Dịch vụ thông tin tư pháp hình sự (CJIS)

Tổng quan

CJIS_Logo

Dịch vụ AWS hỗ trợ các yêu cầu về CJIS của khách hàng bằng cách giải quyết các Lĩnh vực chính sách an ninh của CJIS. Dịch vụ và cơ sở hạ tầng AWS đã được các cơ quan hành pháp của tiểu bang và liên bang xét duyệt, khẳng định năng lực của AWS trong việc hỗ trợ khối lượng công việc CJIS của khách hàng.

Nhiều khách hàng quản lý dữ liệu nhạy cảm – bao gồm các cơ quan hành pháp, các tổ chức tài chính và tổ chức y tế – cảm thấy thoải mái khi triển khai khối lượng công việc trên AWS GovCloud (US) do vùng này được thiết kế rõ ràng nhằm đáp ứng nhu cầu tuân thủ đặc biệt gắn liền với khối lượng công việc nhạy cảm. Ngoài các chương trình bảo đảm sẵn có cho tất cả các vùng thương mại, AWS GovCloud (US) còn cho phép khách hàng ở cấp tiểu bang, địa phương và liên bang có thể tuân thủ ITAR, FedRamp/FISMA High và các mức tác động DoD SRG 2, 4 và 5.

Khách hàng là cơ quan hành pháp (và các đối tác quản lý thông tin tư pháp hình sự) đang tận dụng lợi thế của dịch vụ AWS để cải thiện đáng kể mức độ an ninh và khả năng bảo vệ dữ liệu CJI bằng cách sử dụng các dịch vụ và tính năng bảo mật nâng cao của AWS, chẳng hạn như:

  • Ghi nhật ký hoạt động (AWS CloudTrail).
  • Mã hóa dữ liệu đang luân chuyển và lưu trữ (Mã hóa phía máy chủ của Amazon S3 với tùy chọn mang theo khóa riêng của mình)
  • Quản lý và bảo vệ khóa toàn diện (AWS Key Management ServiceCloudHSM).
  • Quản lý quyền tích hợp (quản lý danh tính liên kết IAM, xác thực đa yếu tố).
  • Thông tin tư pháp hình sự là gì?

    Thông tin tư pháp hình sự (CJI) chỉ dữ liệu cần thiết để cơ quan hành pháp có thể thực hiện nhiệm vụ của mình và thực thi pháp luật, chẳng hạn như dữ liệu sinh trắc, lịch sử nhận dạng, cá nhân, tổ chức, tài sản và dữ liệu lịch sử trường hợp/vụ việc. CJI cũng chỉ dữ liệu cần thiết để các cơ quan dân sự thực hiện nhiệm vụ của mình, bao gồm dữ liệu được sử dụng để đưa ra quyết định tuyển dụng.

  • Chính sách an ninh về CJIS là gì?

    Chính sách an ninh về CJIS ("Chính sách") thể hiện trách nhiệm chung của FBI CJIS, CJIS Systems Agency (CSA) và State Identification Bureaus (SIB) đối với việc sử dụng hợp pháp và bảo vệ Thông tin tư pháp hình sự (CJI) một cách thích hợp. Chính sách này cung cấp mức cơ bản cho yêu cầu an ninh đối với các dịch vụ hiện tại và theo kế hoạch, đồng thời thiết lập một tiêu chuẩn tối thiểu cho các sáng kiến mới. Theo đúng Chính sách, chúng tôi thực hiện phần việc của mình trong vai trò là một nhà cung cấp dịch vụ đám mây và cung cấp cho khách hàng phương thức, thông qua dịch vụ của mình, để họ tuân thủ các yêu cầu về CJIS đối với môi trường CNTT trong AWS.

  • AWS có thể được sử dụng cho dữ liệu CJIS không?

    Có. Để đáp ứng nhu cầu của khách hàng CJIS, cơ sở hạ tầng Đám mây AWS đã được thiết kế để trở thành một trong những môi trường điện toán đám mây linh hoạt và an toàn nhất hiện có. Khách hàng có thể triển khai ứng dụng, dữ liệu và dịch vụ, tất cả đều đáp ứng tốt yêu cầu của Chính sách an ninh CJIS. 

  • Tôi cần cân nhắc điều gì khi xây dựng ứng dụng và dịch vụ tuân thủ CJIS trên AWS?

    Tương tự như các khuôn khổ tuân thủ khác của chúng tôi, Chính sách an ninh CJIS sử dụng mô hình chia sẻ trách nhiệm giữa AWS và khách hàng. Để biết thêm thông tin, hãy xem trang web Mô hình chia sẻ trách nhiệm của AWS.

    Việc sử dụng một nhà cung cấp dịch vụ đám mây (CSP) tuân theo các yêu cầu về an ninh CJIS không tự động đồng nghĩa với việc môi trường của bạn được đảm bảo bởi lập trường an ninh của CSP. Khi sử dụng AWS, bạn vẫn phải:

    • Xem xét các yêu cầu của Chính sách an ninh CJIS để xác định đâu là yêu cầu trực tiếp áp dụng cho môi trường của bạn.
    • Thực hiện các giải pháp (nếu cần) để giải quyết từng yêu cầu trong số đó.
    • Đánh giá và kiểm tra giải pháp theo các yêu cầu kiểm soát áp dụng.
    • Gửi tài liệu CJIS sử dụng Sổ công tác CJIS AWS cho đại lý khách hàng của bạn để xét duyệt và chính thức cấp phép CJIS.

    Cuối cùng, có một vài điểm chính trong việc hỗ trợ khối lượng công việc CJIS của khách hàng:

    • An ninh là trách nhiệm chung AWS không quản lý môi trường hay dữ liệu của khách hàng, tức là bạn có trách nhiệm thực hiện các yêu cầu của Chính sách an ninh CJIS áp dụng trong môi trường AWS của mình. AWS chỉ quản lý việc thực hiện các yêu cầu an ninh trong cơ sở hạ tầng AWS.
    • Mã hóa dữ liệu lưu trữ là điều hết sức quan trọng. AWS cung cấp một số tài nguyên để giúp bạn đạt được giải pháp quan trọng này, bao gồm nhân viên Kiến trúc sư giải pháp để hỗ trợ bạn và báo cáo nghiên cứu chuyên sâu Mã hóa dữ liệu lưu trữ của chúng tôi.
    • AWS trực tiếp giải quyết các yêu cầu của Chính sách an ninh CJIS có liên quan áp dụng cho cơ sở hạ tầng AWS. AWS đưa ra một nền tảng tự cung cấp nằm trong phạm vi toàn quyền quản lý của khách hàng, do vậy mà AWS không trực tiếp phải tuân thủ Chính sách an ninh CJIS. Tuy nhiên, chúng tôi tuyệt đối cam kết sẽ duy trì các chương trình bảo mật và tuân thủ đám mây tầm cỡ thế giới để hỗ trợ nhu cầu của khách hàng. AWS thể hiện tuân thủ các yêu cầu CJIS hiện hành với sự hỗ trợ của các khuôn khổ do bên thứ ba đánh giá, chẳng hạn như FedRAMP với các đợt kiểm tra trung tâm dữ liệu tại chỗ do tổ chức đánh giá bên thứ ba (3PAO) đạt chứng nhận FedRAMP thực hiện.
    • Trên tin thần của mô hình chia sẻ trách nhiệm, AWS cung cấp Sổ công tác chính sách bảo mật CJIS (theo mẫu kế hoạch bảo mật hệ thống) được thiết kế theo các Lĩnh vực chính sách CJIS. Sổ công tác này giúp khách hàng văn bản hóa một cách có hệ thống nội dung thực hiện các yêu cầu CJIS cùng với cách tiếp cận từng yêu cầu của AWS (và hướng dẫn gửi tài liệu xin xét duyệt và cấp phép). Xem Sổ công táctrang tính Dịch vụ thông tin tư pháp hình sự (CJIS).
    • AWS cung cấp nhiều tính năng bảo mật cài sẵn để hỗ trợ khối lượng công việc CJIS như:
  • Việc tuân thủ CJIS được xác định như thế nào?

    Không có tổ chức cấp phép CJIS chính, không có nhóm đánh giá viên độc lập được chứng nhậvà cũng không có cách tiếp cận đánh giá chuẩn hóa trong việc xác định xem một giải pháp cụ thể có được coi là tuân thủ CJIS không. Không có giải pháp tuân thủ CJIS chuẩn hóa áp dụng được cho tất cả cơ quan hành pháp. Thay vào đó, mỗi một tổ chức hành pháp cấp phép CJIS lại diễn giải các giải pháp theo tiêu chuẩn riêng của mình về việc thế nào thì được coi là tuân thủ theo các yêu cầu CJIS. Việc được cấp phép ở một địa phương không có tính tương hoán ở một địa phương khác (hay ngay cả trong chính địa phương đó); nhà cung cấp phải gửi giải pháp để được cán bộ cấp phép của từng cơ quan xét duyệt, có thể phải cung cấp lại dấu vân tay, kiểm tra tiểu sử và đáp ứng các yêu cầu cụ thể khác của địa phương/lãnh thổ pháp lý đó.

    Mỗi một lần cấp phép được coi là một thỏa thuận với chính tổ chức đó và phải lặp lại điều này ở cấp địa phương với mỗi một cơ quan hành pháp. AWS sẽ không tự nhận vơ một điều gì đó không đúng về công ty và đó là lý do vì sao chúng tôi sẽ không đưa ra những tuyên bố chung về việc tuân thủ CJIS. Mặc dù một địa phương hay một cơ quan nào đó có thể đã xác định rằng AWS tuân thủ CJIS bởi lý lẽ của họ, nhưng sẽ không có một chứng nhận CJIS duy nhất nào áp dụng cho tất cả các bộ ngành hành pháp.

  • Có khách hàng nào đang sử dụng AWS cho dữ liệu CJIS không?

    Có. Ví dụ: chúng tôi có một vài giải pháp đối tác chuyên thu thập, truyền, quản lý và chia sẻ bằng chứng số (ví dụ: tệp video và âm thanh) liên quan tới các hoạt động tương tác hành pháp. AWS cũng đang làm việc với các đối tác cung cấp dịch vụ chứng nhận điện tử để lập, chuyển xin phê duyệt và cấp chứng nhận tại chỗ qua hệ thống điện tử qua các cơ quan hành pháp của nhiều tiểu bang, quận và thành phố. Ngoài ra, AWS cũng đang hỗ trợ các cơ quan hành pháp trong việc quản lý video của cảnh sát liên quan tới các luận chứng, gặp mặt người dân và các tương tác với cảnh sát nói chung, đây là một cách để tạo sự minh bạch thông qua các cổng thông tin công cộng giúp gây dựng lòng tin và sự minh bạch trong việc thực thi pháp luật.

compliance-contactus-icon
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »