去年7月,联邦风险和授权管理方案(FEDRAMP)改变了临时授权程序,使云服务提供商(CSP)更容易。更改让CSP使用简单的Web表单将其业务案例描绘成Fedramp的联合授权委员会(JAB)。

现在 Fedramp. 通过发布授权过程的综合指南,使机构更容易使用CSP,“FEDRAMP机构授权账单。“法律要求各机构保护存储在云中的联邦数据,并授权展示其遵守FEDRAMP安全基线的云服务。

正是通过他们的工作,临时授权程序,菲德拉姆官员发表了通过授权帮助机构的最佳实践和提示的得分。该工作缩放到PlayBook中,这是一个21页的文档,概述了从开始完成开始发出初始FedRamp授权的逐步过程。

“Fedramp Agency Playbook的创建源于Fedramp’在简化jab p-ato过程中的工作,以及程序’在过去两年中,他的代理参与,“云福利,普通服务管理局(GSA)的云组合经理Jay Huie告诉Meritalk。 “这本剧本捕获了来自120多家联邦机构和170个行业合作伙伴以及FEDRAMP的Fedramp社区的最佳实践和经验教训’他自己的见解帮助我们的客户尽可能高效地实现FEDRAMP机构授权。“

精心制作的PlayBook提供有关如何在该过程中使用Fedramp计划管理办公室和CSP有效工作的信息,并提供各种内部里程碑涉及的广泛的Fedramp资源和模板。

“在开发剧本的同时,我们用机构和CSP测试了我们的方法,”Fedramp代理福音师Ashley Mahan告诉Meritalk。 “通过遵循PlayBook中概述的步骤,在59个工作日内授予机构授权(开始最终批准),该计划的授权最快的授权。我们希望各机构能够建立在我们的经历,同样简化自己的流程,因此我们可以加快通过安全云服务。“

PlayBook指定权威于操作流程的三个基本阶段:预授权,授权期间和授权后。前两个阶段一起需要三到四个月才能完成,而授权后阶段主要专注于正在进行的连续监测。对于阶段的每一步,PlayBook概述了机构和CSP角色以及职责,阶段和期望的结果以及最佳实践和考虑因素。

在第一阶段,称为“合伙企业”,机构应明确定义其使命需求和对云服务提供的具体要求(CSO),并开始研究可能的提供者。他们还应检查FEDRAMP Marketplace,看看是否有CSO,可以满足他们的要求,这些要求已经开始了进程或已授权。

在与潜在提供商的初次会议中,该机构的Fedramp团队应尽量辨别公司愿意遵守联邦安全要求的意愿和承诺。代理商证明了CSP致力于接受FEDRAMP授权过程是至关重要的。为此,机构应确保提供商有一个致力于管理授权流程的领导团队,Playbook状态。

此外,在与潜在提供商与潜在提供商会面时,应“清楚地概述授权过程中涉及的努力水平”,根据Playbook。

Playbook继续详细介绍授权过程的关键要素,包括如何构建“开球”会话,其中三方现在参与了该过程 - 代理团队,CSP团队和第三方授权组织的代表 - 介绍了。 PlayBook的完成授权的道路随后经历了“质量和风险评论”,“修复”,以解决CSP系统中的任何差距以及“最终审查”。

FEDRAMP官员表示,Playbook“将有助于促进透明度,并为所有所涉及的所有涉及的功能设定一致的期望,这对云中获得联邦数据的复杂过程至关重要。

阅读更多信息