美国发布《联邦风险和授权管理计划 (FedRAMP) 路线图 (2024-2025)》
文章目录
- 前言
- 一、战略目标实施背景
- 2010年12月,《改革联邦信息技术管理的25点实施计划》
- 2011年2月,《联邦云计算战略》
- 2011年12月,《关于“云计算环境中的信息系统安全授权”的首席信息官备忘录》
- 2022年12月,《FedRAMP 授权法案》
- 2023年10月,《关于联邦风险授权管理计划现代化的备忘录》
- 二、FedRAMP的管理组织
- (一)FedRAMP的管理机制包括两部分。
- (二)本次《路线图》在实施策略方面具有三个较为明显的特点。
前言
近期,美国总务管理局发布《联邦风险和授权管理计划 (FedRAMP)路线图(2024-2025) 》,《路线图》概述了2024至2025年的四个战略目标:
第一,以客户体验(CX)为导向。
第二,将FedRAMP定位为网络安全和风险管理领域的领导者。
第三,扩大值得信赖的FedRAMP市场的规模和范围。第四,通过自动化和技术前沿运营提高计划效率。
一、战略目标实施背景
为了实现信息技术现代化和云安全的战略目标,美国政府于2010年在《改革联邦政府IT管理的25条实施计划》中提出“云优先”策略(CloudFirst)(后更新为“云智能”战略,CloudSmart)。
次年12月,美国启动“联邦风险与授权管理计划”(FederalRiskandAuthorizationManagementProgram简称FedRAMP),是一项政府范围具有“强制性”的计划,用于标准化的云产品和服务的安全性评估、授权和监控,成为根据《联邦信息安全现代化法案》(FISMA)制定的首个政府层面的安全授权计划。后续又出台了《FedRAMP授权法案》、《关于联邦风险授权管理计划现代化的备忘录》等一系列配套法规和政策。
2010年12月,《改革联邦信息技术管理的25点实施计划》
实施“云优先”策略(CloudFirst),要求将业务系统逐步迁移到云计算平台中。
2011年2月,《联邦云计算战略》
明确联邦政府云迁移(Cloud Migration)的“三步走”决策框架,创造安全的云计算应用环境。
2011年12月,《关于“云计算环境中的信息系统安全授权”的首席信息官备忘录》
启动“联邦风险与授权管理计划”(FedRAMP)。
2022年12月,《FedRAMP 授权法案》
作为《2023财年国防授权法案》一部分颁布,旨在为联邦政府机构使用的云产品和服务提供标准化的政府范围安全评估、授权和持续监控方法。
2023年10月,《关于联邦风险授权管理计划现代化的备忘录》
定义受FedRAMP约束的云产品范围,促进透明且一致的流程颁发云服务安全授权,旨在加强和改进联邦风险和授权管理计划。
二、FedRAMP的管理组织
(一)FedRAMP的管理机制包括两部分。
一是云计算服务监管机制。包括行政管理和预算局(OMB)负责协调各机构“云智能”战略的执行和联邦政府云计算采购机制的运行;国土安全部负责威胁通知协调、事件响应报告等。
二是云计算服务审查机制。包括联合授权委员会(JAB)和FedRAMP项目管理办公室(PMO),负责制定安全基线要求、对云计算服务进行安全评估、授权、持续监督等,JAB由国防部(DoD)、国土安全部(DHS)和总务管理局(GSA)构成,是主要的决策机构。美国国家标准与技术研究院(NIST)在其中负责制定联邦政府安全采用云计算服务的提供标准和规范指南等。截至目前,美国FedRAMP共授权400多家云计算服务提供商(CSP)以及40多家第三方评估机构(3PAO)。
(二)本次《路线图》在实施策略方面具有三个较为明显的特点。
一是推进数据和服务共享,整合和优化数据中心基础设施,通过数字化的集中服务以降支提效。如发布“数字授权包”、持续诊断与缓解(CDM)仪表板集成等。
二是加强与网络安全和基础设施安全局(CISA)合作,推动私营企业参与。如将CISA安全云业务应用程序(SCuBA)指导纳入安全配置文件、与CISA合作进行红队和专门审查等。
三是支持多云环境,增强FedRAMP系统的安全保障能力。如定义FedRAMP的核心安全期望、发布FIPS140的更新指南等。
FedRAMP的主要利益相关者