FedRAMP 项目相关方的角色和职责
2.3 注重云计算安全管理的顶层设计
美国联邦政府注重对云计算安全管理的顶层设计。在政策法规的指导下,以安全控制基线为基本要求,以评估和授权以及监视为管理抓手,同时提供模板、指南等协助手段,建立了云计算安全管理的立体体系(如图2)。
云计算安全管理立体体系
政策备忘录:OMB 于2011 年12 月8 日发布,为政府级云计算安全提供方向和高级框架。
安全控制基线:基于N I S T 发布的S P800-53 第三版中所描述的安全控制措施指南,补充和增强了控制措施,以应对云计算系统特定的安全脆弱性。FedRAMP 的安全控制基线于2012 年1 月6 号单独发布。
运营概念(CONOPS):提供对FedRAMP 的运营模型与关键过程的概述。
运营模型:FedRAMP 的运营模型基于OMB 发布的政策备忘录,明确FedRAMP 实现的关键组织,对各个组织运营角色与职责进行抽象描述。
关键过程:指“安全评估与授权”、“第三方评估”、“正在进行的评估与授权”,它们为FedRAMP 运营过程的三个主要功能。
详细的模板与指南:云服务商与第三方评估组织在FedRAMP 整个过程中需要这些文档模板作为文档规范。