https://fanyi.youdao.

com/download

CSP 授权
手册

版 本 2.0

01/18/2022

info@fedramp.gov
fedramp.gov
 CSP 授权手册

文件修订历史

日期 版本 页 面 (年 描述 作者
代)

07/01/ 20 18
1.0 所 出版了 CSP 授权手册第 1 卷 FedRAM P PM O
有
01/18/ 20 22 更新了第一卷的准确性，并将第
2.0 FedRAM P PM O
所 二卷添加到 CSP 授权手册中
有

fedramp.gov 第1
页
 CSP 授权手册

目录
第一卷:开始使用 FEDRA MP 入 门 :FEDRAMP 适 合 你
吗 ?授 权 过程中的 合作伙伴 2
1.0 FedRAMP 项目管理办公室(PMO) 3
.
2.0 联合授权委员会(JAB)
3
3.0 联邦机构 .

4.0 第三方评估机构(3PAOs)决定您的授权策略 3
.
3
.
4
5.0 需求:广泛 vs 小众
5
6.0 现有或潜在的代理合作伙伴
5
7.0 部署模型
5
8.0 影响级别
6
FedRAMP 授权的类型
7
9.0 JAB 授权
9
10.0 代理授权重 要 注意事 9
项
13
11.0 IaaS 与 PaaS 与 SaaS
19
12.0 系统栈
19
13.0 努力水平
19
20
.
第二卷:开发一个授权包

介绍 23

23
授 权包里有什么开发授权包
1.0 角色和职责 24

2.0 系统安全规划(SSP) 24

3.0 安全评估计划(SAP) 25

4.0 安全评估报告(SAR) 36

5.0 行动计划和里程碑(POA&M) 37
38

fedramp.gov 第二
页
 CSP 授权剧本

体积我:
入门 fedramp

fedramp.gov 第1
页
 CSP 授权手册

入门:FedRAMP 适合你吗?
如果您有联邦政府正在使用的云服务产品(CSO)，您应该考虑获得 FedRAMP 授权。根据美国行政管理和预算
办公室(OMB)的备忘录，保存联邦数据的云服务必须获得 FedRAMP 授权。

获得 FedRAMP 授权有两种方法:通过联合授权委员会(JAB)获得临时授权或通过机构获得授权。这两种授
权路径都需要根据《联邦信息安全管理法》(FISMA)要求和美国国家标准与技术研究院(NIST) 800-53 基
线进行安全评估，并且在本文档各自的章节中都有更详细的解释。

在做出关于最适合您的服务的 FedRAMP 授权类型的业务决策时，重要的是要考虑您针对联邦政府客户的总

体策略。如果您是联邦领域的新手，可能会有一个与采购时间表相关的学习曲线，您可能需要考虑与具有经
验和联邦政府客户群的系统集成商合作。相反，如果您已经有了联邦政府的足迹，并且正在寻求扩展，那么
FedRAMP 授权可以成为业务开发驱动程序。FedRAMP 在 FedRAMP 市场上提供了跨政府的可见性，并提供
了一个单一的安全包，可以由多个联邦机构进行审查。

除了 OMB 的授权外，获得 FedRAMP 授权的其他驱动因素包括:

●你有兴趣把你的 CSO 卖给联邦政府。

●您当前的联邦政府客户要求您获得 FedRAMP 授权。●您希望通过有能力推销您的服务来扩大联邦

客户的足迹
作为 FedRAMP 授权。

了解您的 CSO 和组织对 FedRAMP 授权流程的准备和可行性也很重要。云服务提供商(CSP)应准备好证明其

服务是否已投入运营或正在开发中，以及联邦市场当前对该服务的需求程度。

一般信息，包括资源、博客、模板和授权文档，可以在 FedRAMP 网站上找到。

fedramp.gov 第二
页
 CSP 授权手册

授权过程中的合作伙伴

FedRAMP 项目管理办公室(PMO)

FedRAMP PMO 负责向利益相关者提供统一的流程，是 csp

研究或为其 CSO 寻求 FedRAMP 授权的关键合作伙伴。它的
职责包括:管理 FedRAMP

授权过程中，与 JAB 协调优先供应商，以实现 JAB 临时授

权

运营(P-ATO)，为 csp 和代理商提供项目管理支持;并使服务

能够在整个
通过提供 FedRAMP 授权的安全存储库。

2.0 联合授权委员会(JAB)
JAB 是 FedRAMP 的主要治理和决策主体。JAB 由国土安全部(DHS)、总务管理局(GSA)和国防部(DoD)的首
席信息官(cio)组成。JAB 定义并建立了 FedRAMP 基线安全控制和第三方评估组织(3PAOs)的认证标准。JAB
与 FedRAMP PMO 密切合作，以确保 FedRAMP 基线安全控制被纳入一致和可重复的过程，用于 cso 的安全
评估和授权。csp 做出商业决策为其 CSO 寻求 JAB P-ATO 时，可通过 FedRAMP Connect 优先考虑。在这个
优先排序过程中，JAB 的目标是授权它认为最有可能在政府范围内利用的云服务。这在 FedRAMP 的 JAB 优
先级标准中有更详细的介绍。对于实现 P-ATO 的 cso, JAB 还通过持续监测(共同)确保这些系统保持可接受的
风险状态。

3.0 联邦机构
csp 做出商业决定，直接与机构合作寻求运营授权(ATO)，将在初始 FedRAMP 授权过
程中与机构合作。除 FedRAMP 要求外，各机构还定义其具体政策和程序，并负责审查
csp 开发的安全包。最终，机构的授权官员(AO)必须接受与使用云系统相关的风险

他们机构的 ATO 各机构还应对使用中的每个授权系统进行持续监测监督，审查 csp 提供的每月和年度交

付成果。

fedramp.gov 第3
页
 CSP 授权手册

3.1 机 构 授权官员
机构的 AO 是一名高级联邦官员，他最终负责做出基于风险的决定，授予 CSP 提供 ATO。该决定在提供给
CSP 系统所有者和 FedRAMP PMO 的 ATO 信中正式确定。AOs 在整个组织中具有足够的可视性，以了解单个
CSO 对机构的安全环境和运营的影响和成本。

NOTE:最 初 的 机 构 ATO 不 是 政府 范围 的风 险接 受。 同样 ，最 初 的授 权机 构不 负责 代表 所有 联邦 机构 执行 共
同 监 督 。每个机构必须为自己使用 CSO 发布 ATO，并审查共同交付物，以确保安全态势足以满足机
构的持续使用。拥有多个代理客户的 csp 应建立持续监测的协作方法。

4.0 第三方评估组织(3PAOs)
作为独立的第三方，3PAOs 对云系统进行初始和定期评估，以确保它们满足
FedRAMP 要求。寻求 FedRAMP 授权的 csp 必须由独立第三方对其 cso 进行评估。对
于 JAB 授权流程，CSP 必须选择 FedRAMP 认可的 3PAO，该 3PAO 满足必要的质
量、独立性和 FedRAMP 知识要求，以执行所需的独立安全评估。对于 Agency
Authorization

过程中，大多数评估使用 FedRAMP 认可的 3PAO 进行。然而，一个机构可以选择使用他们的独立验证和

验证(IV&V)组织来评估 CSO。在进行初步评估时，评估人员负责制定安全评估计划(SAP)和安全评估报告
(SAR)。FedRAMP 认可的 3PAOs 可以在 FedRAMP 市场上找到。

NOTE:如果一个机构选择使用自己的 IV&V 团队或第三方评估员，这不是一个

Fed RAMP 认可的 3PA O，机构 AO 必须证明评估组织的独立性。另外，评估组织必须使用

fedramp 提供的模板。

fedramp.gov 第4
页
 CSP 授权手册

确定您的授权策略
获得 FedRAMP 授权有两种方法，通过联合授权委员会(JAB)获得临时授权或通过机构获得授权。我们建议
您评估以下因素，以确定您的授权策略。在完成 FedRAMP 授权策略之前，PMO 建议 CSP 与我们的技术和
联邦政府中小企业进行咨询。CSP 可以通过填写 CSP 接收表格来注册一个接收电话。

5.0 需求:广泛 vs 利基
需求是 csp 决定从代理合作伙伴寻求 JAB P-ATO 或 ATO 的关键考虑因素。FedRAMP 通常将公民社会组
织评估为具有广泛或利基需求。广泛需求反映了对来自多个机构的产品的已证实的或潜在的需求，而 利
基需求 反映了
特定机构的效用或产品的适用性。在评估寻求何种授权时，CSP 应该能够确定其产品是否具有广泛或利基需
求，因为具有广泛需求的公民社会组织更适合 JAB P-ATO，而具有利基需求的公民社会组织更适合机构
ATO。

注 意 :广泛的需求被认为是 JAB 公民社会组织优先次序的一个标准

授权。csp 必须通过以下方式证明当前或潜在的联邦对其产品的需求

提供以下一项或多项:(1)当前联邦政府客户的清单;(2)相关联邦政府信息征询书(RFI)/建议征询书(RFP)/
请求

报价(RFQ)数据;(3)来自本地客户的验证，表明有兴趣将服务过渡到云;(4)来自联邦政府联络点表达潜在
兴趣的通信;或(5)当前州、地方、部落和地区客户的证明。

现有的或潜在的代理合作伙伴
获得 FedRAMP 机构授权的第一步是 CSP 与联邦机构建立伙伴关系。一些 csp 可能已经有一个或多个机构
对授权其云计算服务提供商感兴趣，因为他们要么已经在使用该系统，要么正在使用内部部署版本，并希
望过渡到云版本。其他 csp 可能有对其服务感兴趣的潜在客户，或者可能正在响应包含 FedRAMP 要求的提
案请求(rfp)。在过程的早期讨论 FedRAMP 是至关重要的。PMO 可以与 csp 合作，与机构讨论解决有关授
权过程的问题或担忧。

fedramp.gov 第5
页
 CSP 授权手册

关 于合作关系的常见代理问题
以下是常见问题的答案，可以在 fedramp.gov 的 FAQ 页面的“联邦机构”选项卡中找到。作为 CSP，在我们
的网站上查看这些和其他常见问题是有益的，可以帮助您在代理客户出现这些问题时做好准备。

成 为 最初的代理合作伙伴意味着什么?

作 为 初始授权机构是否需要付出额外的努力?

作 为初始授权机构，我们是否负责代表其他杠杆机构执行持续监测(ConMon)监 督 ?

如 果 我 的机 构决定停 止使用 云服务 产品(CSO)， 会 发 生什么 ?

如 果 云 服务 产品(CSO)失 去 了 代理客 户，会 发生什么 ?

我 的机构是否应该使用 FedRAMP 来 授 权私有云部署?

7.0 部署模型
csp 应该确定他们的 CSO 是政府专用社区、公共云还是私有云，或者作为混合云存在。FedRAMP 在定义云
部署模型时遵循 NIST SP 800-145 定义。

定义

依靠政府的社区 云只存储政府数据。客户可以是联邦、州、地方、部落、领土、联邦资助的研究中心
(ffrdc)、代表政府工作的承包商或实验室实体。

公共 公共云部署既支持政府客户，也支持非政府客户。这与传统的云计算服务模式是一致的，
但它潜在地给联邦政府带来了更多的风险。

私人 针对单个组织并在联邦机构内完全实施的私有云部署不受 F edRAM P 要求的约束，并且是

所有联邦机构强制性 F edRAM P 的唯一例外。对于部署在 IaaS/PaaS 中的私有云，与部署在
联邦设施中的私有云相比，机构应该使用 F edRAM P 流程和基线来授权云服务。然而，
FedRAM P 项目管理办公室不审查私有云的包，授予 FedRAM P 授权指定，或者将它们列在
市场上，因为“重用”的概念并不适用。

混合 云基础设施(私有、社区或公共)的组合。每个云都是一个独特的实体，但与其他云绑定以向
动力 组织提供服务(例如，云爆发以实现云之间的负载平衡)。
fedramp.gov 第6
页
 CSP 授权手册

8.0 影响级别
联邦信息处理标准(Federal Information Processing Standard, FIPS) 199 提供了对信息和信息系统进行分类的
标准，csp 使用该标准来确保其服务满足处理、存储和传输联邦数据的最低安全要求。安全类别是基于某
些事件可能对组织完成其指定任务、保护其资产、履行其法律责任、维持其日常功能和保护个人的能力产
生的潜在影响。

在开发授权策略时，csp 必须了解其服务提供的影响级别和相应的安全分类。cso 被分为三个影响级别(低、

中、高)之一，并跨越三个安全目标(机密性、完整性和可用性)。

8.1.影 响水平

定义

低影响水平 低影响级别最适合 cso，因为机密性、完整性和可用性的丧失将对机构的业务、资产或个人造成

有限的不利影响。FedRAM P 目前对低影响数据的系统有两个基线:LI-SaaS 基线和 Low 基线。LI-
SaaS 基线考虑了低影响的 SaaS 应用程序，这些应用程序不存储除登录功能(即用户名、密码和电
子邮件地址)通常所需的个人可识别信息(PII)。与标准的 Low Baseline 授权相比，所需的安全文
档得到了整合，需要测试和验证的必要安全控制数量也降低了。关于 LI-SaaS 基线要求的更多信
息可以在 FedRAM P 定制网站上找到。

中等影响水平 中等影响级别的系统占接收 FedRAM P 授权的 CSP 服务的近 80%。它最适用于那些机密性、完

整性和可用性的丧失将对机构的业务、资产或个人造成严重不利影响的 cso。严重的不利影响
可能包括对机构资产的重大操作损害、财务损失或非生命或人身损失的个人伤害。

高影响等级 高影响数据通常在执法和应急服务系统、金融系统、卫生系统和任何其他系统中，这些系统
的保密性、完整性或可用性的丧失可能对组织运营、组织资产或个人产生严重或灾难性的不
利影响。FedRAM P 引入了高基线，以解释联邦政府在云计算环境中最敏感的非机密数据，包
括涉及保护生命和防止财务破产的数据。

关于高、中、低基线中涉及的安全控制的附加信息可以在 FedRAMP 安全控制模板中找到。

fedramp.gov 第7
页
 CSP 授权手册

注 意 :csp 必须正确地将他们的 cso 与影响级别对齐，以追求适当的 FedRAMP 基线和授权类型。例如，

符合 LI-SaaS 或与低基线一致的 cso 不能获得 JAB P-ATO，因为 JAB 仅授权中等和高系统。csp 应使用
FedRAMP FIPS 199 分类模板(嵌入在 SSP 的附件 10 中)以及 NIST 特别出版物 800-60 卷 2 修订版 1 的指
导，根据处理、存储和传输的信息类型正确地对其系统进行分类。

最终，系统的安全影响级别由机构客户决定，因为每个授权官员(AO)将具有不同的风险承受水平，每个
机构的使命也不同，这可能会影响他们对数据进行分类的方式。因此，csp 必须与其代理客户协调，以确
保与他们的影响等级分类达成一致。

8.2.安 全目标

定义 例子
保密

信息获取和披露包括保护个人隐 为了保护隐私，对 John Doe 个人信息的访问受

私和专有信息的手段。 到了充分的限制。

存储的信息应得到充分保护，防
完整性
止被修改。

Sus an Smith 缺乏适当 的访问权 限，无法 修改

确保及时 、可靠 地获取 信息 。
可用性 John Doe 的安全信息，John Doe 可以可靠地访
问安全的工作数据。

资料来源:FIPS PUB
199

fedramp.gov 8页
 CSP 授权剧本

FedRAMP 授权类型
下一节概述了 csp 可用的两种类型的 FedRAMP 授权:JAB 授权和代理授权。

9.0 JAB 授权

图 1:JAB 授权流程图

9.1.第 一 阶 段:准 备

FedRAMP Connect

JAB 在创建一个广泛的供应商市场方面投入了大量资金，但根据目前的资源和资金，每年只能授权有限数量
的 CSO。为了确保用于授权联邦政府 CSO 的资源的明确投资回报，FedRAMP PMO、CIO 理事会和 JAB 通过
一个称为 FedRAMP Connect 的过程评估 CSO。在此过程中，CSO 开发业务案例，并根据优先级标准评估和
确定与 JAB 合作的优先级。

确定 JAB 措施优先次序的最重要标准是证明整个政府对 CSO 的需求。为了确保 FedRAMP PMO 公平地评估

每个 CSP 的当前和潜在需求，CSP 必须提供相当于六(6)个客户对其系统的需求证明。CSP 有多种方法来证
明对其 CSO 的需求;然而，预计 csp 不能满足所有需求类别。既定的需求类别确保 CSP 的产品将被广泛使用

fedramp.gov 9页
 CSP 授权手册

政府机构的临界质量。在获得 JAB P-ATO 后，csp 预计将获得至少六(6)个独特的联邦机构客户，这些客户有

权利用该系统的 JAB P-ATO 作为其持续监控需求的一部分。

JAB 每年优先考虑多达 12 个 CSO，以获得 JAB 授权。在 CSP 被优先化之后，它有 60 天的时间成为 FedRAMP

就绪(如果还没有)。被优先考虑与 JAB 一起工作
由 FedRAMP PMO 认定的 FedRAMP 就绪构成 JAB 授权流程的第一阶段。

FedRAMP 就 绪

任何 CSP 都需要获得 JAB P-ATO 的 FedRAMP 就绪指定，并且强烈建议在追求代理 ATO 之前。虽然成为

FedRAMP 就绪并不能保证 CSO 将获得授权，但 FedRAMP 就绪的 CSO 在优先级上有优先权，因为联邦政
府对 CSP 的技术能力及其在授权过程中成功的可能性有更清晰的了解。在规划 FedRAMP 授权流程时，csp
应考虑 FedRAMP 就绪指定仅在 FedRAMP PMO 批准后的一个日历年内有效。

为了启动 JAB, csp 必须为其 CSO 实现 FedRAMP 就绪指定。为了达到 FedRAMP 就绪指定，CSP 必须与
FedRAMP 认可的第三方评估组织(3PAO)合作，完成其服务产品的就绪评估。准备情况评估报告(RAR)记录了
CSP 的能力，并向 JAB 提供了 CSO 安全态势的快照。

在评估结束时，如果 3PAO 可以证明 CSO 对授权流程的准备情况，则 3PAO 可以向 PMO 提交准备情况评估

报告(RAR)。rar 通常在提交后的两个工作日内由 FedRAMP PMO 进行审查。如果 PMO 在审查中发现任何问
题，则向 CSP 反馈需要解决的问题，以便将 CSP 视为 FedRAMP 就绪。一旦 PMO 批准了 RAR, CSO 就会在
FedRAMP 市场上被列为 FedRAMP 就绪。除了被要求追求 JAB P-ATO 之外，在市场上被指定为 FedRAMP
就绪，为正在研究符合其组织要求的 CSO 的潜在代理客户提供了宝贵的机会。

值得注意的是，csp 可以并且应该使用 RAR 进行自我评估，以便为 FedRAMP 和 FedRAMP 就绪评估与

3PAO 做准备。这些评估还旨在帮助 csp 在开始 FedRAMP 评估之前了解其当前架构或能力中的任何差距。
这些信息有助于 csp 了解根据 FedRAMP 要求保护其系统所需的努力程度。

关于实现 FedRAMP 就绪的步骤的更多信息可以在云服务提供商的 FedRAMP 市场指定中找到。

全 面安全评估

在 CSO 优先与 JAB 一起工作并被视为 FedRAMP 就绪后，CSP 为服务提供最终确定系统安全计划(SSP)，并

参与 FedRAMP 认可的 3PAO。3PAO 制定安全评估计划(SAP)，对服务产品进行全面的安全评估，并生成安
全评估报告(SAR)。CSP 根据 SAP 促进和参与评估活动。最后，CSP 制定行动计划和里程碑(POA&M)来跟踪
和评估

fedramp.gov 第 10
页
 CSP 授权手册

SSP、SAP、SAR 和 POA&M 必须使用 FedRAMP 模板完成，并一起提交。JAB 不会逐一审查文件。相反，完

整的安全包，连同第一次持续监测提交，将被视为整体，必须在 JAB 启动会议前至少 2 周提交给 PMO。然后，
FedRAMP PMO 将与 CSP 和 FedRAMP 认可的 3PAO 一起进行完整性检查，并协调 JAB 启动会议。

9.2.第 二 阶 段:授 权

JAB 授权流程使用具有多阶段门和“快速失败”原则的敏捷方法。第一阶段是 JAB 开球。在这一步骤中，CSP、

3PAO 和 FedRAMP 共同审查 CSO 的系统架构、安全能力和风险状态。根据启动会议的结果，JAB 将发布“通
过”或“不通过”的决定，以继续进行授权过程。启动会议通常是简报和非正式问答的结合。启动后，JAB 将
对安全授权包进行深入检查。CSP 和 3PAO 应通过及时解决问题和意见并参加定期会议来支持 JAB 审稿人。
一旦 JAB 的审查完成，CSP 和 3PAO 将纠正未解决的问题。一旦完成，JAB 将发布正式授权决定，如果有利，
将发布临时操作授权(P-ATO)。

csp 可以出于任何原因从流程中移除(一个 no-go 的决定)，尽管它通常是由于在授权阶段无法解决的重大架

构问题或其他缺陷。CSP 和 3PAO 代表必须能够回答有关系统架构、风险管理活动、系统的实际风险和补
救计划/状态的深入问题。

如果 Kickoff 的结果是 go，则 JAB 将对安全授权包进行深入审查。CSP 和 3PAO 应支持 JAB 审稿人，及时提

出问题和意见，并参加与 3PAO、FedRAMP PMO 和 JAB 审稿人的定期会议。在审查期间，CSP 必须每月提
交符合 FedRAMP 持续监测和漏洞扫描要求的共同可交付成果(扫描文件、POA&M 和最新库存)。此需求的
目的是证明 CSP 持续监测能力的成熟度。第一次共同提交必须与授权包提交同时进行，在启动会议前两周。
第二次共同提交必须在第一次提交后 30 天内进行，并确定 CSP 的正常每月交付日期。随后的共同提交必须
在整个授权阶段每月进行一次。

一旦 JAB 评审完成，CSP 和 3PAO 根据需要纠正系统和文件问题，并确保所有 JAB 审稿人意见得到适当解

决。然后，CSP 和 3PAO 将提交其修改后的授权包部分，其中包含所有 JAB 审稿人的意见。一旦 JAB 审稿
人审查并验证了补救措施，CSP 将从 JAB 收到 P-ATO 决定和 CSO 的正式临时授权。

JAB P-ATO 表示所有三个 JAB 机构都审查了安全包，并认为它可以被联邦社区接受。反过来，各机构审查

JAB P-ATO 和相关的安全包，并清除其机构使用。在这样做的过程中，各机构发出自己使用该产品的授权。
JAB P-ATO 不是风险接受，而是向机构保证系统的风险状态

fedramp.gov 11 页
 CSP 授权手册

已经过国防部、国土安全部和 GSA 的审查和批准。每个机构必须审查并发布他们自己的 ATO，该 ATO 涵盖

了他们机构对云服务的使用。关于 CSP 在 JAB P-ATO 授权过程中的角色和职责的信息可以在这里找到。

9.3.阶 段 3:持 续 监测

在颁发 JAB P-ATO 之后，CSP 需要根据初始评估和授权流程保持与 FedRAMP 要求一致的安全状态。这是通

过对 CSP 系统的持续监测来实现的。在 NIST SP 800-137 中描述，持续监测的目标是提供:(1)操作可见性，(2)
管理变更控制，以及(3)在系统的生命周期或使用期间出席事件响应职责。有关持续监测要求的更多深入信息，
请参阅 FedRAMP 持续监测战略指南。

对于具有 JAB P-ATO 的系统，JAB 充当集中的 PMO，用于持续监测这些系统的活动，为机构提供工件

和评估和管理 JAB P-ATO 系统的标准过程。在这种情况下，JAB:

定期审查和批准持续监测和安全工件。监控、暂停和撤销系统的 P-ATO

●批准或拒绝重大变更和偏差请求
审查事件信息，确保妥善处理和解决

确保 FedRAMP PMO 及时地为机构提供工件

对于利用机构，使用系统的最终批准权限由 JAB 的持续监测工件通知，并由每个机构指定的 AO 决

定。

除了上面描述的持续监测活动，CSP 必须利用

fedramp 认可的 3PAO 完成年度安全评估。年度安全评估更新系统的渗透测试结果，并对关键控制进行全

面评估，以及在三年的时间内对所有系统控制进行全面评估。

fedramp.gov 第 12
页
 CSP 授权手册

10.0 代理授权

图 2:代理授权流程

这与我们的代理授权手册中显示的过程相同，但它是从 CSP 的角度来看的。它包括 CSP 和机构都要完

成的额外步骤。

10.1.第 一 阶段:准 备

FedRAMP 就 绪

FedRAMP 就绪的指定是可选的机构授权过程，但强烈建议。为了达到 FedRAMP 就绪指定，CSP 必须与

FedRAMP 认可的 3PAO 合作，完成其服务产品的就绪评估。RAR 记录了 CSP 满足联邦安全要求的能力。

达到 FedRAMP 就绪指定的 CSP 在 FedRAMP 的市场上列出。机构使用 FedRAMP 市场来研究满足其组织需

求的云服务。如果 CSP 有兴趣追求政府客户，那么通过 FedRAMP 市场，FedRAMP 就绪可以为潜在的机构
客户提供有关服务产品安全性的宝贵信息。

此外，对于正在考虑是否获得 FedRAMP 授权的 CSP 来说，RAR 可以作为自我评估，以确定其服务产品的

安全性存在哪些差距以及这些差距可能在哪里。这些信息可以帮助 CSP 了解在与代理机构进行 ATO 之前，
根据 FedRAMP 要求保护其系统所需的努力程度。

fedramp.gov 13 页
 CSP 授权手册

关于实现 FedRAMP 就绪的步骤的更多信息可以在 FedRAMP 云服务提供商市场指定中找到。

预授权

伙伴关系建立

在预授权的合作伙伴关系建立阶段，CSP 与符合 FedRAMP 云服务提供商市场指定中概述的要求的机构正式

建立合作伙伴关系。在某些情况下，供应商可能已经与代理机构签订了合同，或者代理机构可能正在完成
收购流程。在这个阶段，CSP 应该有一个完全可操作的系统和一个致力于 FedRAMP 过程的执行团队。CSP
应通过填写 CSP 信息表与 FedRAMP PMO 进行接触。通过填写此表单，PMO 还将为 CSO 生成 FedRAMP
ID。

在确定代理合作伙伴之前，CSP 应该确定将放置在系统内的数据的安全分类。CSP 应使用 SSP 中的

FedRAMP FIPS 199 分类模板(附件 10)以及 NIST 特别出版物 800-60 卷 2 修订版 1 的指导，根据其系统上处
理、存储和传输的信息类型正确地对其系统进行分类。该分析将告知 CSP 哪个影响级别最适合他们的系统。
一旦建立伙伴关系，CSP 应向机构确认其影响程度，机构将进行自己的 FIPS 199 评估。

授 权计划

一旦建立伙伴关系，CSP 应:

●确认专门用于授权流程的资源(其中应至少包括一名技术作家，一名技术 SME 和一名项目经理)

●与机构合作，为第二阶段的评估选择 3PAO(最好是 FedRAMP 认可的 3PAO，尽管 CSP 可以利

用独立的评估机构进行机构 ato)
完成 CSP 的 FedRAMP 培训
●确定机构审查授权包的方法，如下所述:

准 时 制线性方法
同 时 提供的所有可交付成果

从 SSP 开始，每个可交付的 F edRAM P 都建立在另一

个基础之上。SSP 及其附件、安全评估计划(SAP )和安
全评估报告(SAR)以线性方式完成，一旦交付成果产
生，就会获得机构的反馈。反过来，根据机构的审查，
对每个可交付成果进行修改。一旦交付成果最终确定
并被机构接受，下一个交付成果的工作就开始了。
所有 FedRAM P 可交付成果(SSP 及其附件、SAP、
SAR、POA&M )在启动会议之前完成并提交给代理
商。该机构立即审查所有可交付成果，并与 CSP 和
3PAO 合作。这种方法类似于 JAB P-ATO 的授权完
成方式。

fedramp.gov 14 页
 CSP 授权手册

有 用 提 示:FedRAMP PMO 推荐即时方法，因为它是一种更加迭代和敏捷的方法，可以防止 3PAO 测试

发生后的返工。

在代理伙伴的协助下完成工作分解结构(WBS)。WBS 完成后，请将其发送给 PMO 进行审核。

与您的代理合作伙伴一起完成正在进行的请求，完成此表格向 PMO 表明 CSP 能够开始安排启动会

议。

●开始制作启动简报台。在安排启动会议之前，应将您完成的甲板副本发送给 FedRAMP PMO。

〇PMO 拥有 csp 在制作演示文稿时可以使用的指导文件。这将在接收电话结束时与 csp 共享。如

果你还没有接到接收电话，请联系 info@fedramp.gov 获取指导的副本。

启 动会议

这个阶段的最后一步是准备和进行启动会议。启动会议的目的是通过介绍关键团队成员，审查云服务产品，
并确保每个人都在整体流程和里程碑时间表上保持一致，从而正式启动代理授权流程。虽然 FedRAMP
PMO 协调和促进启动会议，但启动最终意味着为 CSP 和代理伙伴关系服务。

在启动会议结束时，所有利益相关者将有一个共同的理解:

●整体授权流程、里程碑、可交付成果、角色和职责、时间表

●CSO 的目的和功能、授权边界、数据流、已知的安全漏洞和补救计划、机构特定要求、客户负责的控
制以及可能需要机构风险接受的领域

●该机构审查授权包并达成基于风险的授权决策的流程

•PM O 从政府范围内重用的角度审查授权包的过程•成功的最佳实践和技巧

在本次会议结束时，csp 可以访问 FedRAMP 的安全存储库(除非系统的影响级别为高)。此外，如果机构对简

报和时间表感到满意，尚未在 FedRAMP 市场上被列为正在进行中的 csp 也有资格被列入名单。请注意，并
非所有系统都有资格在启动会议上列出，因此，在此步骤之后，请务必与 PMO 就您的在制状态进行沟通。

进 程内的指定

一旦 csp 通过 JAB 或与机构建立了合作关系，积极致力于 FedRAMP 授权，则将其视为 FedRAMP 正

在进行中。FedRAMP 市场指定云服务提供商概述了实现此指定的要求。一旦在过程中，csp 就会以这
个名称显示在 FedRAMP 市场上。

fedramp.gov 第 15
页
 CSP 授权手册

虽然您的机构联络点(POC)可能是项目方的某个人，但与机构的安全方以及最终的授权官员联系是至关重
要的，授权官员需要在 CSP 获得在处理指定之前向 FedRAMP 发送在处理请求。如果您的项目所有者不知
道在他们的代理机构中该找谁，PMO 可以提供帮助。

10.2.第 二 阶段:授 权

全 面安全评估

在这个阶段，3PAO 测试 CSP 的系统。SSP 应充分开发，CSP 应与其 3PAO 合作开发 SAP。如果 CSP 与代理
商合作使用上表所述的准时制线性方法，建议代理商在 3PAO 启动测试之前批准 SAP。在测试过程中，至关
重要的是不能对系统进行任何更改，并且从开发的角度来看，它是冻结的。一旦测试完成，3PAO 将制定一
份合成 SAR，详细说明他们的发现，并包括 FedRAMP 授权的建议。然后，CSP 将根据 SAR 结果制定
POA&M，并包括 3PAO 的输入，其中概述了解决测试结果的计划。

一旦完成，CSP 和 3PAO 应共同完成 SAR 汇报。在安排 SAR 汇报会议之前，请将此文件的完整副本发

送给 PMO 进行审核。PMO 有一份指导文件，将在启动会议结束时分享。

SAR 汇报的目的是帮助机构对 CSO 进行风险评估。在 SAR 汇报中，3PAO 提供安全评估的结果，CSP 提供

修复剩余风险的计划和时间表，FedRAMP PMO 描述剩余的里程碑和成功提示。虽然 PMO 协调和促进 SAR
汇报，但它最终意味着为 CSP 和机构伙伴关系服务。

在 SAR 汇报结束时，所有持份者会就以下事项达成共识:

3PAO 的评估方法、方法和时间表

●测试范围，包括授权边界和数据流的验证●评估结果和剩余风险
CSP 的剩余风险补救计划和时间表
●需要机构批准的偏差请求(风险调整，误报)

●运行所需的风险，需要机构风险接受(例如，CSO 运行所必需的服务或组件，但排除在测试范围之外)

●机构审查授权包并达成基于风险的授权决策的流程

•PMO 从政府范围内重用的角度审查授权包的过程
●最佳实践和成功秘诀

fedramp.gov 16 页
 CSP 授权手册

代理授权流程
一旦评估和相关的可交付成果完成，机构就会对其进行审查，要么批准，要么要求进行额外的测试。
然后进行最终审查，如果机构接受与使用该系统相关的风险，他们将提供由授权官员签署的操作授权
(ATO)函。

在机构 AO 发出 ATO 函后，PM O 对授权包进行审查，以确定是否适合政府范围内的重用。PM O 的检讨

范围包括:

广泛的毛笔质量审查，以确保授权包清晰准确地代表 CSO 的安全和

风险态势。当最初的授权机构对授权包进行质量审查时，PM O 的审查 风险审查，以确定在市场状态更
被认为是“最后一组眼睛”，以确保 FedRAM P 市场上列出的所有包 改为“FedRAM P 授权”之前必须
的一致性。 解决的弱点或缺陷。

PM O 收到 ATO 信函后，将执行以下步骤以获得 FedRAM P 授权名称:

1 CSP 和 3PAO 上传当前版本的包交付到安全存储库●OM B M AX 用于低和中等基线

包

●CSP 的高基线包存储库

2 CSP 填写并提交 FedRAM P 初始授权包清单至 info@fedramp.gov

PMO 验 证 所 有包交 付成 果是 否已上 传

4 包被放置在 PM O 评审小组的队列中，并按照收到的顺序进行评审

●包评审通常需要从评审开始的 10 个工作日，假设没有可能减慢评审速度的重大质量问题

PM O 评审小组将评审报告草稿发送给所有利益相关者(CSP , 3PAO，机构)
5
报告草稿记录了 PMO 评审期间发现的问题，以及任何需要澄清的地方

PMO 协调审查会议，通过调查结果和澄清要求，以及 CSP/3PAO 的补救计划

●报告草稿至少在会议前一周寄出

6 CSP/3PAO 地址发现及重新提交包;通知 info@fedramp.gov

7 . PM O 进行差距审查
●与 F edRAM P 领导层沟通剩余差距或建议授权●一旦获得批准，市场名称将更改为
FedRAM P 授权

fedramp.gov 第 17
页
 CSP 授权手册

一旦 CSO 收到 FedRAMP 授权指定，FedRAMP 市场将更新以反映该指定。FedRAMP PMO 将根据请求者的

请求和验证，向整个联邦政府提供 CSO 安全包，以便根据他们自己对 CSO 安全文档的审查，发布后续使用
该服务的 ATOs。由于材料的敏感性，这些信息通过使用 FedRAMP 包访问请求表单受到高度控制，该表单
必须通过联邦政府内部的适当签名进行路由。每个表格都需要 FedRAMP PMO 的批准来审查文件。

一旦云服务获得 FedRAMP 授权，每个后续代理客户仍然必须为使用该服务提供自己的 ATO。机构有一

条通往 FedRAMP 重用模型视图的简单路径;一旦授权完成，任何机构都可以审查安全包，确定与使用服
务相关的风险的可接受性，并发布自己的 ATO。如果任何机构客户对这个过程感到困惑，FedRAMP
PMO 可以支持电话讨论它。所有 ATO 信件应发送给 FedRAMP PMO 进行监控。

FedRAMP 的《云产品授权重用快速指南》概述了各机构为 FedRAMP 授权的 cso 签发自己的

ATOs 的逐步过程。

10.3.阶 段 3:持 续 监测

一旦 FedRAMP 授权完成，CSP 必须每月向使用其服务的机构提供持续监测交付物。这些可交付成果包括更

新的 POA&M、漏洞扫描结果/报告、偏差请求、重大变更请求、事件报告和年度评估包。每个使用该服务
的机构都会审查每月的持续监测成果。提供 LI-SaaS、Low 或 Moderate 云服务的 csp 使用 FedRAMP 安全存
储库发布每月持续监测材料。拥有高分类云产品的 csp 使用他们自己的安全存储库。

FedRAMP PMO 鼓励拥有多个客户机构的 csp 简化共同利益流程，并尽可能减少重复工作，以帮助每个机

构仍然执行与共同利益相关的尽职调查。PMO 开发了一种推荐的协作共同利益方法。多机构持续监测指南
描述了这种方法。协作共同利益有利于机构，允许他们分担共同利益监督的责任，它有利于 CSP，通过创
建一个中央论坛来解决问题，并达成与偏差请求、重大变更请求和年度评估相关的共识，而不是与每个机
构单独协调。如果您是 FedRAMP 授权的 CSO，并希望与 PMO 合作，帮助建立一个多机构共同小组，请联
系 info@fedramp.gov 寻求帮助。

此外，CSP 必须使用 3PAO 来完成年度安全评估，以确保系统的风险状态在系统的整个生命周期中保持在

可接受的水平。年度评估以及更新的安全授权包文档必须上传到 FedRAMP 安全存储库，完成后应通过
info@fedramp.gov 通知 FedRAMP。

fedramp.gov 18 页
 CSP 授权手册

重要的注意事项
下面是在开发授权策略时需要考虑的一些方面。我们建议您了解这些方面，并准备在您与 FedRAMP PMO
的就诊电话中谈论它们。

11.0 IaaS vs. PaaS vs. SaaS

NIST SP 800-145 建立了 FedRAMP 对 IaaS、PaaS 或 SaaS 云服务的定义。需要将其产品定义为一种或多种
服务模型的 csp 应参考以下指南:

定义

软件即服务 提供给消费者的功能是使用在云基础设施上运行的提供商的应用程序。这些应用程序可以通
(SaaS) 过瘦客户端接口(如 w eb 浏览器(如基于 w eb 的电子邮件))或程序接口从各种客户端设备访
问。消费者不管理或控制底层的云基础设施，包括网络、服务器、操作系统、存储，甚至单
个应用程序的功能，可能除了有限的用户特定的应用程序配置设置。

平台即服务 提供给消费者的功能是将消费者创建或获得的应用程序部署到云基础设施上，这些应用程序
(PaaS) 使用提供商支持的编程语言、库、服务和工具创建。消费者不管理或控制底层云基础设施，
包括网络、服务器、操作系统或存储，但可以控制已部署的应用程序和可能的应用程序托管
环境的配置设置。

基础设施即服务 提供给消费者的能力是提供处理、存储、网络和其他基础计算资源，消费者可以在其中部署
(IaaS) 和运行任意软件，其中可以包括操作系统和应用程序。消费者不管理或控制底层云基础设
施，但可以控制操作系统、存储和部署的应用程序，并可能有限地控制所选的网络组件(例
如，主机防火墙)。

12.0 系统栈

“系统堆栈”一般是指包含在云服务产品中的数据中心的服务层。CSO 必须
根据适当的 FedRAMP 基线进行授权，这意味着必须对每个组件(IaaS、PaaS、
SaaS)进行授权。

以 SaaS CSO 为例，授权的堆栈将包括三个系统边界和每个组件层的 ATO

字母。这使得
fedramp.gov 19 页
 CSP 授权手册

SaaS 具有从底层 PaaS/IaaS 层继承/利用安全控制的能力，将一些控制的维护责任转移给提供基础设

施服务的 CSP。

当 CSP 将其系统托管在非 fedramp 授权的云服务中时，“继承/利用”关系不存在。在这种情况下，SaaS 提

供商除了自己的软件应用程序外，还需要在其授权边界内包括基础设施和平台，以授权整个堆栈。在这种情
况下，CSP 负责整个堆栈，并详细说明其 SSP 中的底层基础设施和平台。在这种情况下，授权是针对具有自
己基础设施的 SaaS，但是基础设施本身并不构成 IaaS。

FedRAMP PMO 强烈建议 csp 了解系统的堆栈，并说明 IaaS、PaaS 和 SaaS 如何分层。此外，PMO 可以告

知 csp 如何根据系统架构利用现有的 ato。

注 意 : 要实现 JAB 授权，CSP 的服务必须驻留在 JAB 授权的基础设施(JAB 授权的基础设施列表)上，或者建

立自己的基础设施。

13.0 努力水平
与授权 CSO 相关的工作量(LOE)和成本将根据系统的复杂性、团队的总体承诺和专业知识而变化。此外，总
体 LOE 和成本将取决于 CSP 是采用机构 ATO 还是 JAB P-ATO，因为每个机构根据其特定的安全要求遵循略
有不同的授权流程。

LOE 可以分为以下几类:

定义

项目管理文档 根据机构和 FedRAM P 控制对系统进行更改，完成所有所需的文件，包括技术写

作、审查和提交给机构的文件的质量保证，JAB，以及 F edRAM P PM O 与顾问和咨
询服务相关的成本，以支持授权，包括适当的技术专长和 3PAO 提供的评估服务

支持

csp 完成将影响整体 LOE 的授权过程的典型障碍包括:●没有准确定义授权边界或描绘数据流程图

●没有 FIPS 140 验证的加密模块
●未适当实施多因素身份验证
●不良的文档和不成熟的管理流程
●没有预先应用适当的资源(例如，未能在早期烘焙安全性和资源)

fedramp.gov 第 20
页
 CSP 授权手册

13.1.CSP 授 权 团队

配备授权工作，无论是 JAB 还是代理授权，都应该是任何 CSP 的关键考虑因素。虽然 FedRAMP PMO 没有

推荐任何具体的资源水平，但当 CSP 授权团队包括以下能力时，无论是内部还是咨询能力，它已经见证了
成功的授权工作:

定义
项目管理
具有在联邦或大型私人组织中作为信息技术(IT)系统实施一部分的团队和任务管理
经验，包括先前的 FedRAM P 或 FISM A 授权经验。成功的项目经理通常具有敏捷、
DevOps 或精益管理方法的工作知识。此外，他们能够自如地协调项目涉众，并且
对 IT 系统的实现具有端到端的可见性。

客 户 关系 管 通常，销售或业务开发助理熟悉或负责导致联邦采购系统的业务关系。成功的客户
理 关系经理在整个实施过程中促进利益相关者之间的沟通，特别是在授权工作开始时
CSP 和代理资源的初始伙伴关系期间。

了解有关服务产品系统架构和设计的专业知识，包括对系统适用安全控制的适应
系统架构与工程 性的可见性。在授权工作中，有效的技术人员通常证明具有联邦 IT 系统的能力，
并且对 FISM A 和 FedRAM P 定义的联邦安全需求有透彻的理解。

技术写作 通过对系统架构和设计以及适用的安全控制如何影响和与系统交互的透彻理解而
获得的有效的写作能力。此外，有效的技术作者展示了控制如何与服务提供，代
理和系统堆栈内的任何底层系统(例如，IaaS 继承)相关的工作知识。

通信 FedRAM P PM O 认为沟通是任何项目团队的核心能力，可以反映在专门的全职等效
(FTE)中，也可以体现在 CSP 团队的总技能集中。在联邦环境中，通信是 CSP 、代
理、3PAO 和 PM O 资源在整个系统生命周期中持续协调的组成部分。

fedramp.gov 21 页
 CSP 授权手册

卷二:

制定授权
包

fedramp.gov 22 页
 CSP 授权手册

介绍
CSP 手 册 第 二 卷 :开 发 授 权包 是 FedRAMP CSP 手册系列的第二卷。第一卷描述了云服务提供商(CSP)如何开
始使用 FedRAMP，介绍了机构和联合授权委员会(JAB)授权流程、FedRAMP 指定，以及 CSP 在寻求授权
之前应该考虑什么。

第 二 卷 概述了授权包的要素，以及提供高质量包的一般指导和提示，以确保快速的授权流程。第二卷的总
体目标是通过帮助 CSP 第一次就把它做好，从而最大限度地减少返工和延迟。我们将继续更新这一卷，因
为我们确定了额外的指导和成功的技巧。

本卷适用于追求低、中、高影响水平 FedRAMP 授权的 CSP，旨在补充按需 CSP 培训中提供的信息。除了全

面审查本文档外，CSP 还必须接受 FedRAMP 授权的按需培训。

授权包中有什么
FedRAMP 授权包记录了 CSP 云服务产品(CSO)的安全和风险状况。它包括系统安全计划(SSP)，这是 CSO 的
“安全蓝图”。SSP 定义了 CSO 的授权边界，并描述了用于保护系统和联邦数据的机密性、完整性和可用性
(CIA)的安全控制。授权包还包括若干必要的 SSP 附件(例如，政策和程序以及事件响应计划)、安全评估计划
(SAP)、安全评估报告(SAR)、行动计划和里程碑(POA&M)以及授权书。

联邦机构利用 FedRAMP 授权包授权供联邦政府使用的云服务。FedRAMP 为 CSP 开发和向联邦客户交

付授权包提供了标准模板和资源。

● 系统安全计划(SSP)及其附件
● 安全评估计划(SA P)

● 安全评估报告(SA R)

● 行动计划 和 里 程 碑 (P O A& M )

● 签署代理授权操作(ATO) -用于代理授权
● 签署的 JAB 临时 ato (P-ATO) -用于 JAB 授权

表 1。FedRAMP 授权包: 文件清单

fedramp.gov 23 页
 CSP 授权剧本

FedRAM P 授权包文件必须以指定的格式提交(例如，M S Word, M S Excel)，有些必须使用 FedRAM P 提供的

模板准备。csp 必须填写并提交 FedRAM P 初始授权包清单，以确保满足所有文件要求。该清单指出了所需
的提交格式和模板，并且必须包含在初始授权包中。

禁止 csp 和 3pao 修改或删除 SSP 、SAP 和 SAR 模板中的内容。然而，在提交 SSP、SAP 和 sar 的最终版本
之前，csp 和 3pao 应删除蓝色斜体的指导文本。超出 F edRAM P 基线的机构特定要求必须在 SSP 的附录中记
录。

开发授权包
以下部分描述了与授权包开发相关的角色和职责，以及完成 SSP、SAP、SAR 和 POA&M 的一般指
导。

FedRAMP 鼓励涉众审查旨在减少准备授权材料的工作水平的项目自动化计划。与 NIST 合作开发的开放安

全控制评估语言(OSCAL)使 csp 能够以机器可读的格式准备安全授权文件。为了了解使用 OSCAL 的目的和
好处，该计划鼓励 csp 查看计划网站和相关指南。

1.0 角色和责任
csp 和 3pao 应该理解并同意授权包开发方面的角色和职责划分。虽然 csp 不制定 SAP 和 SAR，但他们负
责审查和批准这些文件。出于这个原因，本 CSP 手册第二卷包含了一些关于如何检查 SAP 和 SAR 的完
整性、正确性和一致性的技巧。

CSP
3 pao
●使用 FedRAM P 模板*开发 SSP 文
档 ●作为顾问，开发 SSP 文件**●作为评估员，验证
SSP 文件的有效性
验证导师准备的工作(如果适用)
完整和准确**
SSP
审核和批准 SAP
●签署渗透测试交战规则 与 CSP 协调确定评估范围和方法

●使用 FedRAM P 模板交付 SAP 和安全测试用例

SAP 程序***

fedramp.gov 24 页
 CSP 授权手册

●签署渗透测试交战规则●交付 符合的渗透测
试计划

FedRAM P 的指导
SAR
在评估期间向 3PAO 提供所需的工件和证据
根据 FedRAMP 指南对 CSO 进行评估
与 3PAO 合作，在授权前确定必须纠正或减轻
起草与 SSP/SAP 细节一致的 SAR，并描述评估结果
的风险
***●将 SAR 交付给 CSP

根据 FedRAM P 的 POA&M 模板和完成指南，

验证 CSO 的 POA&M 细节，作为年度评估的一部分
POA&M 创建并维护 POA&M
如果代表 CSP 执行 POA&M 活动，则承担 CSP 对 POA&M
●使用 POA&M 来跟踪和管理风险
管理的所有责任

表 2 。 CSP 和 3PAO 授权包的角色和职责

* csp 必须在 SSP、隐私影响评估(PIA) 、行为规则(RoB) 、信息系统应急计划(ISCP) 、控制实施摘要(CIS) 工

作簿、法律法规、综合库存工作簿以及行动计划和里程碑(POA&M) 中使用 FedRAMP 模板。csp 制定自己
的政策和程序、用户指南、事件响应计划和配置管理计划。关于这些所需文件的附加指导将在下面的章节
中提供。

** 根据 R311:特定要求 - FedRAMP，合同提供咨询服务的 3pao 在两年内不能为同一 CSO 提供评估服务。

*** 3pao 必须使用 SAP、安全测试用例程序、SAR 和风险暴露表的 FedRAMP 模板。

2.0 系统安全规划(SSP)
SSP 是云服务产品的“安全蓝图”。编写良好的 SSP 允许审阅者在系统架构、数据流、安全控制实现和授权
边界之间牵线。在审查了 SSP 之后，AO(或指定人员)应该对联邦数据如何传输到系统、从系统传输到系统以
及在系统内部传输有深刻的理解;数据的处理和存储地点;以及如何保护数据。

FedRAMP 为它的每一个基线提供了一个 SSP 模板:低、中、高。

fedramp.gov 25 页
 CSP 授权剧本

在起草 SSP 时，请记住，它讲述的是关于云服务产品安全性的故事。如果故事情节中存在空白，您

将被要求解决空白，这可能会延迟授权流程。

2.1.入 门 :关 注 质量

高质量的 SSP 是成功的关键。如果你的团队中没有一个有安全经验的技术写手，那就雇佣一个!虽然这不是必

需的，但 csp 通常选择聘请有经验的咨询伙伴来帮助开发 SSP 。FedRAM P 市场上列出的许多批准的 3pao 除了
评估服务外还提供咨询服务。
注 意 :如果聘请 3PAO 顾问，则必须聘请不同的 3PAO 来执行独立评估。

一个常见的成功障碍是写得不好、不完整、不准确和/或不一致的 SSP。FedRAMP 定义了文件接受的一般标

准，见表 3。此外，在开始编制 SSP 之前，csp 应完成以下 FedRAMP 在线培训模块:FedRAMP 系统安全计划
(SSP)所需文件(200-A)和如何编写控制(201-B)。我们还在本节后面提供了与有效控制编写相关的进一步指导
和期望。

表 3 。单据受理标准
标准
描述
清晰
●材料的逻辑呈现
●当前日期和及时的内容
●定义了非标准术语、短语、首字母缩略词和缩写
●没有模棱两可的陈述或内容

语法正确，没有尴尬的短语、印刷错误、拼写错误、缺词或错误的页码和节号

●可读图形文本
完整性 ●清晰易读的图形图形

包括符合 FedRAMP 要求的准确、详细和信息丰富的内容

包括 FedRAMP 模板的所有适当部分
包括所有附件和附录

简洁 包括目录表、表格表和图表表(如适用)包括图表所需的信息、正确的标签以及颜色和线条格式
的关键

●与受众相关的内容和复杂性●没有多余的单词或
短语

fedramp.gov 26 页
 CSP 授权剧本

一致性 ●正确和一致的格式
●正确连续的分段编号
●在整个文件中具有相同含义的术语

●在整个文档中以相同的名称或描述引用的项目●在整个文档中相同的细节级别和呈
现风格●不与前任文档相矛盾的材料

●基于前导文档的后续文档中的所有材料●与文本一致的图内容

2.2. 入门:定义授权边界和数据流在实现和记录安全控制之前，csp 必须清楚地为 CSO 定义授权边界。

授权边界使审阅者能够清楚地了解正在授权的内容，并且是构建 SSP 其余部分的基础。在 3PAO 评估期
间，授权边界将根据清单进行验证。

授权边界图(ABD)是构成 CSO 授权边界的系统服务、组件和设备的可视化表示。为了帮助授权官员(AOs)

了解可能需要接受风险的领域或机构有责任的领域(即，排除在授权边界之外的一切)，ABD 还描述了向
CSO 提供功能或用于管理和操作 CSO 的所有外部系统或服务。这包括底层 IaaS/PaaS 产品、系统互连、
api、外部云服务、企业共享服务和更新服务(例如，恶意软件签名和操作系统更新)。

为了正确定义授权边界，csp 需要了解联邦数据和元数据如何以及在何处流过 CSO。为此目的，csp 应首先

描述 CSO 内部和外部的数据流。

要了解如何定义授权边界，csp 必须查看 FedRAMP 授权边界指南。

2.3.继 续 :编 写 SSP
一旦定义了授权边界和数据流，csp 就可以开始实现安全控制并编写 SSP。

SSP 的第 1 至 12 节被称为“前沿问题”。这些部分包括关于 CSO 的一般信息(例如，FIPS 199 分类、服务模

型、部署模型)以及对 CSO 的功能、系统架构、授权边界、数据流、互连等的详细描述。本节提供了如何在
SSP 中正确记录安全控制的指导。

FedRAMP SSP 模板中的每个控制都包含三个部分:控制需求、控制摘要信息和控制实施声明。下面提供了

与每个部分相关的指导，以及“做与不做”的列表，以确保成功。

fedramp.gov 27 页
 CSP 授权手册

2.3.1.控 制需求

FedRAMP 的基准是基于美国国家标准与技术研究院(NIST)特别出版物(SP) 800-53 联邦信息系统安全和

隐私控制目录。安全控制可能包括单一要求，也可能分解为多个要求。

以“信息系统……”开头的需求通常指的是必须具备的技术能力。例如，IA-2(1)要求信息系统对特权账户的
网络访问实现多因素认证。

以“The organization…”开头的要求，一般是指必须到位的流程或程序。例如，IR-5 要求组织对信息系统

安全事件进行跟踪和记录。

许多控制需求包括由 CSP 或 FedRAMP 定义的 参数。一些控制还包括额外的 FedRAMP 要求和/或指南。让

我们以 IA-4 为例:

IA-4 标 识 符 管 理
组织通过以下方式管理用户和设备的信息系统标识符:

(a)接受来自[分配: 组织定义的人员或角色]的授权，以分配个人、组、角色或设备标识符;

提示:组织(CSP)定义哪个人或角色可以授权标识符的分配

(b)选择标识个人、组、角色或设备的标识符;
(c)将标识符分配给预期的个人、组、角色或设备;

(d)防止标识符重复使用[FedRAMP 分配: 至少两(2) 年];提示:csp 无法定义此参数。F edRAM P 要求

csp 至少在 2 年内防止标识符的重用

(e)在[FedRAMP 分配: 用户标识符 90 天( 见附加要求和指南 )]之后禁用标识符

提示:csp 不能为用户标识符定义此参数。F edRAM P 要求在 90 天后禁用用户标识符。csp 可以

为设备标识符定义此参数，如下面的附加 F edRAM P 要求所示。

IA-4e FedRAMP 附 加 要 求和指南:

要求:服务提供商定义设备标识符的不活动时间段。指南:对于国防部云，请参阅国防部云网站，了解国防
部超越 FedRAM P 的具体要求。

fedramp.gov 28 页
 CSP 授权手册

2.3.2.控 制摘要信息

FedRAMP SSP 模板包括每个控件的控制摘要信息表。该表包括以下字段，这些字段必须由 CSP 完成。

此表中的信息必须与控制实施声明(即控制叙述)和控制实施摘要(CIS)工作簿一致。我们将在下一节:SSP
附件中讨论 CIS。

●负责角色:能够最好地回应有关特定控制的问题的角色(例如，数据库管理员，客户经理，ISSO)。它通常是
负责实现、管理和监控控制的角色。不应提供个人的实际姓名。

●参数(s):在相应的字段中输入实际参数值。在上面的 IA-4 示例中，控制摘要信息表将包括 IA-4(a)、IA-

4(d)和 IA-4(e)的三个参数字段。●实现状态:必须为每个控件选择至少一个状态。

〇对于有多个要求的控件，CSP 可能需要选择多个状态。例如，AC-8 要求系统:

■(a)在授予对系统 AND 的访问权限之前，显示一个系统使用通知消息

(b)保留屏幕上的消息，直到用户通过明确的操作确认使用条件

〇如果 CSP 已成功实施(a)，但仍在寻找实施(b)的方法，则 CSP 将同时选择“实施”和“计划”。

如果控制的任何部分是“计划的”或“部分实施”，则在 3PAO 安全评估期间，该控制将被标识为“未满足的”。

控制起源:所有的控制都来源于一个系统或一个业务过程。正确地描述控制的起源是很重要的，这样就能清
楚地知道谁负责实施、管理和监视控制。每种控制起源的定义和示例见 SSP 《控制起源和定义》 表 13-2。

〇如果系统从 FedRAM P 授权的 IaaS/PaaS 继承控件，请选择“inherited”复选框，并提供底层

IaaS/PaaS 的名称和/或 FedRAM P ID 以及授权日期。控件只能从已经存在的 F edRAM P 授权中继承。
如果 CSO 托管在未经 FedRAM P 授权的 IaaS/P aaS 中，则不存在杠杆/继承关系。在此场景中，CSP
负责整个堆栈，底层组件必须定义为 CSO 的授权边界的一部分，如系统互连和外部服务。

SSP 作者应该清楚地指出安全控制的哪些部分是继承的，并提供继承 内容的描述。作者不需要描述杠杆系统

是如何实现控制的。该细节可以在继承控制的杠杆系统的 SSP 中找到。

fedramp.gov 第 29
页
 CSP 授权手册

2.3.2. 控 制 实 施声 明:解 决 方 案是 什么 ?如 何 实 施?控制实施声明是描述实现了什么、如何实现以及谁负责的书

面叙述。仔细阅读控制要求，并问自己以下问题:

是否控制实施声明涉及控制中定义的每一个要求?对于多部分控制，实施声明应只处理与该部分相关的需求。

〇每个控制部分(a 部分、b 部分、c 部分等)都应该包含对具体控制需求的重点讨论。使用之前 IA-4 的例子，

d 部分的叙述应该描述 在适当的时间范围内防止标识符重用的措施，仅此而已。将叙述重点放在具体要求上
将有助于加快审查过程。●实施声明是否清晰，没有解释或混淆的余地?

●实施声明是否明确说明控制要求是否得到满足?

●实现声明是否清楚地描述了控制是如何实现的，包括谁(什么角色)负责实现和/或执行控制?

注 意 :在某些情况下，描述 如何 实现是困难的，因为答案可能很复杂或冗长。在这些情况下，可以在较高的层
次上描述如何，然后将审稿人指向外部文档以获取更详细的信息。

尽管审查人员将具有不同程度的技术和安全专业知识，但他们不会对您的 CSO 有深入的了解。因此，通过

解释所有特定于系统的术语、组件等，消除所有的歧义和猜测。

TIP:注意每个控制要求中的动词。例如，IR-5 要求 CSP 跟踪和记录安全事件。在 IR-5 的控制实施声明中，

csp 必须描述用于跟踪事件的过程/工具，以及用于记录事件的过程/工具。为了确保所有的控制需求都得到了
实现，并且在实现声明中得到了充分的处理，鼓励 csp 审查 FedRAM P 安全测试用例过程模板中为每个控制
定义的评估目标。低、中、高基线的模板可以在 F edRAM P 网站的文档和模板页面上找到。

TIP:对于客户提供的、客户配置的或共享的控件，在控件实现声明中创建“客户责任”标题。清楚地描述在
这个标题下期望客户做什么。你不必描述客户是如何实现需求的。

fedramp.gov 30 页
 CSP 授权手册

2.4.SSP 控 制 该做什么和不该做什么

应该
做的
事 事
●确保所有角色都在表 9-1 人员角色和特权 中定义，
并在整个 SSP 中一致描述。
●确保填 写 “ 控 制汇 总 信息 ”表 中的 所 有字 段， 并 确
保 信 息 与控 制 实施 声明 一致 。
●提 供 不适用(N/ a)控制的理由。
〇许多 csp 错误地将未经授权使用的控制识别为 N/A 。
例如，许多 csp 认为 AC-2(2)是 N/A ，因为环境中
没有使用临时/紧急帐户。FedRAM P 认为这种控
制是适用的，并要求 csp 引用禁止创建临时/紧急
帐户的政策，并描述为防止创建和/或审计未经授
权的帐户而实施的任何技术控制措施。
在引 用 SSP 附 件 或 其 他 外 部 文 件 时 ， 要包括正确和一 的细节是可以接受的，只要控制叙述充分解决了控
致的文件标题。
〇如果所引用的整个文件不适用，则应提供具体的
章节参考，以便于查找适用的章节。
〇填写 SSP 表 15-1 中所有 SSP 附件的文件名，提供
的附件名称。这样，你只需要在一个位置更新文
件名。
不该
做的
●不 要 修改控制需求文本，包括参数分配说明和额外的
FedRAM P 需求/指导。CSP 响应必须记录在“控制摘要
信息”和“解决方案是什么以及如何实施?”“表。
●在编 写 控 件 时， 不要简单地重复或重新表述
控件要求
执行语句。
●不 要 引用其他控件，而不是提供书面的控件叙述。参
考相关的控制项以获得额外的细节是可以接受的，但
每个控制项都需要独立的叙述，以充分解决控制要求。
●不 要 引用 SSP 附件或外部文件，而不是提供书面控
制叙述。参考 SSP 附件或外部文件作为 例子 或 额外
制要求。
●不 要 将实现语句从一个控件复制粘贴到另一个控件。
实现语句应该针对特定的控制要求。它不应包含与
控制要求不直接相关的内容。

〇对于 SSP 附件 1 ~ 13，建议使用“<信息系统缩

写> <附件号> <文档缩写> <版本号>”的文件命
名规则。例如，“信息系统缩写 A 8 IRP v1.0”。

〇引用其他外部文档时，请使用标准的命名约定，
将文档名称和文件名添加到 SSP 的表 15-1 中，并
随 SSP 包一起上传到 OM B M AX 中。注:如果外
部文件包含敏感系统信息，不能上传到 OM B
M AX，请在表 15-1 中加入声明，大意是“本文
件包含敏感系统信息，但可根据审核和评估的要
求提供”。

fedramp.gov 31 页
 CSP 授权手册

2.5.SSP 附 件

表 4 总结了一个完整的 SSP 所需的安全附件。csp 应了解完成每个文件所需的信息，并在适用的情况下，

调整和更新现有的组织政策和流程，以满足 SSP 附件中概述的要求(例如，事件响应计划、配置管理计
划等)。

表 4 。系统安全计划(SSP)附件

● 附件 1:信息安全政策和程序

● 附件 2:用户指南
● 附件 3:数字身份工作表*

● 附件 4:隐私阈值分析/隐私影响评估(PTA /PIA)*

● 附件 5:行为准则(RoB)*

● 附件 6:信息系统应急计划(ISCP )*
● 附件 7:配置管理计划(CM P)
● 附件 8:事件响应计划(IRP )

● 附件 9:控制实施总结(CIS)*

● 附件 10:联邦信息处理标准(FIP S) 199 分类*

● 附件 11:职责分离矩阵

● 附件 12:FedRAM P 法律法规*

● 附件 13:FedRAM P 综合库存工作手册*

*文件必须在 FedRAMP 模板中提交。

2.5.1.附 件 1:信息安全政策和过程

政策和过程(p&p)是对 SSP 的重要补充，是每个控制族的第一个控制(称为“dash”，例如 AC-1)所要求的。

政策提供了制定程序和实施 SSP 控制的指导方针。过程定义了执行技术任务或业务流程所需的具体指令。
过程详细说明了谁执行任务、执行哪些步骤、何时执行步骤以及如何验证过程。程序的例子有:

●如何创建账户
●如何测试备份

●如何审查可疑活动的日志

FedRAMP 不提供 p&p 的模板。一些 csp 选择将所有策略合并到单个文档中，并将所有过程合并到单个文档

中。一些 csp 选择为每个控制族开发单独的 p&p。任何一种方法都是可以接受的，只要满足每个“dash 1”
控件的需求，并且审稿人了解如何定位与每个控件族相关的 p&p。

NOTE:在某些情况下，所需的 F edRAM P SSP 附件可能包括一组特定安全控制的程序。例如，信息系统应急

计划(ISCP)是必需的 SSP 附件。本计划规定了在服务中断后恢复 CSO 的一般程序。

fedramp.gov 第 32
页
 CSP 授权手册

2.5.2.附件 2:用户指南

用户指南解释了机构客户将如何使用该系统。例如，如果系统有自助服务门户，则必须在用户指南
中说明如何使用该门户。

FedRAMP 没有为用户指南提供模板。许多 csp 通过动态网站而不是单独的静态文档向代理客户提供指导和

说明。这是完全可以接受的。请注意 SSP 表 15-1 中的网址。如果信息不能公开访问，请包括请求访问的说
明。

2.5.3.附 件 3:数字身份工作表

csp 必须完成数字身份工作表，该工作表作为 FedRAMP SSP 模板第 15 节中的附件 3 嵌入(不需要单独的附

件)。《数字身份工作表》为以下身分保证组成部分的适当级别的选择提供指引:

●身份证明过程(IAL)
认证过程(AAL)

●在联邦环境中使用的断言协议，用于通信身份验证和属性信息(FAL)

SSP 表 15 -3，将 FedRAMP 级别映射到 NIST SP 800-63-3 级别，将 FedRAMP 影响级别(低、中、高)映射到

NIST SP 800-63-3 级别(1,2,3)。

2.5.4.附 件 4:隐私阈值分析/隐私影响评估(PTA/PIA)

所有授权包必须包括 PTA，必要时还包括 PIA。PTA 模板作为 FedRAMP SSP 模板第 15 节中的附件 4 嵌入(不

需要单独的附件)。PTA 包括四个限定问题，以确定个人身份信息(PII)是否由 CSO 的任何组成部分收集。如果
任何一个合格问题的答案为“是”，则 CSP 必须填写 FedRAMP PIA 模板，并将其作为附件提交给 SSP。

NO T E:联邦云客户(数据所有者/系统所有者)必须执行自己的 PII，如果他们出于信息目的和/或与 CSP 合作开

发管理其 PII 的流程和程序，则可以与 CSP 共享此信息。

2.5.5.附 件 5:行 为 规 则 (ROB)

安全控制 PL-4 要求 csp 制定行为规则(RoB)，以建立和描述与使用 CSO 相关的责任和预期行为。

FedRAMP 提供了一个 RoB 模板，其中包括两组行为规则示例:一组用于内部用户，另一组用于外部用户。

csp 应根据需要定制这些规则集，以定义确保 CSO 安全所需的行为规则。

fedramp.gov 第 33
页
 CSP 授权剧本

2.5.6.附 件 6:信息系统应急预案(ISCP)

安全控制 CP-2 要求 csp 为 CSO 制定应急计划。FedRAMP 提供了一个 ISCP 模板，csp 必须使用该模板来建

立全面的程序，以便在服务中断后快速有效地恢复 CSO。

NOTE :击键级程序通常不包括在 ISCP 中。这些程序通常被认为是系统敏感的，只有在审计和评估需要

时才共享。

提 示 :商业影响分析(BIA)需要作为 ISCP 的附录 M 。FedRAM P 不提供 BIA 模板;然而，NIST SP 800-34《联邦

信息系统应急计划指南》在附录 B 中包含了一个 BIA 模板样本。

NOTE:安全控制 CP-4 要求 csp 至少每年对 ISCP 进行测试，并将结果记录在测试报告中。测试报告必须包含在

ISCP 中。一些 csp 错误地认为此要求仅适用于正在进行的连续监控(授权后)。csp 必须在获得 FedRAM P 授权
之前对 ISCP 进行测试，此后至少每年进行一次测试，作为连续监控的一部分。

2.5.7.附 件 7:配置管理计划(CMP)

安全控制 CM-9 要求 csp 制定 CMP(配置管理计划)。FedRAMP 不提供 CMP 的模板。然而，NIST SP 800-128

《以安全为重点的信息系统配置管理指南》为 CM 控制的实施提供了指南，并在指南附录 D 中提供了 CMP
大纲示例。

2.5.8.附 件 8:事件响应计划(IRP)

安全控制 IR-8 要求 csp 制定事件响应计划(IRP)。FedRAMP 不提供 IRP 模板;然而，NIST SP 800-61， 计算机

安全事件处理指南，提供了对事件响应政策和程序的发展指导，以及对事件响应计划的发展指导。

TIP:在 开发 IRP 时，请确保将事件报告需求纳入

FedRAM P 事件沟通程序。本文档概述了 F edRAM P 利益相关者在报告有关信息安全事件的信息时使用的步

骤，包括对已发布的紧急指令的响应。

注 意 :安全控制 IR-3 要求 csp 至少每年测试 IRP 并记录结果。一些 csp 错误地认为此要求仅适用于正在进行的

连续监控(授权后)。csp 必须在获得 F edRAM P 授权之前对 IRP 进行测试，并且此后至少每年进行一次测试，
作为连续监控的一部分。

fedramp.gov 34 页
 CSP 授权手册

2.5.9.附 件 9:控制实施总结(CIS)工作簿
csp 必须将 CIS 工作簿作为附件 9 提交到 SSP。FedRAMP 提供了两个 CIS

工作簿模板:一个用于低系统和中等系统，一个用于高系统。两者都可以在 FedRAMP 模板网站上获得。

除了 CIS 工作表选项卡之外，CIS 工作簿模板还包括客户责任矩阵(CRM)工作表选项卡。csp 必须使用

CRM 来描述客户责任所在的每个控制的具体元素。这必须对任何控制源为:

●由客户配置(特定客户系统)●由客户提供(特定客户系
统)●共享(服务提供商和客户责任)

TIP:代理商依靠 CIS 工作簿来理解客户特定责任的范围和性质。通常，它是 AO(或指定人员)在审查授权包时

打开的第一份文件。因此，确保 CIS 工作簿中的信息准确并与 SSP 一致是至关重要的。在提交授权包之前，
请留出时间在 SSP 和 CIS 工作簿之间进行交叉检查。这将大大有助于防止审查过程中的延误。

2.5.10. 附 件 10:联 邦 信 息处 理标 准(FIPS) 199 分 类 报 告 csp 必须完成 FIPS 199 分类报告模板，该模板作为附

件 10 嵌入 FedRAMP SSP 模板第 15 节。(不需要单独的附件)完成 FIPS 199 报告的说明包含在模板中。

FIPS 199 分析代表了 CSP 云服务产品的信息类型和敏感级别(不打算包括机构数据的敏感级别)。客户代理需

要对托管在 CSP 云环境中的数据执行单独的 FIPS 199 分析。分析必须作为 SSP 的附录添加，并驱动分类部
分的结果。

2.5.11.附 件 11:职责分离矩阵

安全控制 AC-5 要求 csp 建立并记录对 CSO 负有技术、操作或管理责任的个人的职责分离。职责分离可以

在 AC-5 控制实施声明中记录。csp 也可以选择提供职责分离矩阵作为 SSP 的附件 11。

2.5.12.附 件 12:FedRAMP 法 律法规

FedRAMP 法律法规模板提供了适用于 FedRAMP 的所有法律、法规、标准和指南的单一来源。CSP 不需要

完成任何事情。只需下载模板并将其作为附件 12 包含到 SSP 中。

fedramp.gov 35 页
 CSP 授权手册

2.5.13.附件 13:FedRAMP 综 合库存工作簿(IIW)

安全控制 CM-8 要求 csp 在授权边界内开发并记录系统组件的清单，该清单的粒度级别被认为是跟踪和报告

所必需的。为此，FedRAMP 提供了一个综合库存工作簿模板，csp 必须完成并作为 SSP 的附件 13 提交。模
板中提供了完成 IIW 的说明。

注 意 :IIW 提供了在安全评估计划(SAP)中定义的测试范围内的系统组件的完整列表。3pao 被指示不得将 IIW 嵌入

或附加到 SAP 中。相反，3pao 应简单地参考 SAP 范围部分的 SSP 附件 13。

如果在测试过程中发现了额外的组件，安全评估报告(SAR)必须描述与 SAP 的偏差。S SP 和综合库存工作

簿必须在授权之前更新以反映额外的组件。

作为每月持续监测工作的一部分，csp 也必须更新国际收支状况。

3.0 安全评估方案(SAP)
SAP 由 3PAO 开发和交付。它描述了评估 CSO 的范围、方法、测试计划和交战规则。CSP 和 3PAO 必须签
署 SAP，这表明承认并同意 SAP 和交战规则。csp 应仔细审查 SAP 的质量和完整性，并在评估开始前与
3PAO 合作，根据需要进行调整。我们在本节中提供了一些“检查表”指导，以帮助 csp 在执行 SAP 审查时
提供帮助。

表 5 所示。 FedRAMP 安全评估计划(SAP) 工件

●SAP*
●安全测试用例程序*

●渗透 测试 计划 和方 法● 交战 规则 (嵌 入在
SAP 中)*●抽样方法

*文件必须在 fedr amp 提供的模板中提交

●3PAO 是否使用 FedRAM P 模板来准备 SAP 和记录安全测试用例程序?当前的模板可以在 F edRAM P

模板网站上找到。

在上面的表 5 中列出的所有需要的工件都包含在 SAP 中吗?

●范围是否准确反映了构成系统授权边界的所有系统服务、组件和设备?

3PAO 是否打算使用抽样方法?如果有，该方法是否作为 SAP 的附录?对于漏洞扫描，3PAO 的抽样方法必须与

FedRAM P 指南一致，以确定使用漏洞扫描抽样的资格和要求 。

是否测试时间表反映了商定的时间表?

渗透测试计划和方法文件是否与 F edRAM P 渗透测试指南一致?

fedramp.gov 36 页
 CSP 授权手册

4.0 安全评估报告(SAR)
SAR 记录了 CSO 的安全评估结果，包括评估结束时剩余风险的摘要。安全评估的目的是评估 CSO 对
FedRAMP 基线安全控制的实施和遵从情况。

3pao 负责开发 SAR，这可能会经历几次迭代，以反映 CSP 在评估阶段修复或减轻的任何风险。csp 在将最

终的 SAR 交付 AO 之前，应仔细审查其质量和完整性。我们在本节中提供了一些“清单”指导，以帮助 csp
对 SAR 进行审查。

表 6 所示。安全评估报告(SAR) 工件

● SAR*

● 风险暴露表(RET)*

● 安全测试用例程序*

● 基础设施扫描结果
● 数据库扫描结果
● Web 应用程序扫描结果

● 渗透测试报告

● 评估过程中收集的证据

*文件必须在 fedr amp 提供的模板中提交

3PAO 是否使用 FedRAMP 模板来准备 SAR，包括 RET 和安全测试用例程序?当前的模板可以在

FedRAMP 模板网站上找到。是否所有必需的工件，如表 6 所列，都包含在 SAR 中?

验证安全测试用例程序工作簿(也称为“测试用例工作簿”)中的所有发现都记录在 SAR 中。

要做到这一点，请查看测试用例工作簿中的“CtrlSummary”选项卡。所有评估结果为“非满意”
的控制实例应在 RET 中作为开放风险记录，除非在测试期间纠正了这一发现。如果在测试过
程中发现的问题得到了纠正，则应将其记录在 SAR《测试过程中纠正的风险》表 5-1 中。

3PAO 是否充分描述了表 5-2 中列出的风险的缓解因素，风险与缓解因素(也称为“风险调整”)?aoo 往往会

非常密切地关注缓解因素，特别是对于初始评级为高的风险。

●3PAO 是否充分描述了表 5-3 中所列风险的基本原理和缓解因素，由于操作要求而遗留的风险?aoo 还

非常密切地关注 ORs 的基本原理和缓解因素。

第 7 节“ 授权建议”中对风险的高级总结是否与 RET 一致?

附录 F“ 评估结果”中风险的详细分类是否与 RET 一致?是否所有其他附件都按照说明书填写?

●3PAO 是否证明 SAR 的准确性，并在第 7 节授权建议中提供授权建议?

fedramp.gov 37 页
 CSP 授权手册

5.0 行动计划和里程碑(POA&M)
安全控制 CA-5 要求 csp 制定行动计划和里程碑(POA&M)，以记录纠正在安全评估和持续监测活动期间发现
的风险(例如，弱点、缺陷、漏洞)的补救计划。

csp 必须使用 FedRAMP POA&M 模板来跟踪和管理风险。完成 POA&M 模板的说明请参见《POA&M

模板完成指南》。

csp 需要提交 POA&M 和初始授权包。在授权 CSO 之前，aoos 将审查 POA&M，以了解当前的风险状况。根

据 AO 的风险承受能力，CSP 可能需要在授权之前纠正或减轻开放风险。我们在本节中提供了一些通用的
“POA&M 管理”指南，但 csp 还应审查以下 FedRAMP 文件，这些文件提供了与持续监测相关的全面指导:

●持续监测战略指南
●持续监测绩效管理指南
●漏洞扫描要求
●容器漏洞扫描要求

●确定使用漏洞扫描抽样的资格和要求指南●重大变更政策和程序

5.1.一 般 POA&M 指南

●与初始授权包一起提交的 POA&M 必须与 SAR 中的风险暴露表(RET)相对应，即对于 RET 中确定的

每个风险，必须有相应的 POA&M 项目。

〇3PAO 可能会将使用未经授权的外部服务的相关风险合并为 RET 中的单个风险，如果 3PAO

确定所有服务的风险影响级别相同，则可以接受这种情况。但是，csp 必须创建唯一的
POA&M 项来跟踪每个项目

未经授权的服务，因为每个服务的补救计划和缓解因素可能不同。

所有开放的风险必须在打开项目标签上捕获，即使它们不被认为是过期的。

〇在持续监测期间，csp 只需要捕获和跟踪 POA&M 中过去的扫描相关风险。但是，在 3PAO 安

全评估期间识别的所有风险必须在与初始授权包一起提交的 POA&M 中捕获。

在 3PAO 交付 SAR 后 修复的 poa&m 应列在关闭项目标签上。这些风险将在年度评估期间由 3PAO 确

认。

当创建每个 POA&M 项目时，确保包括 RET A 列中列出的标识符(例如，V1-SC-13)以进行可追溯性。这可以

通过简单地使用 RET 标识符作为 POA&M 唯一标识符来实现。或者，您可以将相应的 RET 标识符添加
到 POA&M 的 Z 列(Comments)中。

风险调整(RA)是降低扫描器定义的漏洞风险级别。为了证明 RA 的合理性，csp 必须描述减轻因素或补

偿控制，以减少开发的可能性和/或影响。对于在评估期间由 3PAO 验证的 RAs，选择“Yes”

fedramp.gov 38 页
 CSP 授权手册

U 列(风险调整)。对于未通过 3PAO 验证的 RAs，选择 u 列中的“Pending”。待验证的 RAs 必须

在授权之前得到 AO 的批准。

●假阳性(False Positive, FP)是指识别出系统中实际上不存在的漏洞。对于在评估期间通过 3PAO 验证的

FPs，在第 V 栏(假阳性)中选择“是”，并将风险移至关闭项目选项卡(验证的 FPs 不被视为开放风险)。
对于未通过 3PAO 验证的 FPs，选择 v 列中的“Pending”。待处理的 FPs 必须在授权前得到 AO 的批
准。

●操作需求(OR)是一种无法补救的发现，通常是因为系统不能按预期运行，或者因为供应商明确表示不打
算为其产品提供修复。FedRAMP 将不会批准针对 High 漏洞的 OR;然而，csp 可能会降低风险。对于在
评估期间由 3PAO 验证的 ORs，在 W 列(操作需求)中选择“是”。对于未经 3PAO 验证的 ORs，选择 w
列中的“Pending”。待决的 ORs 必须在授权之前得到 AO 的批准。

〇已批准的 ORs 仍被视为开放式风险。它们必须在“打开项目”选项卡上捕获，并由 CSP 定

期重新评估。

当 CSP 必须依赖下游供应商来解决漏洞时，例如商用现货(COTS)产品的补丁，但供应商尚未提供修复
程序，则存在供应商依赖(Vendor Dependency, VD)。
〇dvd 不被视为偏离请求，不需要批准。

〇高风险 dvd 必须在 30 天内通过补偿控制降低到中等水平。

〇将 dvd 作为开放风险进行跟踪，csp 需要至少每月与供应商进行一次检查，以确定补丁/修复的

状态。

〇在 POA&M 中将风险作为 vd 捕获时，在“供应商依赖”栏选择“是”，在“Q”栏输入“最

近一次供应商签入日期”，在“R”栏输入“供应商依赖产品名称”。

FedRAMP 要求在发现的 30 天内修复严重风险和高风险，在发现的 90 天内修复中等风险，在发现的

180 天内修复低风险。

fedramp.gov 39 页
 CSP 授权手册

POA&M 的 注 意事项

应该
做的 不该
事 做的
事

●严格按照 POA&M 模板完成指南中的说明，确保

●不 要 等到 CSO 获得授权后才与供应商核对
POA&M 正确完成。这将防止审查过程中的延误。
补丁/修复的状态。csp 应在 AO 审查授权
纠正或减轻安全评估过程中发现的所有高风险。如果 包时进行持续监控活动，例如供应商签入。
存在公开的高风险，FedRAM P 将不会在市场上发布 更新 Q 栏(Last Vendor Check-in Date)，以
“FedRAM P 授权”标识。 反映最后一次 Check-in 日期。

确保 POA&M 项目可以很容易地映射到 SAR 风险暴露表。 不要把 dvd 和 dvd 放 在 POA&M 的 Clos ed Items 标
签 上 。 dvd 和 dvd 被认为是开放风险，必须由
● 提 供 有关补丁/修复状态的供应商交互的证据(例如， CSP 跟踪。
供应商通知，电子邮件交换)。

●确 保 E 栏 (漏 洞检 测源)中 的信息 与 RET“ 发 现 源” 栏中的

信 息 一 致。

fedramp.gov 40 页