verified_user
Standardful
首頁chevron_right標準chevron_rightFedRAMP
現行有效國際標準update 標準更新:2025年3月fact_check 事實核查:2026年6月28日

FedRAMP

聯邦風險與授權管理計畫——雲服務安全授權

apartment發布組織:美國總務管理局(GSA)

標準簡介

聯邦風險與授權管理計畫(FedRAMP)是由美國總務管理局(GSA)管理的全美政府範圍計畫,為雲端產品和服務的安全評估、授權和持續監控提供標準化方法。該計畫成立於 2011 年,確保聯邦機構使用的雲端解決方案滿足基於 NIST 標準的一致安全要求。

FedRAMP 遵循「一次評估,多次使用」模式,雲端供應商的安全授權可在各聯邦機構間複用,節省時間和成本。隨著 2025 年 FedRAMP 20x 的推出,該計畫正在現代化其方法以加快授權時程,同時為不斷成長的聯邦雲端市場維持嚴格的安全標準。

cloud_done

一次認證,多方複用

雲端服務提供者完成一次授權後,由此產生的安全資料包可被任何聯邦機構複用——消除重複評估,加速雲端技術採用。

security

三種影響等級

根據 FIPS 199 分類,授權分為低、中、高三種影響等級——對應的 NIST SP 800-53 安全控制要求依次遞增。

autorenew

持續監控

已授權的提供者必須實施持續安全監控,包括每月弱點掃描、年度滲透測試以及即時事件通報。

list_alt 授權要求

  • 記錄所有控制措施的系統安全計畫(SSP)
  • 第三方評估機構(3PAO)稽核
  • 安全評估報告(SAR)
  • 行動計畫與里程碑(POA&M)
  • 持續監控與月度報告
  • 在規定時限內的事件回應
  • 年度評估與重新授權
  • 面向加速低級別授權的 FedRAMP 20x 試辦

誰需要合規?

groups

希望向美國聯邦政府機構銷售雲端產品或服務的雲端服務提供者(CSP)。同樣適用於政府承包商所使用的、涉及處理聯邦資料的雲端服務。

關鍵要求

1

安全控制實施

根據影響等級實施相應的 NIST SP 800-53 Rev 5 安全控制:低級(約 156 項控制)、中級(約 325 項控制)或高級(約 421 項控制)。在系統安全計畫中記錄每一項控制。

2

3PAO 評估

委託 FedRAMP 認可的第三方評估機構(3PAO)對安全控制的實施情況及有效性進行獨立評估。

3

授權路徑

透過機構 ATO(由特定聯邦機構擔保)、聯合授權委員會(JAB)臨時 ATO,或新推出的 FedRAMP 20x 試辦路徑申請授權。

4

持續監控

獲得授權後,透過每月弱點掃描、年度滲透測試、行動計畫與里程碑管理及重大變更報告,持續保持合規狀態。

實施路線圖

1
階段 1schedule 預計週期: 4-8 周

準備影響級別与授權路徑

確認雲端服務產品是否在範圍内,确定 Low、Moderate 或 High 影響級別,并選擇有機構擔保或適用 FedRAMP 20x 的授權路徑。在評估前定義邊界、繼承控制、外部服務和責任團隊。

2
階段 2schedule 預計週期: 8-12 周

按 FedRAMP 基線做差距分析

将系統對應到所需的 NIST SP 800-53 Rev. 5 基線,在 SSP 中記錄實施狀態,并識別控制、弱點管理和政策缺口。在正式測試前与 FedRAMP 認可的 3PAO 或有经验評估方验证準備情况。

3
階段 3schedule 預計週期: 3-6 个月

實施控制并完成評估

整改差距,最终确定 SSP、政策、图表、清單、控制说明和實施證據,然后完成 3PAO 測試并形成安全評估報告。将剩餘風險記錄到 POA&M,并準備提交機構授權審查。

4
階段 4schedule 預計週期: 持續進行

維護授權与持續監控

通过弱點扫描、POA&M 更新、組態管理、事件報告、年度評估和重大變更審查執行持續監控。保持機構授權官瞭解最新情况,使 ATO 始终由目前證據支撐。

合規檢查清單

0 / 12

checklist 準備度与範圍

checklist 授權資料包

checklist 持續監控

FedRAMP 与 SOC 2、ISO 27001 对比

雲端服務提供商通常維護多个保證專案,但只有 FedRAMP 满足聯邦雲端授權需求。

面向FedRAMPSOC 2ISO 27001
主要受众美國聯邦機構服務組織的客戶全球客戶和認證機構
基礎NIST SP 800-53 基線和聯邦授權AICPA 信任服務准则ISO 管理体系要求和 Annex A 控制
結果營運授權或可複用授權資料包獨立鑑證報告認可证书
持續义务正式持續監控和機構監督週期性稽核期和必要的橋接函監督稽核和再認證週期

常見誤區

cancel
誤區

FedRAMP 授權是一次性專案。

check_circle
事實

授權必須通过持續監控、年度評估活动、事件報告和變更管理来維護。

cancel
誤區

3PAO 可以授予 FedRAMP 授權。

check_circle
事實

3PAO 負責評估和報告。授權決定属于機構授權官或適用治理流程。

cancel
誤區

任何現有雲端安全稽核都足以用於聯邦環境。

check_circle
事實

FedRAMP 要求特定控制、資料、測試和授權決策。其他稽核可以支援但不能取代。

處罰與執行

warning

無法定罰款——FedRAMP 是政府採購的先決條件,而非懲罰性法規。未獲 FedRAMP 授權的雲端服務提供者無資格承接聯邦合約。已授權的提供者如未能滿足持續監控要求,面臨被撤銷營運授權(ATO)的風險。

常見問題解答

谁需要 FedRAMP 授權?

expand_more

当美國聯邦機構使用雲端服務處理、儲存或傳輸聯邦資訊时,雲端服務提供商需要 FedRAMP 授權。合約要求聯邦資料託管在授權雲端環境中时,承包商也可能需要使用 FedRAMP 授權服務。

Agency ATO 和 JAB P-ATO 有什么区别?

expand_more

Agency ATO 由具體聯邦機構核發,授權该機構使用雲端服務。JAB 臨時授權過去由聯合授權委員會審查,面向政府範圍複用。FedRAMP 現代化正在更強調機構授權、複用和新的 20x 路徑。

3PAO 做什么?

expand_more

FedRAMP 認可的第三方評估機構会依据適用基線獨立測試雲端服務、验证證據、識別發現項,并生成安全評估報告等資料。3PAO 不授予 ATO,授權決定由授權官作出。

FedRAMP 授權資料包包含什么?

expand_more

核心資料包括系統安全計畫、控制實施細節、图表、政策流程、安全評估計畫、安全評估報告、弱點扫描結果和 POA&M。具體資料包取決於授權路徑和目前 FedRAMP 模板。

FedRAMP 需要多长时间?

expand_more

傳統授權通常需要數月,因为提供商必須實施控制、完成 3PAO 測試、整改發現項并通过機構審查。準備度、自動化、较窄服務邊界和早期機構溝通可以顯著降低时间風險。

FedRAMP 中的持續監控是什么?

expand_more

持續監控是让已授權系統保持在已接受風險狀態内的持續流程,包括定期弱點扫描、POA&M 維護、組態和清單更新、事件報告、年度評估以及重大變更審查。

SOC 2 或 ISO 27001 可以取代 FedRAMP 吗?

expand_more

不能。SOC 2 和 ISO 27001 可以提供有用證據和控制成熟度,但覆盖的聯邦雲端服務仍需要 FedRAMP 授權。FedRAMP 使用特定基線、模板、評估方法和授權決策。

FedRAMP 20x 是什么?

expand_more

FedRAMP 20x 是一项現代化工作,旨在让授權更快、更自動化,尤其適用於较低風險雲端服務。它并不取消基于風險的控制實施和授權證據要求,而是改变部分證據和審查步骤的處理方式。

官方文件

查看全部

實施時間線

gavel
2011年12月
OMB memo establishes FedRAMP
corporate_fare
2012年6月
FedRAMP PMO operational under GSA
verified
2022年12月
FedRAMP Authorization Act signed into law
update
2024年7月
Updated policy memo with new vision and governance
rocket_launch
2025年3月
FedRAMP 20x pilot announced for accelerated authorization
check_circle
2025年8月
GSA completes 144 authorizations, eliminates backlog

相關分類