RMF 5, 6, 7단계 - 평가, 권한 부여 및 모니터링

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기2분

    • 통제를 구현한 후에는 내부 및 외부 통제를 평가하고 POA&M(동작 및 마일스톤 계획)을 생성하며 변경 요청 및 취약한 항목을 관리할 수 있습니다.

    시작하기 전에

    필요한 역할:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    이 태스크 정보

    평가 프로세스는 일반적으로 시스템 소유자 또는 통제를 구현한 담당자가 아닌 사용자가 수행합니다.
    평가 상태는 통제 평가위험 요약 관련 목록뿐만 아니라 POA&M, 변경 요청, 보안 인시던트취약한 항목 탭을 인증 패키지 양식에 추가합니다.
    주:
    CAM 대량의 변경 요청, 인시던트 기록 또는 두 가지 모두가 단일 인증 패키지와 관련된 경우 성능이 느려질 수 있습니다. 트랜잭션 응답 시간이 길어지면 KB0861865 설명된 절차를 수행하는 것이 좋습니다.

    프로시저

    1. 구현 상태의 권한 부여 패키지의 경우 평가를 선택합니다.
      평가 상태로 전환
      주:
      감사 계약이 자동으로 생성됩니다.

      패키지를 구현 상태로 다시 보내려면 이전 단계로 돌아가기를 선택합니다. 계약 상태는 미완료 종결이 됩니다. 평가를 선택하면 약속이 생성됩니다.

    2. 감사 계약을 보려면 통제 평가 관련 목록을 선택합니다.
      통제 평가
      주:
      감사 계약은 SCA에 자동으로 할당됩니다.
    3. 계약 번호를 선택하여 엽니다.

      Entities 탭에는 패키지에 대한 권한 부여 경계가 표시됩니다.

      평가를 위한 탭.
    4. 컨트롤 탭을 선택하여 팀이 구현한 모든 컨트롤을 봅니다.
      통제
    5. 테스트 계획 탭을 선택합니다.
      통제에 대한 테스트 계획이 자동으로 생성됩니다. 테스트 계획에 대한 자세한 내용은 을 참조하십시오 테스트 계획에 대한 평가 절차 계획 생성.
    6. 제어 테스트 탭을 선택하여 통제를 평가하기 위한 작업을 봅니다.
      주:
      기본 뷰의 감사 작업 탭은 뷰에서 CAM제어 테스트 탭으로 이름이 변경되었습니다. 관련 목록 레이블의 이름은 기본 뷰 또는 CAM 뷰에 따라 다르며 다릅니다. 추가 작업 아이콘( 추가 작업 메뉴 아이콘.)을 선택하여 뷰를 변경할 수 있습니다.

      제어 테스트 탭.

      테스트 계획에 대한 자세한 내용은 을 참조하십시오 통제 테스트의 통제 효과성 결정.

      1. 제어 테스트를 선택합니다.

        평가 절차 관련 목록입니다.

      2. 평가 절차 목록에서 기록을 선택합니다.
      3. 테스트 증명으로 증거 문서를 첨부하려면 파일 첨부 링크를 선택합니다.
      4. 메모 필드를 선택하여 추가 평가 상세 정보를 입력합니다.

        평가 절차 기록 뷰.

    7. 기본 뷰에서 감사 작업을 선택하고 설계 테스트 및 운영 테스트를 수행하여 통제의 효과를 판단합니다.

      이 프로세스에 대한 자세한 내용은 참여 관리 문서를 참조하십시오.

      주:
      평가 단계에서 발생하는 모든 문제는 POA&M 탭에 표시됩니다. 또한 패키지의 시스템 요소를 대상으로 하는 미해결 변경 요청 또는 취약한 항목이 해당 탭 아래에 표시됩니다.
    8. 시스템 소유자는 시스템을 위협할 수 있는 POA&M 문제, 변경 요청 및 취약한 항목을 검토하고 문서화해야 합니다.
    9. 검토가 완료되면 권한 부여를 선택합니다.
      주:
      모니터 상태에서 표시기가 있으면 지속적인 모니터링을 수행할 수 있습니다. 그렇지 않은 경우 컨트롤을 수동으로 검토할 수 있습니다. 자세한 내용은 통제 표시기 관리 문서를 참조하십시오.

      보고서 생성을 선택하여 PDF 형식의 권한 부여 패키지에 대한 FedRAMP SSP(시스템 보안 계획) 문서를 생성할 수 있습니다.

      패키지가 승인 상태로 전환됩니다. 모든 것이 정상이라고 생각되면 승인 요청을 선택합니다. 승인 요청이 권한 부여 담당자에게 전송되며, 권한 부여 담당자는 탐색 창에서 내 승인에 액세스하고 패키지의 정보를 검토합니다. 승인을 받으면 패키지가 모니터 상태로 전환됩니다.