RMF Etapas 4, 5 e 6 - Avaliar, autorizar e monitorar

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Depois de implementar controles, você pode avaliar controles internos e externos, gerar Planos de Ação e Marcos (POA&M) e gerenciar solicitações de mudança e itens vulneráveis.

    Antes de Iniciar

    Função necessária:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Geralmente, o processo de avaliação é realizado por um usuário que não seja o proprietário do sistema ou a equipe que implementou os controles.
    O estado Avaliar é adicionado Avaliações de controle e. Resumo de risco listas relacionadas, bem como POA&M , Solicitações de mudança , Incidentes de segurança e Itens vulneráveis Guias para o formulário Pacote de autorização.
    Nota:
    CAM O desempenho pode ficar lento quando um alto volume de solicitação de mudança, registros de incidente ou ambos está relacionado a um único pacote de autorização. Se você tiver tempos de resposta de transação longos, considere executar os procedimentos detalhados em KB0861865 .

    Procedimento

    1. Para um pacote de autorização no estado Implementar, selecione Avaliar .
      Transição para o estado Avaliar
      Nota:
      Um compromisso de auditoria é criado automaticamente.
    2. Selecione Avaliações de controle Lista relacionada para exibir o compromisso de auditoria.
      Avaliações de Controle
      Nota:
      O compromisso de auditoria é atribuído automaticamente ao SCA.
    3. Selecione o número do compromisso para abri-lo.

      Observe que Entidades está exibindo o limite de autorização do pacote.

      Guias para avaliação.
    4. Selecione Controles para exibir todos os controles que sua equipe implementou.
      Controles
    5. Selecione Planos de teste guia.
      Os planos de teste são criados automaticamente para o controle. Para obter mais informações sobre planos de teste, consulte Gerar planos de procedimento de avaliação para um plano de teste.
    6. Selecione Testes de controle para exibir as tarefas para avaliar os controles.
      Nota:
      . Tarefas de auditoria Na exibição padrão é renomeada como Testes de controle no CAM exibir. Os nomes dos rótulos da lista relacionada variam e são específicos da exibição padrão ou CAM exibir. Você pode mudar a exibição selecionando o ícone Ações adicionais ( Ícone do menu de ações adicionais.).

      Guia Testes de controle.

      Para obter mais informações sobre planos de teste, consulte Determine a eficácia de controle de um teste de controle.

      1. Selecione um teste de controle.

        Lista relacionada de procedimentos de avaliação.

      2. Em Procedimentos de avaliação , selecione um registro.
      3. Selecione Anexar arquivo link para anexar um documento de evidência como prova do teste.
      4. Selecione Anotações campo para inserir detalhes adicionais da avaliação.

        Exibição de registro do procedimento de avaliação.

    7. Na exibição padrão, selecione Uma tarefa de auditoria e execute o Teste de design e o Teste de operação para julgar a eficácia do controle.

      Para obter detalhes sobre este processo, consulte Gerenciar compromissos.

      Nota:
      Quaisquer problemas que surjam durante a fase de avaliação aparecem em POA&M guia. Todas as solicitações de mudança em aberto ou itens vulneráveis direcionados aos elementos do sistema no pacote aparecem nessas guias.
    8. O proprietário do sistema deve revisar e documentar todos os problemas de POA&M, solicitações de mudança e itens vulneráveis que potencialmente ameaçam seus sistemas.
    9. Quando a revisão estiver concluída, selecione Autorizar .
      Nota:
      No estado Monitor, o monitoramento contínuo será possível se você tiver indicadores. Caso contrário, você pode revisar manualmente os controles. Para obter mais informações, consulte Gerenciar indicadores de controle.

      Você pode selecionar Gerar Relatório(s) Para gerar um documento do plano de segurança do sistema FedRAMP (SSP) para o pacote de autorização no formato PDF.

      O pacote faz a transição para Autorizar estado. Quando estiver satisfeito com que tudo está em ordem, selecione Aprovação da solicitação . Uma solicitação de aprovação é enviada ao funcionário autorizado, que acessará Minhas aprovações no painel de navegação e revise as informações no pacote. Quando a aprovação é recebida, o pacote faz a transição para Monitor estado.