Entry № 458
FedRAMP
FedRAMP 是什么?
FedRAMP美国政府项目,统一规范联邦机构所使用云服务的安全评估、授权和持续监控。
联邦风险与授权管理计划(FedRAMP)于 2011 年设立,并通过 2022 年 FedRAMP 授权法案获得法律地位。它为面向美国联邦机构销售的云服务产品(CSO)提供单一、可复用的安全授权。云服务提供商需由经认证的第三方评估机构(3PAO)按照 NIST SP 800-53 的低、中、高三档基线进行评估,获得联合授权委员会(JAB)颁发的 P-ATO 或由具体机构颁发的 ATO。已授权服务列入 FedRAMP Marketplace,并须执行持续监控、每月更新 POA&M 并向 CISA 报告事件。计划由 GSA 运营、OMB 监督,旨在减少重复审计。
● 示例
- 01
某 SaaS 厂商申请 FedRAMP Moderate ATO,以便联邦机构采购其产品。
- 02
某联邦机构复用现有 FedRAMP High P-ATO 接入一项云协作服务。
● 常见问题
FedRAMP 是什么?
美国政府项目,统一规范联邦机构所使用云服务的安全评估、授权和持续监控。 它属于网络安全的 合规与框架 分类。
FedRAMP 是什么意思?
美国政府项目,统一规范联邦机构所使用云服务的安全评估、授权和持续监控。
如何防御 FedRAMP?
针对 FedRAMP 的防御通常结合技术控制与运营实践,详见上方完整定义。
FedRAMP 还有哪些其他名称?
常见的别称包括: 联邦风险与授权管理计划。