RMF Etapas 4, 5 e 6 - Avaliar, autorizar e monitorar

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 3 min. de leitura

    • Depois de implementar controles, você pode avaliar controles internos e externos, gerar Planos de ação e marcos (POA&M) e gerenciar solicitações de mudança e itens vulneráveis.

    Antes de Iniciar

    Função necessária:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Por Que e Quando Desempenhar Esta Tarefa

    O processo de avaliação é geralmente realizado por um usuário que não seja o proprietário do sistema ou a equipe que implementou os controles.
    O estado Avaliar é adicionado Avaliações de controle e. Resumo de risco listas relacionadas, bem como POA&M. , Solicitações de mudança , Incidentes de segurança e. Itens vulneráveis Para o formulário Pacote de autorização.
    Nota:
    CAM O desempenho pode ficar lento quando um alto volume de solicitação de mudança, registros de incidente ou ambos está relacionado a um único pacote de autorização. Se você enfrentar tempos de resposta de transação longos, considere executar os procedimentos detalhados em KB0861865 .

    Procedimento

    1. Para um pacote de autorização no estado Implementar, selecione Avaliar .
      Faça a transição para o estado Avaliar
      Nota:
      Um compromisso de auditoria é criado automaticamente.

      Para enviar o pacote de volta para o estado Implement, selecione Voltar para a etapa anterior . O estado do compromisso se torna Encerrado incompleto. Ao selecionar Avaliar , um compromisso é criado.

    2. Selecione Avaliações de controle Lista relacionada para exibir o compromisso de auditoria.
      Avaliações de Controle
      Nota:
      O compromisso de auditoria é atribuído automaticamente ao SCA.
    3. Selecione o número do compromisso para abri-lo.

      Observe que Entidades a guia está exibindo o limite de autorização do pacote.

      Guias para avaliação.
    4. Selecione Controles para exibir todos os controles que sua equipe implementou.
      Controles
    5. Selecione Planos de teste .
      Os planos de teste são criados automaticamente para o controle. Para obter mais informações sobre planos de teste, consulte Gere planos de procedimento de avaliação para um plano de teste.
    6. Selecione Testes de controle para exibir as tarefas para avaliar os controles.
      Nota:
      . Tarefas de auditoria A guia na exibição padrão foi renomeada como Testes de controle na CAM exibição. Os nomes dos rótulos da lista relacionada variam e são específicos da exibição padrão ou CAM exibição. Você pode mudar a exibição selecionando o ícone Ações adicionais ( Ícone do menu de ações adicionais.).

      Guia Testes de controle.

      Para obter mais informações sobre planos de teste, consulte Determine a eficácia de controle de um teste de controle.

      1. Selecione um teste de controle.

        Lista relacionada de procedimentos de avaliação.

      2. Em Procedimentos de avaliação selecione um registro.
      3. Selecione Anexar arquivo link para anexar um documento de evidência como prova do teste.
      4. Selecione Anotações campo para inserir detalhes adicionais da avaliação.

        Exibição de registro do procedimento de avaliação.

    7. Na exibição padrão, selecione Uma tarefa de auditoria e execute o Teste de design e o Teste de operação para julgar a eficácia do controle.

      Para obter detalhes sobre esse processo, consulte Gerenciar compromissos.

      Nota:
      Quaisquer problemas que surjam durante a fase de avaliação aparecem em POA&M. . Além disso, todas as solicitações de mudança em aberto ou itens vulneráveis direcionados aos elementos do sistema no pacote aparecem nessas guias.
    8. O responsável pelo sistema deve revisar e documentar todos os problemas de POA&M, solicitações de mudança e itens vulneráveis que potencialmente ameacem seus sistemas.
    9. Quando a revisão estiver concluída, selecione Autorize .
      Nota:
      No estado Monitorar, o monitoramento contínuo será possível se você tiver indicadores. Caso contrário, você pode revisar manualmente os controles. Para obter mais informações, consulte Gerenciar indicadores de controle.

      Você pode selecionar Gerar relatório(s) Para gerar um documento do plano de segurança do sistema (SSP) do FedRAMP para o pacote de autorização no formato PDF.

      O pacote faz a transição para Autorize estado. Quando estiver satisfeito com que tudo está em ordem, selecione Aprovação da solicitação . Uma solicitação de aprovação é enviada ao funcionário autorizado, que acessará Minhas aprovações no painel de navegação e revise as informações no pacote. Quando a aprovação é recebida, o pacote faz a transição para Monitor estado.