实施 FedRAMP、SSP、POAM 及 OSCAL 报告工具包

FedRAMP SSP、POAM 及 OSCAL 报告工具包是 Diligent One 平台内的一套集成解决方案，旨在帮助联邦云服务提供商自动创建和管理关键的 FedRAMP 合规文档。这些文档包括系统安全计划 (SSP)、行动计划和里程碑 (POAM)、机器可读的开放安全控制评估语言 (OSCAL) 输出。这些合规性成果对于维持 FedRAMP 授权至关重要，且传统上需耗费大量时间编制和更新。本工具包通过自动化数据收集、归一化及导出流程，减少人工投入并提升准确性。

它旨在应对繁重的文档工作负载，简化提供商准备、维护和更新其 SSP 与 POAM 报告的方式：SSP 概述了提供商的授权边界、系统架构以及数百项安全控制措施的实施情况。POAM 跟踪漏洞及修复工作，必须定期更新并提交给联邦监管机构。

什么是 OSCAL？

OSCAL 提供标准化的机器可读格式，帮助组织呈现网络安全文档，包括控制措施目录、基线、系统安全计划 (SSP) 和评估结果。OSCAL 由美国国家标准与技术研究院 (NIST) 开发，采用 XML、JSON 和 YAML 格式，以支持在记录、交换和评估安全控制措施及合规性成果时实现自动化、互操作性和一致性。

FedRAMP 授权流程要求云服务提供商 (CSP) 以传统的人类可读格式和 OSCAL 格式提交 SSP 和 POAM 等关键文档。通过使用 OSCAL，组织可以自动化复杂的报告和持续评估流程，简化合规工作流，并加速评审周期。系统能够以编程方式验证和处理 OSCAL 文档，从而减少人工投入并提升评审间的一致性。

工具包组件

安装后，工具包包含多个预配置的机器人、项目类型、结果清单和调查问卷，以支持自动化报告生成与数据管理。

机器人

SSP 自动化机器人

• 通过从您的 Diligent One FedRAMP 项目中提取结构化数据并将其合并到 Word 模板中，生成完整的系统安全计划 (SSP) 报告。

• 自动填充 SSP 主体部分（第 1 至 12 节）及详述控制措施实施的附录 A 的数据。

• 支持以人类可读 (Word) 和机器可读 (OSCAL) 格式导出。

FedRAMP POAM 自动化机器人

• FedRAMP 安全扫描自动化机器人

  • 直接从安全扫描器（如 Tenable、Rapid7、Qualys）的 CSV 导出文件中导入漏洞数据。

  • 将数据归一化并导入结果应用程序中的 POAM 清单。

• FedRAMP SAR 漏洞自动化机器人

  导入年度安全评估报告 (SAR) 中识别的漏洞，并将其映射至相关安全控制措施。

• POAM OSCAL 机器人

  将 POAM 清单转换为 OSCAL 格式，以支持机器可读的监管提交。

其他组件

• 报告收集项目类型

  Diligent One 中预配置的项目格式，旨在集中管理所有 FedRAMP 实施详情和合规性成果。

• POAM 结果收集

  用于录入、归一化和去重漏洞数据的集中式结果表，支持所有必需的 FedRAMP 报告。

• POAM 构建器调查问卷

  用于手动录入自动化扫描未覆盖的漏洞详细信息的嵌入式表单。