Étapes 4, 5 et 6 du RMF : évaluer, autoriser et surveiller

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Une fois les contrôles implémentés, vous pouvez évaluer les contrôles internes et externes, générer des plans d’action et des jalons (POA&M) et gérer les demandes de changement et les éléments vulnérables.

    Avant de commencer

    Rôle requis :
    • sn_irm_cont_auth.propriétaire_système
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Pourquoi et quand exécuter cette tâche

    Le processus d’évaluation est généralement effectué par un utilisateur autre que le propriétaire du système ou le personnel qui a implémenté les contrôles.
    L’état Évaluer ajoute les listes connexes Évaluations de contrôle et Résumé des risques , ainsi que les onglets POA&M, Demandes de changement, Incidents de sécurité et Éléments vulnérables au formulaire Package d’autorisation.
    Remarque :
    CAM Les performances peuvent ralentir lorsqu’un volume élevé de demandes de changement, d’enregistrements d’incidents ou les deux est lié à un seul package d’autorisation. Si les délais de réponse des transactions sont longs, envisagez d’effectuer les procédures détaillées dans KB0861865.

    Procédure

    1. Pour un package d’autorisation à l’état Implémenter, sélectionnez Évaluer.
      Transition vers l’état Évaluer
      Remarque :
      Un engagement d’audit est automatiquement créé.

      Pour renvoyer le package à l’état Implémenter, sélectionnez Retour à l’étape précédente. L’état de l’engagement devient Fermé incomplet. En sélectionnant Évaluer, un engagement est créé.

    2. Sélectionnez la liste connexe des évaluations de contrôle pour afficher l’engagement d’audit.
      Évaluations de contrôle
      Remarque :
      L’engagement d’audit est automatiquement affecté au SCA.
    3. Sélectionnez le numéro d’engagement pour l’ouvrir.

      Notez que l’onglet Entités affiche la limite d’autorisation pour le package.

      Onglets pour l’évaluation.
    4. Sélectionnez l’onglet Contrôles pour afficher tous les contrôles que votre équipe a implémentés.
      Contrôles
    5. Sélectionnez l’onglet Plans de tests .
      Des plans de test sont automatiquement créés pour le contrôle. Pour plus d’informations sur les plans de test, reportez-vous à la section Générer des plans de procédure d’évaluation pour un plan de test.
    6. Sélectionnez l’onglet Tests de contrôle pour afficher les tâches d’évaluation des contrôles.
      Remarque :
      L’onglet Tâches d’audit de la vue par défaut est renommé en onglet Tests de contrôle dans la CAM vue. Les noms des étiquettes de liste connexe varient et sont spécifiques à la vue ou à la vue Par CAM défaut. Vous pouvez modifier la vue en sélectionnant l’icône Actions supplémentaires ( Icône du menu Actions supplémentaires.).

      Onglet Tests de contrôle.

      Pour plus d’informations sur les plans de test, reportez-vous à la section Déterminer l’efficacité d’un test de contrôle.

      1. Sélectionnez un test de contrôle.

        Liste connexe des procédures d’évaluation.

      2. Dans la liste Procédures d’évaluation , sélectionnez un enregistrement.
      3. Sélectionnez le lien Joindre un fichier pour joindre un document de preuve comme preuve du test.
      4. Sélectionnez le champ Notes pour entrer des détails d’évaluation supplémentaires.

        Vue d’enregistrement de la procédure d’évaluation.

    7. Dans la vue Par défaut, sélectionnez une tâche d’audit et effectuez le test de conception et le test de fonctionnement pour juger de l’efficacité du contrôle.

      Pour plus de détails sur ce processus, reportez-vous à la section Gérer les engagements.

      Remarque :
      Tous les problèmes qui surviennent pendant la phase d’évaluation apparaissent dans l’onglet POA&M . En outre, toutes les demandes de changement ou les éléments vulnérables ouverts ciblant les éléments système dans le package apparaissent sous ces onglets.
    8. Le propriétaire du système doit examiner et documenter tous les problèmes POA&M, les demandes de changement et les éléments vulnérables qui pourraient menacer vos systèmes.
    9. Lorsque la révision est terminée, sélectionnez Autoriser.
      Remarque :
      Dans l’état Surveillance, la surveillance continue est réalisable si vous disposez d’indicateurs. Si ce n’est pas le cas, vous pouvez examiner manuellement les contrôles. Pour plus d'informations, consultez Gérer les indicateurs de contrôle.

      Vous pouvez sélectionner Générer un ou plusieurs rapports pour générer un document de plan de sécurité du système (SSP) FedRAMP pour le package d’autorisation au format PDF.

      Le package passe à l’état Autorisé . Lorsque vous êtes satisfait que tout est en ordre, sélectionnez Demander l’approbation. Une demande d’approbation est envoyée à l’agent autorisé, qui accède à Mes approbations à partir du volet de navigation et examine les informations contenues dans le package. Lorsque l’approbation est reçue, le package passe à l’état de surveillance .