联邦风险和授权管理方案 (FedRAMP) 报告

它为什么重要

联邦风险和授权管理方案 (FedRAMP) 通过向执行部门和机构提供以下选项来以一种基于风险的方法提供云服务的采用。

• 选定信息系统影响级别的云服务的授权和进行中网络安全的标准安全需求。
• 能够生成由云服务提供商 (CSP) 实施的安全性控制的一致、独立第三方评估的一致性评估程序
• 由来自 DHS、DOD 和 GSA 的专家组成的联合授权委员会 (JAB) 复审的云服务授权包
• 标准合同语言，用于帮助执行部门和机构将 FedRAMP 需求和最佳实践集成到收购中；以及
• 可在政府范围利用的云服务的授权包存储库。

FedRAMP 进程旨在帮助机构符合云系统的 FISMA 需求，并解决云系统的复杂性，而这些复杂性会在符合 FISMA 需求方面产生独特的挑战。该程序改进了联邦机构使用云服务提供程序平台和产品的能力。

OMB 在 2011 年 12 月 8 日发布了备忘录，说明一个或多个机构利用的所有低和中等影响级别云服务都必须符合 FedRAMP 需求。FedRAMP 在 2012 年 6 月 6 日开始了初始操作能力 (IOC)。截止到 2012 年 6 月 6 日处于收购阶段但尚未实施的云系统可在 2014 年 6 月 5 号之前符合 FedRAMP 需求。

FedRAMP 由联合授权委员会 (JAB) 监管，该委员会由来自国土安全部 (DHS)、美国总务管理局 (GSA)和国防部 (DoD) 的首席信息官组成。美国政府的首席信息官 (CIOC)（包括其信息安全和身份管理委员会 (ISIMC)）为 FedRAMP 背书。FedRAMP 与 ISIMC 协作，因为它识别高优先级安全性和身份管理计划，并开发关于策略、过程和标准的建议来解决这些计划。

AppScan 的 FedRAMP 一致性报告自动检测云服务 WEB 环境中可能与 FedRAMP 基线控制文档的一致性相关的问题。FedRAMP 安全性控制基线通过与云服务相关的适用参数和修改来更新 NIST 最低安全性控制指南。