RMF ステップ 5、6、および 7 - 評価、許可、および監視

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • コントロールを実装すると、内部および外部のコントロールを評価し、アクションプランとマイルストーン (POA&M) を生成し、変更要求と脆弱性一致アイテムを管理できます。

    始める前に

    必要なロール:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    このタスクについて

    評価プロセスは、通常、システムオーナーまたはコントロールを実装した担当者以外のユーザーによって実行されます。
    [評価] ステータスでは、[コントロールアセスメント] および [リスクサマリー] 関連リスト、および [POA&M][変更要求][セキュリティインシデント]、および [脆弱性一致アイテム] タブが認証パッケージフォームに追加されます。
    注:
    大量の変更要求、インシデントレコード、またはその両方が 1 つの認証パッケージに関連している場合、CAM のパフォーマンスが遅くなることがあります。トランザクションの応答時間が長い場合は、KB0861865 に詳述されている手順の実行を検討してください。

    手順

    1. [実装] ステータスの認証パッケージの場合は、[評価] を選択します。
      評価ステータスへの移行
      注:
      監査エンゲージメントが自動的に作成されます。

      パッケージを [実装] ステータスに戻すには、[前のステップに戻る] を選択します。エンゲージメントのステータスが [未完了でクローズ] になります。[評価] を選択すると、エンゲージメントが作成されます。

    2. [コントロールアセスメント] 関連リストを選択して、監査エンゲージメントを表示します。
      コントロールアセスメント
      注:
      監査エンゲージメントが自動的に SCA にアサインされます。
    3. エンゲージメント番号を選択してエンゲージメントを開きます。

      [エンティティ] タブにパッケージの認証境界が表示されていることに注意してください。

      アセスメントのタブ。
    4. [コントロール] タブを選択すると、チームが実装したすべてのコントロールが表示されます。
      コントロール
    5. [テスト計画] タブを選択します。
      コントロールのテスト計画が自動的に作成されます。テスト計画についての詳細は「テスト計画のアセスメント手順計画の生成」を参照してください。
    6. [コントロールテスト] タブを選択して、コントロールを評価するためのタスクを表示します。
      注:
      デフォルトビューの [監査タスク] タブの名前が、CAM ビューの [コントロールテスト] タブに変更されます。関連リストのラベル名はさまざまで、デフォルトビューまたは CAM ビューに固有の名前になります。ビューは、[他のアクション] アイコン ([他のアクション] メニューアイコン) を選択して変更できます。

      [コントロールテスト] タブ。

      テスト計画についての詳細は「コントロールテストのコントロール有効性を判断する」を参照してください。

      1. コントロールテストを選択します。

        [アセスメント手順 (Assesment procedures)] 関連リスト。

      2. [アセスメント手順 (Assessment procedures)] リストから、レコードを選択します。
      3. [ファイルの添付 (Attach File)] リンクを選択して、テストの証明として証拠ドキュメントを添付します。
      4. [メモ (Notes)] フィールドを選択して、追加のアセスメントの詳細を入力します。

        [アセスメント手順 (Assessment procedures)] レコードビュー。

    7. デフォルトビューで監査タスクを選択し、設計テストと操作テストを実行して、コントロールの有効性を判断します。

      このプロセスの詳細については、「エンゲージメントを管理する」を参照してください。

      注:
      評価フェーズ中に発生した問題はすべて [POA&M] タブに表示されます。さらに、パッケージ内のシステム要素をターゲットとする未解決の変更要求または脆弱性一致アイテムがすべて、これらのタブの下に表示されます。
    8. システムオーナーは、システムを脅かす可能性のある POA&M の問題、変更要求、および脆弱性一致アイテムをレビューして文書化する必要があります。
    9. レビューが完了したら、 [承認 (Authorize)] を選択します。
      注:
      [監視] ステータスでは、インジケーターがある場合は継続的な監視が可能です。そうでない場合は、コントロールを手動で確認できます。詳細については、「コントロールインジケーターを管理」を参照してください。

      [レポートを生成] を選択して、認証パッケージの FedRAMP システムセキュリティプラン (SSP) ドキュメントを PDF 形式で生成できます。

      パッケージが [認可] ステータスに移行します。すべて問題がなければ、[承認を要求(Request Approval)] をクリックします。承認要求が承認担当者に送信されます。承認担当者はナビゲーションペインから [自分の承認] にアクセスし、パッケージ内の情報を確認します。承認を受け取ると、パッケージは [監視] ステータスに移行します。