---

前言

近期，美國總務(wù)管理局發(fā)布《聯(lián)邦風(fēng)險和授權(quán)管理計劃 （FedRAMP）路線圖（2024-2025） 》，《路線圖》概述了2024至2025年的四個戰(zhàn)略目標：

第一，以客戶體驗（CX）為導(dǎo)向。

第二，將FedRAMP定位為網(wǎng)絡(luò)安全和風(fēng)險管理領(lǐng)域的領(lǐng)導(dǎo)者。

第三，擴大值得信賴的FedRAMP市場的規(guī)模和范圍。第四，通過自動化和技術(shù)前沿運營提高計劃效率。

---

一、戰(zhàn)略目標實施背景

為了實現(xiàn)信息技術(shù)現(xiàn)代化和云安全的戰(zhàn)略目標，美國政府于2010年在《改革聯(lián)邦政府IT管理的25條實施計劃》中提出“云優(yōu)先”策略（CloudFirst）（后更新為“云智能”戰(zhàn)略，CloudSmart）。

次年12月，美國啟動“聯(lián)邦風(fēng)險與授權(quán)管理計劃”（FederalRiskandAuthorizationManagementProgram簡稱FedRAMP），是一項政府范圍具有“強制性”的計劃，用于標準化的云產(chǎn)品和服務(wù)的安全性評估、授權(quán)和監(jiān)控，成為根據(jù)《聯(lián)邦信息安全現(xiàn)代化法案》（FISMA）制定的首個政府層面的安全授權(quán)計劃。后續(xù)又出臺了《FedRAMP授權(quán)法案》、《關(guān)于聯(lián)邦風(fēng)險授權(quán)管理計劃現(xiàn)代化的備忘錄》等一系列配套法規(guī)和政策。

2010年12月，《改革聯(lián)邦信息技術(shù)管理的25點實施計劃》

實施“云優(yōu)先”策略（CloudFirst），要求將業(yè)務(wù)系統(tǒng)逐步遷移到云計算平臺中。

2011年2月，《聯(lián)邦云計算戰(zhàn)略》

明確聯(lián)邦政府云遷移（Cloud Migration）的“三步走”決策框架，創(chuàng)造安全的云計算應(yīng)用環(huán)境。

2011年12月，《關(guān)于“云計算環(huán)境中的信息系統(tǒng)安全授權(quán)”的首席信息官備忘錄》

啟動“聯(lián)邦風(fēng)險與授權(quán)管理計劃”（FedRAMP）。

2022年12月，《FedRAMP 授權(quán)法案》

作為《2023財年國防授權(quán)法案》一部分頒布，旨在為聯(lián)邦政府機構(gòu)使用的云產(chǎn)品和服務(wù)提供標準化的政府范圍安全評估、授權(quán)和持續(xù)監(jiān)控方法。

2023年10月，《關(guān)于聯(lián)邦風(fēng)險授權(quán)管理計劃現(xiàn)代化的備忘錄》

定義受FedRAMP約束的云產(chǎn)品范圍，促進透明且一致的流程頒發(fā)云服務(wù)安全授權(quán)，旨在加強和改進聯(lián)邦風(fēng)險和授權(quán)管理計劃。

二、FedRAMP的管理組織

（一）FedRAMP的管理機制包括兩部分。

一是云計算服務(wù)監(jiān)管機制。包括行政管理和預(yù)算局（OMB）負責(zé)協(xié)調(diào)各機構(gòu)“云智能”戰(zhàn)略的執(zhí)行和聯(lián)邦政府云計算采購機制的運行；國土安全部負責(zé)威脅通知協(xié)調(diào)、事件響應(yīng)報告等。

二是云計算服務(wù)審查機制。包括聯(lián)合授權(quán)委員會（JAB）和FedRAMP項目管理辦公室（PMO），負責(zé)制定安全基線要求、對云計算服務(wù)進行安全評估、授權(quán)、持續(xù)監(jiān)督等，JAB由國防部（DoD）、國土安全部（DHS）和總務(wù)管理局（GSA）構(gòu)成，是主要的決策機構(gòu)。美國國家標準與技術(shù)研究院（NIST）在其中負責(zé)制定聯(lián)邦政府安全采用云計算服務(wù)的提供標準和規(guī)范指南等。截至目前，美國FedRAMP共授權(quán)400多家云計算服務(wù)提供商（CSP）以及40多家第三方評估機構(gòu)（3PAO）。

（二）本次《路線圖》在實施策略方面具有三個較為明顯的特點。

一是推進數(shù)據(jù)和服務(wù)共享，整合和優(yōu)化數(shù)據(jù)中心基礎(chǔ)設(shè)施，通過數(shù)字化的集中服務(wù)以降支提效。如發(fā)布“數(shù)字授權(quán)包”、持續(xù)診斷與緩解（CDM）儀表板集成等。

二是加強與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）合作，推動私營企業(yè)參與。如將CISA安全云業(yè)務(wù)應(yīng)用程序（SCuBA）指導(dǎo)納入安全配置文件、與CISA合作進行紅隊和專門審查等。

三是支持多云環(huán)境，增強FedRAMP系統(tǒng)的安全保障能力。如定義FedRAMP的核心安全期望、發(fā)布FIPS140的更新指南等。

FedRAMP的主要利益相關(guān)者

---