Évaluer, autoriser, surveiller et générer des rapports

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Une fois le processus d’implémentation terminé, vous pouvez évaluer les contrôles internes et externes, générer des plans d’action et des jalons (POA&M) et gérer les demandes de changement et les éléments vulnérables.

    Avant de commencer

    Rôle requis :
    • sn_irm_cont_auth.propriétaire_système
    • sn_irm_cont_auth.agent_de_sécurité_système_info
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Pourquoi et quand exécuter cette tâche

    Le processus d’évaluation est généralement effectué par un utilisateur autre que le propriétaire du système ou le personnel qui a implémenté les contrôles.
    L’état Évaluation ajoute les listes connexes Évaluations de contrôle et Résumé des risques, ainsi que les ongletsPOA&M, Demandes de changement, Incidents de sécurité et Éléments vulnérables au formulaire Package d’autorisation.
    Remarque :
    Des problèmes de performances ont été observés dans l’application Continuous Authorization & Monitoring lorsqu’un volume élevé d’enregistrements de demandes de changement et/ou d’incidents, ou les deux, est lié à un seul package d’autorisation. Si les délais de réponse des transactions sont longs, envisagez d’effectuer les solutions de contournement détaillées dans KB0861865.

    Procédure

    1. Pour un package d’autorisation à l’état Implémenter, sélectionnez Évaluer.
      Transition vers l’état Évaluation
      Remarque :
      Un engagement d’audit est automatiquement créé.

      Pour renvoyer le package à l’état Implémenter, sélectionnez Retour à l’étape précédente. L’état de l’engagement devient Fermé incomplet. En sélectionnant le bouton Évaluer , un engagement est créé.

    2. Sélectionnez la liste connexe Évaluations de contrôle pour afficher l’engagement d’audit.
      Évaluations de contrôle
      Remarque :
      L’engagement d’audit est automatiquement affecté au SCA.
    3. Sélectionnez le numéro d’engagement pour l’ouvrir.

      Notez que l’onglet Entités affiche la limite d’autorisation pour le package.

      Onglets pour l’évaluation.
    4. Sélectionnez l’onglet Contrôles pour afficher tous les contrôles que votre équipe a implémentés.
      Contrôles
    5. Sélectionnez l’onglet Plans de tests .
      Des plans de tests sont automatiquement créés pour le contrôle. Pour en savoir plus sur les plans de tests, reportez-vous à Générer des plans de procédure d’évaluation pour un plan de tests.
    6. Sélectionnez l’onglet Tests de contrôle pour afficher les tâches d’évaluation des contrôles.
      Remarque :
      L’onglet Tâches d’audit de la vue Par défaut est renommé Onglet Tests de contrôle dans la vue FAO. Les noms des étiquettes de liste connexe varient et sont spécifiques à la vue que vous sélectionnez, qui est soit la vue par défaut, soit la vue FAO. Vous pouvez modifier l’affichage en sélectionnant l’icône Actions supplémentaires ( icône du menu Actions supplémentaires.), sélectionnez CAM dans la liste Affichage.

      Pour en savoir plus sur les plans de tests, reportez-vous à Déterminer l’efficacité du contrôle d’un test de contrôle.

    7. Dans la vue Par défaut, sélectionnez une tâche d’audit et effectuez le test de conception et le test d’opération pour juger de l’efficacité du contrôle.

      Pour obtenir des détails sur ce processus, consultez Gérer les engagements.

      Remarque :
      Tous les problèmes survenant pendant la phase d’évaluation apparaissent dans l’onglet POA&M . En outre, toutes les demandes de changement ou éléments vulnérables ouverts ciblant les éléments système du package apparaissent sous ces onglets.
    8. Le propriétaire du système doit examiner et documenter tous les problèmes de POA&M, les demandes de changement et les éléments vulnérables qui menacent potentiellement vos systèmes.
    9. Lorsque la révision est terminée, sélectionnez Autoriser.
      Remarque :
      Dans l’état Surveiller, la surveillance continue est possible si vous disposez d’indicateurs. Si ce n’est pas le cas, vous pouvez examiner manuellement les contrôles. Pour plus d'informations, consultez Gérer les indicateurs de contrôle.

      Vous pouvez sélectionner le bouton Générer un ou plusieurs rapports pour générer un document FedRAMP System Security Plan (SSP) pour le package d’autorisation au format PDF.

      Le package passe à l’état Autorisé . Lorsque vous êtes satisfait que tout est en ordre, sélectionnez Demander l’approbation. Une demande d’approbation est envoyée au responsable de l’autorisation, qui accédera à Mes approbations à partir du volet de navigation et examinera les informations contenues dans la trousse. Lorsque l’approbation est reçue, le package passe à l’état Surveiller .