现在已经16个大类150多个安全控制定义为联邦风险评估计划(FedRAMP),它提供了云对特定类型的系统实施共同的安全要求。
FedRAMP还提供持续的风险评估和持续监测,并进行供应商提供的云服务和基础设施将在公共网站上张贴的政府范围内的安全授权。
根据网站首席信息官理事会CIO.gov博客上,释放这些控制“是成功发射FedRAMP的关键的第一步,”,因为他们是程序的云产品和服务的安全授权过程的标准化方法的基础上。
FedRAMP联合授权委员会(申诉委员会)经历了一个“广泛的审批过程”FedRAMP文档的最初版本去年以根据岗位来批准的控制。事实上,FedRAMP已在约两年的规划阶段,但只亮相12月正式通过美国首席信息官史蒂文Roekel。
申诉委员会也可用于创建控件,使他们在工业和政府的反馈,“妥善解决授权的云产品和服务的独特的元素,包括多租户,基础设施的控制和共享资源池,”根据职位。
要接收来自联邦政府的授权,机构内必须实现云服务供应商环境的控制。
类别涵盖全面的IT系统安全的关注领域。它们是:访问控制,意识和培训,审计和问责制;评估和授权;配置管理,应急规划,识别和认证;事件响应;维修;媒体保护;物理和环境的保护;规划;人员的安全;风险评估;系统和服务的采购系统和通信保障;系统和信息的完整性。
每个控制涵盖了一个非常具体的领域,在一个类别,各机构必须定义为云计算实现。例如,访问控制下的控制,包括账户管理,存取执法,信息流执法,和职责分离。根据人员的安全要求,包括个别人员的筛选,终止和转让的控制,同时根据事件的响应类别的控制包括具体的事件响应的培训,处理,监测和报告。