Erstellen Sie ein Autorisierungspaket

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Nachdem Sie die Autorisierungsgrenzen für die Assets oder Systeme definiert haben, die Sie über den Prozess „Autorisierung zum Betrieb“ senden möchten, müssen Sie zu diesem Zweck ein Autorisierungspaket erstellen. Das Paket wird dann durch die sieben vom RMF vorgegebenen Schritte verarbeitet.

    Vorbereitungen

    Erforderliche Rolle: sn_irm_cont_auth.system_owner oder sn_irm_cont_auth.admin

    Hinweis:
    Diese Rollen sind für den Zugriff auf das Autorisierungspaket nur erforderlich, nachdem es den Status Vorbereiten überschritten hat.

    Prozedur

    1. Navigieren zu Alle > Kontinuierliche Autorisierung und Überwachung > Alle Autorisierungspakete.
      Autorisierungspakete
    2. Klicken Sie auf Neu.
      Autorisierungspaket – neu
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Autorisierungspaket“.
      Feld Beschreibung
      Nummer Automatisch generierte Autorisierungspaketnummer.
      Name Ein Name für das Paket.
      Akronym Falls erforderlich, ein Akronym zur Identifizierung des Pakets.
      Missionen/Geschäftsprozesse Der entsprechende Geschäftsprozess für dieses Autorisierungspaket. Geschäftsprozesse werden auf der Now Platformdefiniert. Beispiel: um Richtlinien und Compliance > Umfangsdefinition > Geschäftsprozesse.
      Aktiv Aktivieren Sie das Autorisierungspaket.
      Schritt Der RMF-Schritt, der dem Paket derzeit zugewiesen ist.
      Autorisierungsgrenze Die Autorisierungsgrenze für dieses Paket.
      Systemzweck Der Zweck dieses Autorisierungspakets.
    4. Klicken Sie auf die Registerkarte Rollen und Zuständigkeiten, und definieren Sie die Rollen verschiedener Stakeholder während des Überprüfungs- und Genehmigungsprozesses.
      Tabelle : 2. Registerkarte „Rollen und Zuständigkeiten“
      Feld Beschreibung
      Systembesitzer Die Person, die für die Beschaffung, Entwicklung, Integration, Änderung, den Betrieb und die Wartung eines Informationssystems verantwortlich ist.
      Authorizing Official (AO) Die Person, die für die Übernahme eines Informationssystems in eine Betriebsumgebung mit bekannter Risikostufe verantwortlich ist. In der Regel befindet sich diese Person auf der CISO-Ebene oder der CISO-Stellvertreterebene.
      Authorizing Official Designated Representatives (AODR) Eine oder mehrere AODRs.
      Security Control Assessors (SCA) Die Personen, die für die Durchführung einer gründlichen Bewertung der Steuerungen eines Informationssystems verantwortlich sind.
      Information System Security Managers (ISSM) Die Personen, die für die Durchführung von Sicherheitsmanagementaktivitäten für Informationssysteme verantwortlich sind, wie vom ISSO festgelegt.
      Information System Security Officers (ISSO) Die Personen, die dafür verantwortlich sind, dass die entsprechende betriebliche Sicherheitslage für ein Informationssystem aufrechterhalten wird.
      Informationsbesitzer Die Personen, die für die gesetzliche, verwaltungstechnische und operative Autorität verantwortlich sind.
      Systemanwender Die Benutzer, die für die Ausführung der tatsächlichen Arbeit am System verantwortlich sind.
    5. Klicken Sie auf die Registerkarte PTA/PIA, und führen Sie die Analyse des Datenschutzschwellenwerts durch, indem Sie die Fragen beantworten.

      Die PTA identifiziert, ob verschiedene Arten von personenbezogenen Daten (PII) in den Systemen vorhanden sind, die autorisiert werden.

      Analyse des Datenschutz-Schwellenwerts/Bewertung der Auswirkungen auf den Datenschutz
    6. Wenn Sie alle Fragen mit Nein beantwortet haben, müssen Sie keine Analyse der Auswirkungen auf den Datenschutz durchführen und können auf Absendenklicken.
    7. Wenn Sie eine der Fragen mit Ja beantwortet haben, müssen Sie eine Analyse der Auswirkungen auf den Datenschutz durchführen.
      1. Klicken Sie im Feld Bewertungsteilnehmer auf das Schlosssymbol, und wählen Sie die Benutzer aus, die die Bewertung vornehmen sollen.
      2. Wenn Sie die Befragten ausgewählt haben, klicken Sie erneut auf das Schlosssymbol.
      3. Klicken Sie auf Absenden.
        Die Benachrichtigung über die Bewertungsanforderung wird an die ausgewählten Befragten gesendet.
      4. Nach Abschluss der PIA werden die Bewertungsantworten in einer zugehörigen Liste im Formular „Autorisierungspaket“ angezeigt.
    8. Klicken Sie auf die Registerkarte Notizen und Kommentare, um dem Paket kundengerichtete Notizen hinzuzufügen.
    9. Klicken Sie auf Kategorisieren, um das Paket zum nächsten Schritt zu überführen