是授與 CJIS 授權的每個執法機構根據自己的標準來解釋解決方案,以判斷哪些可視為符合 CJIS 規定。一州的授權不會與另一州有互惠協議 (甚至在同一州也不一定有);供應商必須將解決方案提交給每個機構授權的官員進行審查,其中可能包含重複的指紋,以及背景審查和其他州/管轄權特定的需求。

    每個授權是與該特定組織的協議;這個協議必須在每個當地的執法部門重複進行。AWS 不會提供虛假的聲明,因此我們不會廣泛宣稱我們具備 CJIS 合規。雖然特定州或機構為了自己的用途判定 AWS 符合 CJIS 的規範,但是沒有一個 CJIS 認證適用於所有執法部門。

  • 是否有客戶使用 AWS 處理 CJIS 資料?

    是。例如,我們有數個合作夥伴解決方案,它們會收集、傳輸、管理和分享與執法互動有關的數位證據 (例如,影片和音訊檔)。AWS 也與提供電子搜索令服務的合作夥伴合作,這種服務在多個州級、郡級和市級執法部門之間,以電子方式建立、傳送核准和發出現場搜索證。此外,AWS 也支援執法部門管理警方的搜證影片,如示威活動、公眾聚會及一般警察事務,做為透過公有入口網站建立公開透明制度的方法,協助在執法部門之間建立信任和透明度。

compliance-contactus-icon
有問題?與 AWS 合規代表聯繫
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »