FedRAMP 項目相關(guān)方的角色和職責(zé)

2.3 注重云計算安全管理的頂層設(shè)計

美國聯(lián)邦政府注重對云計算安全管理的頂層設(shè)計。在政策法規(guī)的指導(dǎo)下，以安全控制基線為基本要求，以評估和授權(quán)以及監(jiān)視為管理抓手，同時提供模板、指南等協(xié)助手段，建立了云計算安全管理的立體體系(如圖2)。

云計算安全管理立體體系

政策備忘錄：OMB 于2011 年12 月8 日發(fā)布，為政府級云計算安全提供方向和高級框架。

安全控制基線：基于N I S T 發(fā)布的S P800-53 第三版中所描述的安全控制措施指南，補充和增強了控制措施，以應(yīng)對云計算系統(tǒng)特定的安全脆弱性。FedRAMP 的安全控制基線于2012 年1 月6 號單獨發(fā)布。

運營概念(CONOPS)：提供對FedRAMP 的運營模型與關(guān)鍵過程的概述。

運營模型：FedRAMP 的運營模型基于OMB 發(fā)布的政策備忘錄，明確FedRAMP 實現(xiàn)的關(guān)鍵組織，對各個組織運營角色與職責(zé)進行抽象描述。

關(guān)鍵過程：指“安全評估與授權(quán)”、“第三方評估”、“正在進行的評估與授權(quán)”，它們?yōu)镕edRAMP 運營過程的三個主要功能。

詳細(xì)的模板與指南：云服務(wù)商與第三方評估組織在FedRAMP 整個過程中需要這些文檔模板作為文檔規(guī)范。

 3/3   首頁 上一頁 1 2 3