RMF-Schritte 4, 5 und 6 – Bewerten, autorisieren und überwachen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Nachdem Sie Steuerungen implementiert haben, können Sie interne und externe Steuerungen bewerten, Aktionspläne und Meilensteine (POA&M) generieren und Change-Anforderungen und angreifbare Elemente verwalten.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Der Bewertungsprozess wird im Allgemeinen von einem anderen Anwender als dem Systembesitzer oder dem Personal durchgeführt, das die Steuerungen implementiert hat.
    Der Status Bewerten fügt hinzu Kontrollbewertungen Und Risikozusammenfassung Zugehörige Listen sowie POA&M , Change-Anforderungen , Security Incidents , Und Angreifbare Elemente Registerkarten zum Formular „Autorisierungspaket“.
    Hinweis:
    CAM Die Leistung kann sich verlangsamen, wenn ein hohes Volumen von Change-Anforderungen, Incident-Datensätzen oder beidem mit einem einzigen Autorisierungspaket zusammenhängt. Wenn bei Ihnen lange Transaktionsantwortzeiten auftreten, sollten Sie die in beschriebenen Verfahren in Erwägung ziehen KB0861865 .

    Prozedur

    1. Wählen Sie für ein Autorisierungspaket im Status Implementieren aus Bewerten .
      Übergang in den Status Bewerten
      Hinweis:
      Eine Audit-Interaktion wird automatisch erstellt.
    2. Wählen Sie aus Kontrollbewertungen Zugehörige Liste zum Anzeigen der Audit-Interaktion.
      Kontrollbewertungen
      Hinweis:
      Die Audit-Interaktion wird dem SCA automatisch zugewiesen.
    3. Wählen Sie die Interaktionsnummer aus, um sie zu öffnen.

      Beachten Sie, dass Entitäten Auf der Registerkarte wird die Autorisierungsgrenze für das Paket angezeigt.

      Registerkarten für die Bewertung.
    4. Wählen Sie aus Steuerungen Registerkarte, um alle Steuerungen anzuzeigen, die Ihr Team implementiert hat.
      Steuerungen
    5. Wählen Sie aus Testpläne Registerkarte.
      Testpläne werden automatisch für die Steuerung erstellt. Weitere Informationen zu Testplänen finden Sie unter Generieren Sie Bewertungsverfahrenspläne für einen Testplan.
    6. Wählen Sie aus Kontrolltests Registerkarte zum Anzeigen der Aufgaben zur Bewertung der Steuerungen.
      Hinweis:
      Die Audit-Aufgaben Registerkarte in der Standardansicht wird umbenannt in Kontrolltests Registerkarte in CAM Anzeigen. Die Namen der zugehörigen Listenbezeichnungen variieren und sind spezifisch für die Standardansicht oder CAM Anzeigen. Sie können die Ansicht ändern, indem Sie das Symbol „zusätzliche Aktionen“ ( Symbol für Menü „zusätzliche Aktionen“.).

      Registerkarte „Kontrolltests“.

      Weitere Informationen zu Testplänen finden Sie unter Bestimmen Sie die Kontrolleffektivität eines Kontrolltests.

      1. Wählen Sie einen Kontrolltest aus.

        Zugehörige Liste „Bewertungsverfahren“.

      2. Von Bewertungsverfahren Liste einen Datensatz auswählen.
      3. Wählen Sie aus Datei Anhängen Link zum Anhängen eines Nachweisdokuments als Nachweis des Tests.
      4. Wählen Sie aus Notizen Feld zum Eingeben zusätzlicher Bewertungsdetails.

        Datensatzansicht des Bewertungsverfahrens.

    7. Wählen Sie in der Standardansicht aus Eine Audit-Aufgabe und führen Sie den Design-Test und den Betriebstest durch, um die Effektivität der Kontrolle zu beurteilen.

      Details zu diesem Vorgang finden Sie unter Verwalten Sie Interaktionen.

      Hinweis:
      Alle Probleme, die während der Bewertungsphase auftreten, werden in angezeigt POA&M Registerkarte. Darüber hinaus werden alle offenen Change-Anforderungen oder angreifbaren Elemente, die auf die Systemelemente im Paket abzielen, unter diesen Registerkarten angezeigt.
    8. Der Systembesitzer muss alle POA&M-Probleme, Change-Anforderungen und angreifbaren Elemente überprüfen und dokumentieren, die Ihre Systeme potenziell bedrohen.
    9. Wenn die Überprüfung abgeschlossen ist, wählen Sie aus Autorisieren .
      Hinweis:
      Im Status Überwachen ist eine kontinuierliche Überwachung möglich, wenn Sie Indikatoren haben. Wenn nicht, können Sie die Steuerungen manuell überprüfen. Weitere Informationen finden Sie unter Verwalten Sie Kontrollindikatoren.

      Sie können auswählen Bericht(e) generieren Dient zum Generieren eines FedRAMP-Systemsicherheitsplan-Dokuments (SSP) für das Autorisierungspaket im PDF-Format.

      Das Paket wechselt zu Autorisieren status. Wenn Sie zufrieden sind, dass alle in Ordnung sind, wählen Sie aus Genehmigung Anfordern . Eine Genehmigungsanforderung wird an den Autorisierungsbeauftragten gesendet, der Zugriff hat Meine Genehmigungen Im Navigationsbereich und überprüfen Sie die Informationen im Paket. Wenn die Genehmigung empfangen wird, wechselt das Paket zu Überwachen status.