解决方案指南实施 FedRAMP SSP 工作流
FedRAMP SSP 自动化机器人通过从 Diligent One 项目中提取结构化数据并将其导出至官方 FedRAMP SSP Word 模板,帮助简化系统安全计划 (SSP) 的生成过程。
本节将介绍 FedRAMP SSP 工作流。
什么是 SSP?
系统安全计划 (SSP) 是云服务提供商 (CSP) 为获得 FedRAMP 授权而必须编制和维护的合规文档。它概述了提供商的项目计划、授权状态、安全边界以及满足联邦标准所需的详细控制措施。SSP 还包括系统所有权、职责、网络架构、职责分离及已利用的系统。其主要章节以标准化表格呈现组织与系统详情,而附录 A 则记录了数百项安全控制措施的实施细节、角色和状态。SSP 是初始授权、年度审查和重大系统变更的必需文件,CSP 必须定期更新 SSP 并提交给监管机构,为评估人员提供有效安全保障措施的可审计证据。
CSP 需在初始授权批准流程和年度审查周期中创建并提交 SSP 文档。
SSP 的角色和先决条件
系统管理员负责安装工具包、配置机器人任务并管理权限。
项目负责人和安全专业人员负责填写项目字段、更新控制证据并管理附件。
需订阅 IT 合规 – 联邦合同合规工具包套件。
需拥有 Diligent One 项目、结果和机器人应用程序的访问权限。
需具备 FedRAMP Rev. 5 控制措施及兼容模板。
在哪里实施 SSP
您可以使用 Diligent One 中的机器人、项目、结果和报告应用程序来实施 SSP 工作流。
机器人应用程序可自动从项目中提取数据,并以人类可读 (Word) 和机器可读 (OSCAL) 格式填充所需的 SSP 模板。
项目应用程序作为集中化中心,用于收集、组织和存储所有 SSP 相关数据,包括系统详情和控制措施实施情况。
结果应用程序提供结构化的漏洞清单。您可以将这些漏洞链接至控制措施,并将其与持续的合规证据关联,尤其是在整合 POAM 和 SSP 报告时。
报告应用程序使用标准化模板生成 SSP。您还可以根据需要附加支持性证据。
步骤
创建 FedRAMP 项目
Diligent One 中的 FedRAMP 报告项目类型已预先配置,旨在满足 FedRAMP 要求并与自动化机器人兼容。该项目类型包含为 FedRAMP 定制的预置属性和章节,包括:
系统级 SSP 数据(第 1 至 12 节)
控制级实施数据(附录 A)
设置系统安全计划选项卡
在新创建的 FedRAMP 项目中,系统安全计划选项卡(也称为系统安全计划信息选项卡)提供用于输入 SSP 章节必需数据的结构化字段。每个章节都添加了相关示例表以确保格式一致。您可以采集直接映射至 FedRAMP SSP 模板第 1 至 12 节的结构化数据。
这些表有助于确保自动化机器人能准确地将项目数据导入并映射到 SSP 模板中。必填字段和表包括:
| 域 | 详细信息 |
|---|---|
| 编制人 | 包含编制人及组织信息 |
| 系统信息 | 基本系统详细信息 |
| 系统负责人 | 联系人详细信息 |
| ISSO 联系人 | InfoSec 联系人 |
| 已利用的 FedRAMP 系统及外部系统 | 授权边界内外的系统 |
| 服务、端口及协议 | 技术详情 |
| 职责分离 | 基于角色的访问与职责 |
| SSP 附件 | 附录文件(如架构图) |
SSP 附件选项卡
FedRAMP 要求云服务提供商 (CSP) 在提交主 SSP 的同时提供若干附录及补充文件。这些辅助材料通常包括:
架构图
网络边界示意图
策略文档
系统组件清单
其他技术或流程性成果文件
SSP 附件选项卡提供了一种结构化方式,用于:
将这些文档直接上传至项目。
在 SSP 导出时引用它们。
标示每个附件是否包含在当前版本的 SSP 中。
该选项卡中的每条记录包含以下字段:
附件的名称/标题
系统安全计划 ID
在当前版本的 SSP 中包含附件
附件类型
附件 #1 URL
附件 #2 URL
输入必需信息后,即可上传实际的附件文件(如 PDF、Word 文档或图片)。此方法有助于在项目内实现集中访问和版本控制。
导入控制
Diligent One 中的 FedRAMP 报告项目工作流确保包含和妥善引用正确的 FedRAMP Rev. 5 安全控制措施,以支持自动化。这些控制措施必须在项目设置前已存在于组织的合规图或框架中。在 FedRAMP 报告项目中,可以导入或定义控制措施,但需确保其映射与格式符合 FedRAMP 规范以支持自动化。
项目中使用的基线基于系统分类选择,其详细信息源自 FedRAMP Rev. 5 安全控制工具包。确定适用的基线(中等或高等)后,相关的控制族将添加到项目中,以支持准确的映射与自动化。
添加控制措施详细信息
每项控制措施均需填写控制参数与实施步骤,以便 FedRAMP 报告机器人能生成完整的 SSP 报告。为使项目能够生成人类可读及 OSCAL 格式的 SSP,必须确保这些字段按照 FedRAMP 要求正确输入并结构化:
控制参数在控制选项卡中,添加预格式化的参数表,表中包含该控制措施的正确参数名称。
控制措施实施(排查)表在排查选项卡中,添加实施步骤表,说明解决方案是什么以及如何实施。每项控制措施可能具有不同数量或名称的步骤。
说明
某些控制措施可能仅包含一个实施步骤,而另一些可能不需要任何参数。对于没有参数的控制措施,相应步骤不适用,可省略,不影响报告生成。
其他控制措施属性每项控制措施包括:
控制 ID
负责角色
控制参数
实施步骤
实施状态
控制措施来源与继承详情
备注
说明
请勿编辑参数或步骤名称;成功导出需要标准化的名称。任何错误或不匹配都将在机器人日志中标记。
将 FedRAMP SSP 模板上传至机器人
要使用 Diligent One 报告自动化工具包自动生成并探索 FedRAMP 系统安全计划,您必须首先将以下模板上传至 Diligent One 平台中系统安全计划自动化机器人的工作数据选项卡:
涵盖第 1 至 12 节的 FedRAMP SSP 模板
涵盖所有安全控制措施的附录 A 模板
说明
两个模板必须为 .docx 格式,且其文件名必须在 SSP 自动化机器人的参数部分完全匹配。机器人使用这些名称来正确填充 SSP 模板。这在附录 A 中尤为关键,因为每项控制措施可能包含多个参数和实施步骤。
机器人会解析模板以查找特定字段,并将其与项目中的对应条目匹配。如果名称不匹配(例如,模板中的“Parameter A”与项目中的“Param A”),机器人将无法建立连接。这种情况会导致:
输出文件中数据缺失。
生成文档中出现错误消息。
跟踪日志中存在未匹配字段的记录条目。
设置并运行 SSP 机器人
在机器人的任务 > SSP 自动化部分,参数包括:
用于提取数据的项目 ID。
已上传的 SSP 和附录 A 模板的文件名。
用于启动 SSP 自动化流程的 API 令牌。
配置完成后,机器人将导入项目数据并填充所选模板,生成两个可供提交的输出文件。您可以从 SSP 自动化机器人的任务运行详情中下载这些输出文件。
如果缺少必需数据,输出文档和跟踪日志中会出现错误消息,有助于识别不完整或格式不正确的部分。此反馈支持以清单核对式的方法来完成所有必需字段,以确保成功生成报告。
设置并运行 OSCAL 机器人
OSCAL 机器人是 FedRAMP 报告工具包的一部分,用于将 SSP 数据导出为符合 NIST 和 FedRAMP 标准且机器可读的开放安全控制评估语言 (OSCAL) 格式。
首先,您可以访问机器人应用程序,选择 SSP OSCAL 导出机器人,然后将 SSP 模板上传到工作数据选项卡。在机器人的参数屏幕上,输入以下详细信息:
项目 ID您已完成的 FedRAMP 项目的标识符。
Diligent One API 令牌用于身份验证的 HCL 令牌。
完成配置后,OSCAL 机器人将汇总所有相关的项目数据和附件,生成机器可读的 OSCAL SSP 文件。
