RMF 4, 5, 6단계 - 평가, 인증 및 모니터링

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 2분

    • 통제를 구현한 후에는 내부 및 외부 통제를 평가하고, POA&M(작업 및 마일스톤 계획)을 생성하고, 변경 요청 및 취약 항목을 관리할 수 있습니다.

    시작하기 전에

    필요한 역할:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    이 태스크 정보

    평가 프로세스는 일반적으로 시스템 소유자 또는 통제를 구현한 직원이 아닌 사용자가 수행합니다.
    평가 상태는 통제 평가위험 요약 관련 목록뿐만 아니라 POA&M, 변경 요청, 보안 인시던트 및 취약한 항목 탭을 권한 부여 패키지 양식에 추가합니다.
    주:
    CAM 많은 양의 변경 요청, 인시던트 기록 또는 둘 모두가 단일 권한 부여 패키지에 관련되어 있으면 성능이 느려질 수 있습니다. 트랜잭션 응답시간이 길어지는 경우 KB0861865에 자세히 설명된 절차를 수행하는 것이 좋습니다.

    프로시저

    1. 구현 상태에 있는 권한 부여 패키지의 경우 평가를 선택합니다.
      평가 상태로 전환
      주:
      감사 계약이 자동으로 생성됩니다.

      패키지를 구현 상태로 되돌리려면 이전 단계로 돌아가기를 선택합니다. 계약의 상태는 미완료 종결이 됩니다. 평가를 선택하면 계약이 생성됩니다.

    2. 통제 평가 관련 목록을 선택하여 감사 계약을 봅니다.
      통제 평가
      주:
      감사 계약은 SCA에 자동으로 할당됩니다.
    3. 계약 번호를 선택하여 엽니다.

      엔터티 탭에 패키지의 권한 부여 경계가 표시되는지 확인합니다.

      평가를 위한 탭입니다.
    4. 팀이 구현한 모든 통제를 보려면 통제 탭을 선택합니다.
      통제
    5. 테스트 계획 탭을 선택합니다.
      통제에 대한 테스트 계획이 자동으로 생성됩니다. 테스트 계획에 대한 자세한 내용은 다음 문서를 참조하십시오 테스트 계획에 대한 평가 절차 계획 생성.
    6. 통제 테스트 탭을 선택하여 통제를 평가하기 위한 작업을 봅니다.
      주:
      기본 뷰의 감사 작업 탭의 이름이 뷰의 CAM제어 테스트 탭으로 바뀝니다. 관련 목록 레이블의 이름은 다양하며 기본 뷰 또는 CAM 뷰에 따라 다릅니다. 추가 작업 아이콘(추가 작업 메뉴 아이콘)을 선택하여 뷰를 변경할 수 있습니다.

      제어 테스트 탭.

      테스트 계획에 대한 자세한 내용은 다음 문서를 참조하십시오 통제 테스트의 통제 효과성 결정.

      1. 통제 테스트를 선택합니다.

        평가 절차 관련 목록.

      2. 평가 절차 목록에서 기록을 선택합니다.
      3. 테스트 증거로 증거 문서를 첨부하려면 파일 첨부 링크를 선택합니다.
      4. 메모 필드를 선택하여 추가 평가 상세 정보를 입력합니다.

        평가 절차 기록 뷰.

    7. 기본 뷰에서 감사 작업을 선택하고 설계 테스트 및 운영 테스트를 수행하여 컨트롤의 유효성을 판단합니다.

      이 프로세스에 대한 자세한 내용은 다음 문서를 참조하십시오 참여 관리.

      주:
      평가 단계에서 발생하는 모든 문제는 POA&M 탭에 나타납니다. 또한 패키지의 시스템 요소를 대상으로 하는 미해결 변경 요청 또는 취약한 항목이 해당 탭 아래에 나타납니다.
    8. 시스템 소유자는 잠재적으로 시스템을 위협할 수 있는 POA&M 문제, 변경 요청 및 취약 항목을 검토하고 문서화해야 합니다.
    9. 검토가 완료되면 승인을 선택합니다.
      주:
      모니터 상태에서는 표시기가 있으면 연속 모니터링이 가능합니다. 그렇지 않은 경우 통제를 수동으로 검토할 수 있습니다. 자세한 내용은 통제 표시기 관리 문서를 참조하십시오.

      보고서 생성을 선택하여 권한 부여 패키지에 대한 FedRAMP SSP(시스템 보안 계획) 문서를 PDF 형식으로 생성할 수 있습니다.

      패키지가 승인 상태로 전환됩니다. 모든 것이 정상이라고 확신하면 승인 요청을 선택합니다. 승인 요청이 권한 부여 담당자에게 전송됩니다. 승인 담당자는 탐색 창에서 내 승인에 액세스하고 패키지의 정보를 검토합니다. 승인을 받으면 패키지가 모니터 상태로 전환됩니다.