RMF 5, 6, 7단계 - 평가, 권한 부여 및 모니터

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 06일
  • 소요 시간: 2분

    • 통제를 구현한 후에는 내부 및 외부 통제를 평가하고, POA&M(동작 및 마일스톤 계획)을 생성하고, 변경 요청 및 취약한 항목을 관리할 수 있습니다.

    시작하기 전에

    필요한 역할:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    이 태스크 정보

    평가 프로세스는 일반적으로 시스템 소유자 또는 제어를 구현한 직원 이외의 사용자가 수행합니다.
    평가 상태는 통제 평가위험 요약 관련 목록과 POA&M, 변경 요청, 보안 인시던트취약한 항목 탭을 인증 패키지 양식에 추가합니다.
    주:
    CAM 대량의 변경 요청, 인시던트 기록 또는 둘 다 단일 인증 패키지와 관련된 경우 성능이 저하될 수 있습니다. 트랜잭션 응답 시간이 길어지는 경우 KB0861865에 설명된 절차를 수행하는 것이 좋습니다.

    프로시저

    1. 구현 상태에 있는 권한 부여 패키지의 경우 평가를 선택합니다.
      평가 상태로 전환
      주:
      감사 참여가 자동으로 생성됩니다.
    2. 감사 계약을 보려면 통제 평가 관련 목록을 선택합니다.
      통제 평가
      주:
      감사 계약은 SCA에 자동으로 할당됩니다.
    3. 참여 번호를 선택하여 엽니다.

      엔터티 탭에는 패키지에 대한 권한 부여 범위가 표시됩니다.

      평가를 위한 탭입니다.
    4. 컨트롤 탭을 선택하여 팀이 구현한 모든 컨트롤을 봅니다.
      통제
    5. 테스트 계획 탭을 선택합니다.
      통제에 대한 테스트 계획이 자동으로 생성됩니다. 테스트 계획에 대한 자세한 내용은 을 참조하십시오 테스트 계획에 대한 평가 절차 계획 생성.
    6. 통제 테스트 탭을 선택하여 통제를 평가하기 위한 작업을 봅니다.
      주:
      기본 보기의 감사 작업 탭이 보기에서 CAM제어 테스트 탭으로 이름이 바뀝니다. 관련 목록 레이블의 이름은 기본 뷰 CAM 에 따라 다릅니다. 추가 작업 아이콘( 추가 작업 메뉴 아이콘.)을 선택하여 뷰를 변경할 수 있습니다.

      제어 테스트 탭.

      테스트 계획에 대한 자세한 내용은 을 참조하십시오 통제 테스트의 통제 효과성 결정.

      1. 통제 테스트를 선택합니다.

        평가 절차 관련 목록.

      2. 평가 절차 목록에서 기록을 선택합니다.
      3. 테스트 증명으로 증거 문서를 첨부하려면 파일 첨부 링크를 선택합니다.
      4. 추가 평가 상세 정보를 입력하려면 메모 필드를 선택합니다.

        평가 절차 기록 뷰

    7. 기본 뷰에서 감사 작업을 선택하고 설계 테스트 및 운영 테스트를 수행하여 제어의 효과를 판단합니다.

      이 프로세스에 대한 자세한 내용은 참여 관리 문서를 참조하십시오.

      주:
      평가 단계에서 발생하는 모든 문제가 POA&M 탭에 나타납니다. 또한 패키지의 시스템 요소를 대상으로 하는 미해결 변경 요청 또는 취약한 항목이 해당 탭 아래에 나타납니다.
    8. 시스템 소유자는 시스템을 위협할 수 있는 POA&M 문제, 변경 요청 및 취약한 항목을 검토하고 문서화해야 합니다.
    9. 검토가 완료되면 권한 부여를 선택합니다.
      주:
      모니터 상태에서 표시기가 있으면 지속적인 모니터링을 수행할 수 있습니다. 그렇지 않은 경우 컨트롤을 수동으로 검토할 수 있습니다. 자세한 내용은 통제 표시기 관리 문서를 참조하십시오.

      Generate Report(s)(보고서 생성)를 선택하여 권한 부여 패키지에 대한 FedRAMP SSP(System Security Plan) 문서를 PDF 형식으로 생성할 수 있습니다.

      패키지가 승인 상태로 전환됩니다. 모든 것이 정상이라고 생각되면 승인 요청을 선택합니다. 승인 요청이 권한 부여 공무원에게 전송되며, 승인 공무원은 탐색 창에서 내 승인에 액세스하고 패키지의 정보를 검토합니다. 승인을 받으면 패키지가 모니터 상태로 전환됩니다.