「聯邦政府風險與授權管理計劃 (FedRAMP)」報告

重要性

「聯邦政府風險與授權管理計劃 (FedRAMP)」提供風險型方法， 藉由在行政部門與機構中提供下列項目，以沿用及使用雲端服務：

• 針對具有所選資訊系統影響程度的雲端服務，在授權與持續虛擬安全方面，提供標準化的安全需求。
• 合格評定計劃，能夠對雲端服務提供者 (CSP) 實施的安全控制進行一致的獨立第三方評估。
• 由來自 DHS、DOD 和 GSA 的安全專家組成的聯合授權委員會 (JAB) 審查雲端服務的授權包。
• 標準化的合約語言，以利行政部門與機構將 FedRAMP 需求與最佳實務整合成獲取項目；以及
• 雲端服務授權套件的儲存庫，可充分運用於政府機關層面。

依照設計，FedRAMP 處理程序有助於各機構符合雲端系統的 FISMA 需求， 並可處理為了符合 FISMA 而面臨各種獨特挑戰之雲端系統的複雜性。此計劃使聯邦政府機構的功能更加流暢， 能充分利用雲端服務供應商的平台與供應項目。

OMB 已於 2011 年 12 月 8 日發佈備忘錄，指出一或多個辦公室或機構所導入之具有低度與中度影響程度的所有雲端服務， 必須符合 FedRAMP 需求。FedRAMP 已於 2012 年 6 月 6 日開始具備「初始運作能力 (IOC)」。獲取階段中的雲端系統起自 2012 年 6 月 6 日， 但尚未實作，等到 2014 年 6 月 5 日才符合 FedRAMP 標準。

FedRAMP 由「聯合授權委員會 (JAB)」控管，這個委員會由來自「美國國土安全部 (DHS)」、「美國總務管理局 (GSA)」， 以及「美國國防部 (DoD)」的資訊長組成。美國政府機關的「資訊長理事會 (CIOC)」 （包括其下的「資訊安全與身分管理委員會 (ISIMC)」）支持 FedRAMP。FedRAMP 與 ISIMC 合作， 因為它可識別高優先順序的安全和身分管理提案，並針對各項政策、程序和標準開發相關建議， 以處理這些提案。

AppScan 的 FedRAMP 相符性報告會自動偵測您雲端服務 WEB 環境中的可能問題，這些問題可能與您是否符合 FedRAMP 基準線控制文件相關。FedRAMP 安全控制基準線會以雲端服務特有的相關適用參數與修改， 來更新 NIST 最基本的安全控制準則。