Fedramp. 发布了计划 与国家标准和技术研究所(NIST)对齐 最近更新 到SP 800-53,信息系统和组织的安全和隐私控制,修订版5(Rev5)。

在11月24日博客文章中,Fedramp表示,它正在修改所有适用的Fedramp材料,以与NIST的更新对齐,NIST表示“将为保护组织和系统提供坚实的基础 - 包括个人的个人隐私 - 福利21世纪。“这可能是一个复杂和冗长的过程,因为NIST描述了更新不仅仅是一个次要的一个,而是整个改造SP来解决结构问题和技术内容。

Fedramp表示,它依赖于NIST的指导方针和程序为云服务提供标准化的安全要求。具体而言,FEDRAMP利用SP 800-53,包括在指导中规定的基线和测试用例。

除了最近的更新外,Fedramp还指出,NIST发布了SP 800-53A的最终版本–评估联邦信息系统和组织中的安全和隐私控制:建立有效的评估计划。 FEDRAMP表示它也将更新FEDRAMP测试用例。

Fedramp提供了它的路线图,用于进行必要的更新:

  • “步骤1:从NIST SP 800-53 Rev5更新开发Fedramp基线(当前状态):Fedramp将审查Rev5并更新Fedramp基线,参数,FEDRAMP控制指导,并开发CSP的实施指南。
  • 第2步:发布FEDRAMP基线草案公众意见:FEDRAMP将分享我们政府合作伙伴和利益相关方社区的更新草案,以审查和提供意见和反馈。
  • 第3步:根据公众评论更新Fedramp基线和文档:Fedramp将审查和裁决公众评论并更新Fedramp基线(包括开放安全控制评估语言(OSCAL)版本)和相关文档,模板和指导。
  • 步骤4:发布最终Rev5 Fedramp基准文档更新,以及CSP实现计划:FedRamp将发布Fedramp更新的基准(包括OSCAL版本),关联文档和模板,实现指南和合规性时间表的最终版本。此外,Fedramp将在更新和过渡过程中提供培训和教育论坛,并将可用于回答问题。“
阅读更多信息