レポートの評価、承認、監視、生成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む3読むのに数分

    • 実装プロセスを完了すると、内部および外部のコントロールを評価し、アクションプランとマイルストーン (POA&M) を生成し、変更要求と脆弱性一致アイテムを管理できます。

    始める前に

    必要なロール:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    このタスクについて

    評価プロセスは、通常、システムオーナーまたはコントロールを実装した担当者以外のユーザーによって実行されます。
    [評価] ステータスでは、[コントロールアセスメント] および [リスクサマリー] 関連リスト、および [POA&M][変更要求][セキュリティインシデント]、および [脆弱性一致アイテム] タブが認証パッケージフォームに追加されます。
    注:
    大量の変更要求やインシデントレコードが単一の認証パッケージに関連している場合、 Continuous Authorization & Monitoring アプリケーションでパフォーマンスの問題が観測されています。トランザクションの応答時間が長い場合は、KB0861865 に詳述されているワークアラウンドの実施を検討してください。

    手順

    1. [実装] ステータスの認証パッケージの場合は、[評価] をクリックします。
      評価ステータスへの移行
      注:
      監査エンゲージメントが自動的に作成されます。

      パッケージを [実装] ステータスに戻すには、[前のステップに戻る] をクリックします。エンゲージメントのステータスが [未完了でクローズ] になります。[評価] ボタンを選択すると、新しいエンゲージメントが作成されます。

    2. [コントロールアセスメント] 関連リストをクリックして、監査エンゲージメントを表示します。
      コントロールアセスメント
      注:
      監査エンゲージメントが自動的に SCA にアサインされます。
    3. エンゲージメント番号をクリックしてエンゲージメントを開きます。

      [エンティティ] タブにパッケージの認証境界が表示されていることに注意してください。

      アセスメントのタブ。
    4. [コントロール] タブをクリックすると、チームが実装したすべてのコントロールが表示されます。
      コントロール
    5. [ テスト計画 ] タブを選択します。
      コントロールのテスト計画が自動的に作成されます。テスト計画の詳細については、次を参照してください テスト計画のアセスメント手順計画の生成
    6. [ コントロールテスト ] タブを選択して、コントロールを評価するためのタスクを表示します。
      注:
      デフォルトビューの [監査タスク] タブの名前が、CAM ビューの [コントロールテスト] タブに変更されました。関連リストのラベルの名前はさまざまで、選択したビュー (デフォルトビューまたは CAM ビューのいずれか) に固有です。ビューを変更するには、[他のアクション] アイコン ([ 他のアクション] メニューアイコン) を選択し、[ビュー] リストから [CAM] を選択します。

      テスト計画の詳細については、次を参照してください コントロールテストのコントロール有効性を判断する

    7. デフォルトビューで 、監査タスクをクリックし、設計テストと操作テストを実行して、コントロールの有効性を判断します。

      このプロセスの詳細については、「エンゲージメントを管理する」を参照してください。

      注:
      評価フェーズ中に発生した問題はすべて [POA&M] タブに表示されます。さらに、パッケージ内のシステム要素をターゲットとする未解決の変更要求または脆弱性一致アイテムがすべて、これらのタブの下に表示されます。
    8. システムオーナーは、システムを脅かす可能性のある POA&M の問題、変更要求、および脆弱性一致アイテムをレビューして文書化する必要があります。
    9. 完了したら、[認可] をクリックします。
      注:
      [監視] ステータスでは、インジケーターがある場合は継続的な監視が可能です。そうでない場合は、コントロールを手動で確認できます。詳細については、「コントロールインジケーターを管理」を参照してください。

      [レポートを生成] ボタンをクリックして、認証パッケージの FedRAMP System Security Plan (SSP) ドキュメントを PDF 形式で生成できます。

      パッケージが [認可] ステータスに移行します。すべて問題がなければ、[承認を要求] をクリックします。承認要求が承認担当者に送信されます。承認担当者はナビゲーションペインから [自分の承認] にアクセスし、パッケージ内の情報を確認します。承認を受け取ると、パッケージは [監視] ステータスに移行します。