verified_user
Standardful
首页chevron_right标准chevron_rightFedRAMP
有效国际标准update 标准更新:2025年3月fact_check 事实核查:2026年6月28日

FedRAMP

联邦风险与授权管理计划——云服务安全授权

apartment发布组织:美国总务管理局(GSA)

标准简介

FedRAMP(联邦风险与授权管理计划)是美国政府的标准化云服务安全评估、授权和持续监控计划。由美国总务管理局(GSA)管理,FedRAMP 确保联邦机构使用的云服务满足严格的安全标准。该计划基于 NIST SP 800-53 安全控制,根据数据敏感级别分为三个影响级别:低(Li-SaaS)、中和高,分别包含不同数量的安全控制要求。

FedRAMP 授权过程有两条路径:联邦机构授权(Agency ATO)和联合授权委员会授权(JAB P-ATO,由 DoD、DHS 和 GSA 组成)。2024-2025 年的 FedRAMP 20x 计划正在推进现代化改革,旨在加速授权流程、降低成本并提高效率。云服务提供商(CSP)必须由第三方评估组织(3PAO)进行独立评估,并实施持续监控,包括月度漏洞扫描、年度评估和事件报告。目前已有超过 340 个云产品获得 FedRAMP 授权,授权对于向联邦政府销售云服务是强制性要求。

cloud_done

一次认证,多方复用

云服务提供商完成一次授权后,由此产生的安全资料包可被任何联邦机构复用——消除重复评估,加速云技术采用。

security

三种影响等级

根据 FIPS 199 分类,授权分为低、中、高三种影响等级——对应的 NIST SP 800-53 安全控制要求依次递增。

autorenew

持续监控

已授权的提供商必须实施持续安全监控,包括每月漏洞扫描、年度渗透测试以及实时事件报告。

list_alt 授权要求

  • 记录所有控制措施的系统安全计划(SSP)
  • 第三方评估机构(3PAO)审核
  • 安全评估报告(SAR)
  • 行动计划与里程碑(POA&M)
  • 持续监控与月度报告
  • 在规定时限内的事件响应
  • 年度评估与重新授权
  • 面向加速低级别授权的 FedRAMP 20x 试点

谁需要合规?

groups

希望向美国联邦政府机构销售云产品或服务的云服务提供商(CSP)。同样适用于政府承包商所使用的、涉及处理联邦数据的云服务。

关键要求

1

安全控制实施

根据影响等级实施相应的 NIST SP 800-53 Rev 5 安全控制:低级(约 156 项控制)、中级(约 325 项控制)或高级(约 421 项控制)。在系统安全计划中记录每一项控制。

2

3PAO 评估

委托 FedRAMP 认可的第三方评估机构(3PAO)对安全控制的实施情况及有效性进行独立评估。

3

授权路径

通过机构 ATO(由特定联邦机构担保)、联合授权委员会(JAB)临时 ATO,或新推出的 FedRAMP 20x 试点路径申请授权。

4

持续监控

获得授权后,通过每月漏洞扫描、年度渗透测试、行动计划与里程碑管理及重大变更报告,持续保持合规状态。

实施路线图

1
阶段 1schedule 预计周期: 4-8 周

准备影响级别与授权路径

确认云服务产品是否在范围内,确定 Low、Moderate 或 High 影响级别,并选择有机构担保或适用 FedRAMP 20x 的授权路径。在评估前定义边界、继承控制、外部服务和责任团队。

2
阶段 2schedule 预计周期: 8-12 周

按 FedRAMP 基线做差距分析

将系统映射到所需的 NIST SP 800-53 Rev. 5 基线,在 SSP 中记录实施状态,并识别控制、漏洞管理和政策缺口。在正式测试前与 FedRAMP 认可的 3PAO 或有经验评估方验证准备情况。

3
阶段 3schedule 预计周期: 3-6 个月

实施控制并完成评估

整改差距,最终确定 SSP、政策、图表、清单、控制说明和实施证据,然后完成 3PAO 测试并形成安全评估报告。将剩余风险记录到 POA&M,并准备提交机构授权审查。

4
阶段 4schedule 预计周期: 持续进行

维护授权与持续监控

通过漏洞扫描、POA&M 更新、配置管理、事件报告、年度评估和重大变更审查运行持续监控。保持机构授权官了解最新情况,使 ATO 始终由当前证据支撑。

合规检查清单

0 / 12

checklist 准备度与范围

checklist 授权资料包

checklist 持续监控

FedRAMP 与 SOC 2、ISO 27001 对比

云服务提供商通常维护多个保证项目,但只有 FedRAMP 满足联邦云授权需求。

方面FedRAMPSOC 2ISO 27001
主要受众美国联邦机构服务组织的客户全球客户和认证机构
基础NIST SP 800-53 基线和联邦授权AICPA 信任服务准则ISO 管理体系要求和 Annex A 控制
结果运营授权或可复用授权资料包独立鉴证报告认可证书
持续义务正式持续监控和机构监督周期性审计期和必要的桥接函监督审核和再认证周期

常见误区

cancel
误区

FedRAMP 授权是一次性项目。

check_circle
事实

授权必须通过持续监控、年度评估活动、事件报告和变更管理来维护。

cancel
误区

3PAO 可以授予 FedRAMP 授权。

check_circle
事实

3PAO 负责评估和报告。授权决定属于机构授权官或适用治理流程。

cancel
误区

任何现有云安全审计都足以用于联邦环境。

check_circle
事实

FedRAMP 要求特定控制、材料、测试和授权决策。其他审计可以支持但不能替代。

处罚与执行

warning

无法定罚款——FedRAMP 是政府采购的先决条件,而非惩罚性法规。未获 FedRAMP 授权的云服务提供商无资格承接联邦合同。已授权的提供商如未能满足持续监控要求,面临被撤销运营授权(ATO)的风险。

常见问题解答

谁需要 FedRAMP 授权?

expand_more

当美国联邦机构使用云服务处理、存储或传输联邦信息时,云服务提供商需要 FedRAMP 授权。合同要求联邦数据托管在授权云环境中时,承包商也可能需要使用 FedRAMP 授权服务。

Agency ATO 和 JAB P-ATO 有什么区别?

expand_more

Agency ATO 由具体联邦机构签发,授权该机构使用云服务。JAB 临时授权过去由联合授权委员会审查,面向政府范围复用。FedRAMP 现代化正在更强调机构授权、复用和新的 20x 路径。

3PAO 做什么?

expand_more

FedRAMP 认可的第三方评估机构会依据适用基线独立测试云服务、验证证据、识别发现项,并生成安全评估报告等材料。3PAO 不授予 ATO,授权决定由授权官作出。

FedRAMP 授权资料包包含什么?

expand_more

核心材料包括系统安全计划、控制实施细节、图表、政策流程、安全评估计划、安全评估报告、漏洞扫描结果和 POA&M。具体资料包取决于授权路径和当前 FedRAMP 模板。

FedRAMP 需要多长时间?

expand_more

传统授权通常需要数月,因为提供商必须实施控制、完成 3PAO 测试、整改发现项并通过机构审查。准备度、自动化、较窄服务边界和早期机构沟通可以显著降低时间风险。

FedRAMP 中的持续监控是什么?

expand_more

持续监控是让已授权系统保持在已接受风险状态内的持续流程,包括定期漏洞扫描、POA&M 维护、配置和清单更新、事件报告、年度评估以及重大变更审查。

SOC 2 或 ISO 27001 可以替代 FedRAMP 吗?

expand_more

不能。SOC 2 和 ISO 27001 可以提供有用证据和控制成熟度,但覆盖的联邦云服务仍需要 FedRAMP 授权。FedRAMP 使用特定基线、模板、评估方法和授权决策。

FedRAMP 20x 是什么?

expand_more

FedRAMP 20x 是一项现代化工作,旨在让授权更快、更自动化,尤其适用于较低风险云服务。它并不取消基于风险的控制实施和授权证据要求,而是改变部分证据和审查步骤的处理方式。

官方文档

查看全部

实施时间线

gavel
2011年12月
OMB memo establishes FedRAMP
corporate_fare
2012年6月
FedRAMP PMO operational under GSA
verified
2022年12月
FedRAMP Authorization Act signed into law
update
2024年7月
Updated policy memo with new vision and governance
rocket_launch
2025年3月
FedRAMP 20x pilot announced for accelerated authorization
check_circle
2025年8月
GSA completes 144 authorizations, eliminates backlog

相关分类