តារាងមាតិកា
ការលួចចូលកាមេរ៉ារបស់តារាល្បី។ ចារកម្មតាមអ៊ីនធឺណិតតាមរដ្ឋ។ និងអ្វីគ្រប់យ៉ាងនៅចន្លោះ។ សុវត្ថិភាពទិន្នន័យមានកម្មវិធីយ៉ាងច្រើន។ ហើយវាជាកង្វល់ចម្បងសម្រាប់អ្នកគ្រប់គ្នាដែលប្រើប្រាស់ ឬផ្គត់ផ្គង់សេវាកម្មដែលមានមូលដ្ឋានលើពពក។
នៅពេលដែលទិន្នន័យរបស់រដ្ឋាភិបាលពាក់ព័ន្ធ កង្វល់ទាំងនោះអាចឈានដល់កម្រិតសន្តិសុខជាតិ។ នោះហើយជាមូលហេតុដែលរដ្ឋាភិបាលសហរដ្ឋអាមេរិកតម្រូវឱ្យសេវាពពកទាំងអស់ដែលប្រើប្រាស់ដោយភ្នាក់ងារសហព័ន្ធដើម្បីបំពេញតាមស្តង់ដារសុវត្ថិភាពដ៏ប្រុងប្រយ័ត្នដែលត្រូវបានគេស្គាល់ថា FedRAMP។
ដូច្នេះតើ FedRAMP គឺជាអ្វី ហើយតើវាមានន័យដូចម្តេច? អ្នកស្ថិតនៅកន្លែងដែលត្រឹមត្រូវដើម្បីស្វែងយល់។
ប្រាក់រង្វាន់៖ សូមអានការណែនាំអំពីយុទ្ធសាស្ត្រប្រព័ន្ធផ្សព្វផ្សាយសង្គមមួយជំហានម្តងមួយៗ ជាមួយនឹងគន្លឹះល្អៗអំពីរបៀបបង្កើនវត្តមានប្រព័ន្ធផ្សព្វផ្សាយសង្គមរបស់អ្នក។
តើ FedRAMP ជាអ្វី?
FedRAMP តំណាងឱ្យ "កម្មវិធីគ្រប់គ្រងហានិភ័យ និងការផ្តល់សិទ្ធិរបស់សហព័ន្ធ។ វាកំណត់ស្តង់ដារការវាយតម្លៃសុវត្ថិភាព និងការអនុញ្ញាតសម្រាប់ផលិតផល និងសេវាកម្មពពកដែលប្រើប្រាស់ដោយទីភ្នាក់ងារសហព័ន្ធរបស់សហរដ្ឋអាមេរិក។
គោលដៅគឺដើម្បីធ្វើឱ្យប្រាកដថាទិន្នន័យសហព័ន្ធត្រូវបានការពារជាប់លាប់ក្នុងកម្រិតខ្ពស់នៅក្នុងពពក។
ការទទួលបាន FedRAMP ការអនុញ្ញាតគឺជាអាជីវកម្មធ្ងន់ធ្ងរ។ កម្រិតសុវត្ថិភាពតម្រូវឱ្យមានកាតព្វកិច្ចដោយច្បាប់។ មានច្បាប់ និងបទប្បញ្ញត្តិជាធរមានចំនួន 14 រួមជាមួយនឹងស្តង់ដារ និងឯកសារណែនាំចំនួន 19 ។ វាគឺជាវិញ្ញាបនប័ត្រផ្នែកទន់ជាសេវាកម្មដ៏តឹងរ៉ឹងបំផុតមួយនៅក្នុងពិភពលោក។
នេះគឺជាការណែនាំខ្លីៗ៖
FedRAMP មានតាំងពីឆ្នាំ 2012។ នោះហើយជាពេលដែលបច្ចេកវិទ្យាពពកពិតជាការអនុញ្ញាតសម្រាប់ Adobe Sign ។
ស្វែងយល់បន្ថែមអំពីរបៀបដែល @Adobe Sign កំពុងដំណើរការដើម្បីផ្លាស់ទីពី FedRAMP កាត់តាម FedRAMP រូបចម្លាក់ល្មមនៅទីនេះ៖ //t.co/cYjihF9KkP
— AdobeSecurity (@AdobeSecurity) ថ្ងៃទី 12 ខែសីហា ឆ្នាំ 2020
សូមចងចាំថា វាជាសេវាកម្ម មិនមែនជាអ្នកផ្តល់សេវាទេ ដែលទទួលបានការអនុញ្ញាត។ ដូច Adobe ដែរ អ្នកប្រហែលជាត្រូវបន្តការអនុញ្ញាតច្រើន ប្រសិនបើអ្នកផ្តល់ដំណោះស្រាយដែលមានមូលដ្ឋានលើពពកច្រើនជាងមួយ។
Slack
ត្រូវបានអនុញ្ញាតក្នុងខែឧសភាឆ្នាំនេះ Slack មានការអនុញ្ញាតពី FedRAMP ចំនួន 21 ។ ផលិតផលត្រូវបានអនុញ្ញាតនៅកម្រិតមធ្យម។ វាត្រូវបានប្រើប្រាស់ដោយភ្នាក់ងាររួមមាន៖
- មជ្ឈមណ្ឌលគ្រប់គ្រង និងការពារជំងឺ
- គណៈកម្មការទំនាក់ទំនងសហព័ន្ធ និង
- មូលនិធិវិទ្យាសាស្ត្រជាតិ។
ឥឡូវនេះ វិស័យសាធារណៈរបស់សហរដ្ឋអាមេរិកអាចដំណើរការការងាររបស់ពួកគេបន្ថែមទៀតនៅក្នុង Slack ដោយអរគុណចំពោះការអនុញ្ញាតថ្មីរបស់ FedRAMP Moderate របស់យើង។ ហើយតាមរយៈការបំពេញតាមតម្រូវការសុវត្ថិភាពដ៏តឹងរ៉ឹងទាំងនោះ យើងក៏កំពុងរក្សាសុវត្ថិភាពសម្រាប់គ្រប់ក្រុមហ៊ុនផ្សេងទៀតដោយប្រើ Slack ផងដែរ។ //t.co/dlra7qVQ9F
— Slack (@SlackHQ) ថ្ងៃទី 13 ខែសីហា ឆ្នាំ 2020
Slack បានទទួលការអនុញ្ញាតពី FedRAMP ពីដំបូង។ បន្ទាប់មក ពួកគេបានបន្តការអនុញ្ញាតកម្រិតមធ្យម ដោយចាប់ដៃគូជាមួយនាយកដ្ឋានកិច្ចការអតីតយុទ្ធជន។
Slack ធ្វើឱ្យប្រាកដថាត្រូវយកចិត្តទុកដាក់ចំពោះអត្ថប្រយោជន៍សុវត្ថិភាពនៃការអនុញ្ញាតនេះសម្រាប់អតិថិជនផ្នែកឯកជននៅលើគេហទំព័ររបស់ខ្លួន៖
“នេះ ការអនុញ្ញាតចុងក្រោយបកប្រែទៅជាបទពិសោធន៍ដែលមានសុវត្ថិភាពជាងមុនសម្រាប់អតិថិជន Slack រួមទាំងអាជីវកម្មក្នុងវិស័យឯកជនដែលមិនត្រូវការបរិយាកាសដែលមានការអនុញ្ញាតពី FedRAMP ។ អតិថិជនទាំងអស់ដែលប្រើប្រាស់ការផ្តល់ជូនពាណិជ្ជកម្មរបស់ Slack អាចទទួលបានអត្ថប្រយោជន៍ពីវិធានការសុវត្ថិភាពដែលតម្រូវឱ្យធ្វើដើម្បីសម្រេចបាននូវវិញ្ញាបនប័ត្រ FedRAMP ។ មកទល់ពេលនេះ Trello ត្រូវបានប្រើប្រាស់ដោយរដ្ឋបាលសេវាទូទៅប៉ុណ្ណោះ។ ប៉ុន្តែក្រុមហ៊ុនកំពុងស្វែងរកការផ្លាស់ប្តូរនោះ ដូចដែលបានឃើញនៅក្នុងការបង្ហោះសង្គមរបស់ពួកគេអំពីស្ថានភាព FedRAMP ថ្មីរបស់ពួកគេ៖
🏛️ដោយមានការអនុញ្ញាតពី FedRAMP របស់ Trello ឥឡូវនេះភ្នាក់ងាររបស់អ្នកអាចប្រើប្រាស់ Trello ដើម្បីបង្កើនផលិតភាព បំបែកក្រុម និងជំរុញ។ កិច្ចសហប្រតិបត្តិការ។ //t.co/GWYgaj9jfY
— Trello (@trello) ថ្ងៃទី 12 ខែតុលា ឆ្នាំ 2020
Zendesk
ត្រូវបានអនុញ្ញាតផងដែរនៅក្នុងខែឧសភា Zendesk ត្រូវបានប្រើប្រាស់ដោយ៖
- នាយកដ្ឋានថាមពល
- ទីភ្នាក់ងារហិរញ្ញវត្ថុលំនៅឋានសហព័ន្ធ
- ការិយាល័យ FHFA នៃអគ្គអធិការ និង
- រដ្ឋបាលសេវាកម្មទូទៅ។
វេទិកាជំនួយអតិថិជន និងជំនួយរបស់ Zendesk មានការអនុញ្ញាតពី Li-Saas។
ចាប់ពីថ្ងៃនេះតទៅ យើងអាចធ្វើឱ្យវាកាន់តែងាយស្រួលសម្រាប់ភ្នាក់ងាររដ្ឋាភិបាលក្នុងការធ្វើការជាមួយយើង ដោយសារ @Zendesk ឥឡូវនេះត្រូវបានអនុញ្ញាតដោយ FedRAMP។ អរគុណច្រើនដល់ក្រុមទាំងអស់ក្នុង និងក្រៅ Zendesk សម្រាប់កិច្ចខិតខំប្រឹងប្រែងដែលបានដាក់ក្នុងរឿងនេះ។ //t.co/A0HVwjhGsv
— Mikkel Svane (@mikkelsvane) ថ្ងៃទី 22 ខែឧសភា ឆ្នាំ 2020
FedRAMP សម្រាប់ការគ្រប់គ្រងប្រព័ន្ធផ្សព្វផ្សាយសង្គម
SMMExpert គឺ FedRAMPអនុញ្ញាត។ ឥឡូវនេះភ្នាក់ងាររដ្ឋាភិបាលអាចធ្វើការយ៉ាងងាយស្រួលជាមួយអ្នកដឹកនាំសកលលោកក្នុងការគ្រប់គ្រងប្រព័ន្ធផ្សព្វផ្សាយសង្គម ដើម្បីចូលរួមជាមួយប្រជាពលរដ្ឋ គ្រប់គ្រងទំនាក់ទំនងវិបត្តិ និងផ្តល់សេវាកម្ម និងព័ត៌មានតាមរយៈប្រព័ន្ធផ្សព្វផ្សាយសង្គម។
ស្នើសុំការសាកល្បង
បានចាប់ផ្តើមជំនួសដំណោះស្រាយកម្មវិធីដែលបានភ្ជាប់ខ្សែហួសសម័យ។ វាកើតចេញពីយុទ្ធសាស្ត្រ "Cloud First" របស់រដ្ឋាភិបាលសហរដ្ឋអាមេរិក។ យុទ្ធសាស្ត្រនោះតម្រូវឱ្យភ្នាក់ងារពិនិត្យមើលដំណោះស្រាយដែលមានមូលដ្ឋានលើពពកជាជម្រើសដំបូង។មុននឹង FedRAMP អ្នកផ្តល់សេវាពពកត្រូវរៀបចំកញ្ចប់ការអនុញ្ញាតសម្រាប់ទីភ្នាក់ងារនីមួយៗដែលពួកគេចង់ធ្វើការជាមួយ។ តម្រូវការមិនស្របគ្នាទេ។ ហើយមានការខិតខំប្រឹងប្រែងស្ទួនជាច្រើនសម្រាប់ទាំងអ្នកផ្តល់សេវា និងភ្នាក់ងារ។
FedRAMP បានណែនាំភាពស៊ីសង្វាក់គ្នា និងសម្រួលដំណើរការ។
ឥឡូវនេះ ការវាយតម្លៃ និងតម្រូវការត្រូវបានធ្វើតាមស្តង់ដារ។ ភ្នាក់ងាររដ្ឋាភិបាលជាច្រើនអាចប្រើកញ្ចប់សុវត្ថិភាពការអនុញ្ញាត FedRAMP របស់អ្នកផ្តល់សេវាឡើងវិញបាន។
ការទទួលបាន FedRAMP ដំបូងមានភាពយឺតយ៉ាវ។ មានតែការផ្តល់សេវាពពកចំនួន 20 ប៉ុណ្ណោះដែលត្រូវបានអនុញ្ញាតក្នុងរយៈពេល 4 ឆ្នាំដំបូង។ ប៉ុន្តែល្បឿនពិតជាកើនឡើងចាប់តាំងពីឆ្នាំ 2018 ហើយឥឡូវនេះមានផលិតផលពពកដែលមានការអនុញ្ញាតពី FedRAMP ចំនួន 204 ។
ប្រភព៖ FedRAMP
FedRAMP ត្រូវបានគ្រប់គ្រងដោយក្រុមប្រឹក្សាអនុញ្ញាតរួម (JAB)។ ក្រុមប្រឹក្សាភិបាលត្រូវបានបង្កើតឡើងដោយតំណាងមកពី៖
- នាយកដ្ឋានសន្តិសុខមាតុភូមិ
- រដ្ឋបាលសេវាកម្មទូទៅ និង
- ក្រសួងការពារជាតិ។
កម្មវិធីនេះត្រូវបានគាំទ្រដោយក្រុមប្រឹក្សាមន្ត្រីព័ត៌មានសហព័ន្ធរបស់រដ្ឋាភិបាលសហរដ្ឋអាមេរិក។
ហេតុអ្វីបានជាការបញ្ជាក់របស់ FedRAMP មានសារៈសំខាន់?
សេវាកម្មពពកទាំងអស់ដែលផ្ទុកទិន្នន័យសហព័ន្ធទាមទារការអនុញ្ញាតពី FedRAMP ។ ដូច្នេះប្រសិនបើអ្នកចង់ធ្វើការជាមួយរដ្ឋាភិបាលសហព័ន្ធ ការអនុញ្ញាតពី FedRAMP គឺជាផ្នែកមួយដ៏សំខាន់នៃផែនការសន្តិសុខរបស់អ្នក។
FedRAMP គឺសំខាន់ព្រោះវាធានានូវភាពស៊ីសង្វាក់គ្នាក្នុងសុវត្ថិភាពនៃសេវាកម្មពពករបស់រដ្ឋាភិបាល ហើយដោយសារតែវាធានានូវភាពស៊ីសង្វាក់គ្នាក្នុងការវាយតម្លៃ និងត្រួតពិនិត្យសុវត្ថិភាពនោះ។ វាផ្ដល់នូវស្ដង់ដារមួយសម្រាប់ទីភ្នាក់ងាររដ្ឋាភិបាលទាំងអស់ និងអ្នកផ្តល់សេវាពពកទាំងអស់។
អ្នកផ្តល់សេវាពពកដែលត្រូវបានអនុញ្ញាតដោយ FedRAMP ត្រូវបានចុះបញ្ជីនៅក្នុងទីផ្សារ FedRAMP ។ ទីផ្សារនេះគឺជាកន្លែងដំបូងដែលភ្នាក់ងាររដ្ឋាភិបាលមើលនៅពេលដែលពួកគេចង់រកប្រភពដំណោះស្រាយផ្អែកលើពពកថ្មី។ វាកាន់តែងាយស្រួល និងលឿនជាងមុនសម្រាប់ភ្នាក់ងារក្នុងការប្រើប្រាស់ផលិតផលដែលត្រូវបានអនុញ្ញាតរួចហើយ ជាជាងចាប់ផ្តើមដំណើរការផ្តល់សិទ្ធិជាមួយអ្នកលក់ថ្មី។
ដូច្នេះ ការចុះបញ្ជីនៅក្នុងទីផ្សារ FedRAMP ធ្វើឱ្យអ្នកទំនងជាទទួលបានអាជីវកម្មបន្ថែមពី ភ្នាក់ងាររដ្ឋាភិបាល។ ប៉ុន្តែវាក៏អាចកែលម្អទម្រង់របស់អ្នកនៅក្នុងវិស័យឯកជនផងដែរ។
នោះដោយសារតែទីផ្សារ FedRAMP អាចមើលឃើញជាសាធារណៈ។ ក្រុមហ៊ុនផ្នែកឯកជនណាមួយអាចរមូរតាមបញ្ជីនៃដំណោះស្រាយដែលមានការអនុញ្ញាតពី FedRAMP។
វាជាធនធានដ៏អស្ចារ្យនៅពេលដែលពួកគេកំពុងស្វែងរកប្រភពផលិតផល ឬសេវាកម្មពពកដែលមានសុវត្ថិភាព។
ការអនុញ្ញាតពី FedRAMP អាចធ្វើឱ្យអតិថិជនណាមួយ កាន់តែជឿជាក់លើពិធីសារសុវត្ថិភាព។ វាតំណាងឱ្យការប្តេជ្ញាចិត្តជាបន្តបន្ទាប់ក្នុងការបំពេញតាមស្តង់ដារសុវត្ថិភាពខ្ពស់បំផុត។
ការអនុញ្ញាតពី FedRAMP បង្កើនភាពជឿជាក់លើសុវត្ថិភាពរបស់អ្នកយ៉ាងខ្លាំងលើសពីទីផ្សារ FedRAMP ផងដែរ។ អ្នកអាចចែករំលែកការអនុញ្ញាត FedRAMP របស់អ្នកនៅលើប្រព័ន្ធផ្សព្វផ្សាយសង្គម និងនៅលើគេហទំព័ររបស់អ្នក។
ការពិតគឺថាអតិថិជនរបស់អ្នកភាគច្រើនប្រហែលជាមិនដឹងថា FedRAMP ជាអ្វីនោះទេ។ ពួកគេមិនខ្វល់ថាអ្នកត្រូវបានអនុញ្ញាតឬអត់នោះទេ។ ប៉ុន្តែសម្រាប់អតិថិជនធំៗទាំងនោះដែលយល់អំពី FedRAMP - ទាំងក្នុងវិស័យសាធារណៈ និងឯកជន - ការខ្វះការអនុញ្ញាតអាចជាអ្នកបំបែកកិច្ចព្រមព្រៀង។
តើវាត្រូវការអ្វីខ្លះដើម្បីឱ្យ FedRAMP បញ្ជាក់?
នៅទីនោះ គឺជាវិធីពីរផ្សេងគ្នាដើម្បីក្លាយជា FedRAMP ដែលត្រូវបានអនុញ្ញាត។
1. ក្រុមប្រឹក្សាការអនុញ្ញាតរួម (JAB) អាជ្ញាធរបណ្តោះអាសន្នដើម្បីប្រតិបត្តិការ
នៅក្នុងដំណើរការនេះ JAB ចេញការអនុញ្ញាតបណ្តោះអាសន្ន។ ដែលអនុញ្ញាតឱ្យភ្នាក់ងារដឹងថាហានិភ័យត្រូវបានពិនិត្យឡើងវិញ។
វាជាការយល់ព្រមដំបូងដ៏សំខាន់។ ប៉ុន្តែភ្នាក់ងារណាមួយដែលចង់ប្រើប្រាស់សេវាកម្មនេះនៅតែត្រូវចេញអាជ្ញាធររបស់ខ្លួនដើម្បីប្រតិបត្តិការ។
ដំណើរការនេះគឺសមបំផុតសម្រាប់អ្នកផ្តល់សេវាពពកដែលមានហានិភ័យខ្ពស់ ឬមធ្យម។ (យើងនឹងចូលទៅក្នុងកម្រិតហានិភ័យនៅក្នុងផ្នែកបន្ទាប់។)
នេះគឺជាទិដ្ឋភាពទូទៅនៃដំណើរការ JAB៖
ប្រភព៖ FedRAMP
2. អាជ្ញាធរភ្នាក់ងារដើម្បីប្រតិបត្តិការ
នៅក្នុងដំណើរការនេះ អ្នកផ្តល់សេវាពពកបង្កើតទំនាក់ទំនងជាមួយទីភ្នាក់ងារសហព័ន្ធជាក់លាក់មួយ។ ទីភ្នាក់ងារនោះជាប់ពាក់ព័ន្ធពេញមួយដំណើរការ។ ប្រសិនបើដំណើរការបានជោគជ័យ ភ្នាក់ងារចេញលិខិតអនុញ្ញាតប្រតិបត្តិការ។
ប្រភព៖ FedRAMP
ជំហានទៅកាន់ការអនុញ្ញាត FedRAMP
មិនថាអ្នកបន្តការអនុញ្ញាតប្រភេទណាក៏ដោយ ការអនុញ្ញាត FedRAMP ពាក់ព័ន្ធនឹងជំហានសំខាន់ៗចំនួនបួន៖
- ការអភិវឌ្ឍន៍កញ្ចប់។ ដំបូង មានការប្រជុំចាប់ផ្តើមការអនុញ្ញាត។ បន្ទាប់មកអ្នកផ្តល់សេវាបញ្ចប់ផែនការសុវត្ថិភាពប្រព័ន្ធ។ បន្ទាប់មក ស្ថាប័នវាយតម្លៃភាគីទីបីដែលអនុម័តដោយ FedRAMP បង្កើតផែនការវាយតម្លៃសុវត្ថិភាព។
- ការវាយតម្លៃ។ អង្គការវាយតម្លៃដាក់របាយការណ៍វាយតម្លៃសុវត្ថិភាព។ អ្នកផ្តល់សេវាបង្កើតផែនការសកម្មភាព & ចំណុចសំខាន់។
- ការអនុញ្ញាត។ JAB ឬភ្នាក់ងារផ្តល់សិទ្ធិសម្រេចថាតើហានិភ័យដូចដែលបានពិពណ៌នាគឺអាចទទួលយកបានដែរឬទេ។ ប្រសិនបើបាទ/ចាស ពួកគេដាក់លិខិតអាជ្ញាធរប្រតិបត្តិទៅកាន់ការិយាល័យគ្រប់គ្រងគម្រោង FedRAMP។ បន្ទាប់មកអ្នកផ្តល់សេវាត្រូវបានរាយក្នុង FedRAMP Marketplace។
- ការត្រួតពិនិត្យ។ អ្នកផ្តល់សេវាផ្ញើការត្រួតពិនិត្យសុវត្ថិភាពប្រចាំខែដល់ភ្នាក់ងារនីមួយៗដោយប្រើប្រាស់សេវាកម្ម។
ការអនុញ្ញាតពី FedRAMP ល្អបំផុត ការអនុវត្ត
ដំណើរការនៃការសម្រេចបានការអនុញ្ញាតពី FedRAMP អាចមានភាពលំបាក។ ប៉ុន្តែវាជាផលប្រយោជន៍ដ៏ល្អបំផុតរបស់អ្នកគ្រប់គ្នាដែលពាក់ព័ន្ធសម្រាប់អ្នកផ្តល់សេវាពពកដើម្បីទទួលបានជោគជ័យនៅពេលដែលពួកគេចាប់ផ្តើមដំណើរការការអនុញ្ញាត។
ដើម្បីជួយ FedRAMP បានសម្ភាសអាជីវកម្មខ្នាតតូចមួយចំនួន និងការចាប់ផ្ដើមអាជីវកម្មអំពីមេរៀនដែលបានរៀនអំឡុងពេលផ្តល់សិទ្ធិ។ នេះគឺជាគន្លឹះល្អបំផុតទាំងប្រាំពីររបស់ពួកគេសម្រាប់ការរុករកដោយជោគជ័យនូវដំណើរការអនុញ្ញាត៖
- ស្វែងយល់ពីរបៀបរបស់អ្នកផែនទីផលិតផលទៅ FedRAMP – រួមទាំងការវិភាគគម្លាត។
- ទទួលបានការទិញចូល និងការប្តេជ្ញាចិត្តរបស់ស្ថាប័ន – រួមទាំងពីក្រុមប្រតិបត្តិ និងក្រុមបច្ចេកទេស។
- ស្វែងរកដៃគូភ្នាក់ងារ – មួយដែលកំពុងប្រើប្រាស់ផលិតផលរបស់អ្នក ឬប្តេជ្ញាធ្វើដូច្នេះ។
- ចំណាយពេលវេលាកំណត់ព្រំដែនរបស់អ្នកឱ្យបានត្រឹមត្រូវ។ នោះរួមបញ្ចូល៖
- សមាសភាគខាងក្នុង
- ការតភ្ជាប់ទៅសេវាកម្មខាងក្រៅ និង
- លំហូរព័ត៌មាន និងទិន្នន័យមេតា។
- សូមគិតអំពី FedRAMP ជាកម្មវិធីបន្ត ជាជាងគ្រាន់តែជាគម្រោងដែលមានកាលបរិច្ឆេទចាប់ផ្តើម និងបញ្ចប់។ សេវាកម្មត្រូវតែត្រូវបានត្រួតពិនិត្យជាបន្តបន្ទាប់។
- ពិចារណាដោយប្រុងប្រយ័ត្ននូវវិធីសាស្រ្តអនុញ្ញាតរបស់អ្នក។ ផលិតផលជាច្រើនអាចទាមទារការអនុញ្ញាតច្រើន។
- FedRAMP PMO គឺជាធនធានដ៏មានតម្លៃ។ ពួកគេអាចឆ្លើយសំណួរបច្ចេកទេស និងជួយអ្នករៀបចំផែនការយុទ្ធសាស្រ្តរបស់អ្នក។
FedRAMP ផ្តល់គំរូដើម្បីជួយអ្នកផ្តល់សេវាពពករៀបចំសម្រាប់ការអនុលោមតាម FedRAMP ។
តើប្រភេទអ្វីខ្លះ នៃការអនុលោមតាម FedRAMP?
FedRAMP ផ្តល់នូវកម្រិតផលប៉ះពាល់ចំនួនបួនសម្រាប់សេវាកម្មដែលមានហានិភ័យផ្សេងៗគ្នា។ ពួកវាផ្អែកលើផលប៉ះពាល់ដែលអាចកើតមាននៃការរំលោភលើសុវត្ថិភាពនៅក្នុងតំបន់បីផ្សេងគ្នា។
- ការសម្ងាត់៖ ការការពារឯកជនភាព និងព័ត៌មានកម្មសិទ្ធិ។
- ភាពសុចរិត៖ ការការពារប្រឆាំងនឹងការកែប្រែ ឬការបំផ្លិចបំផ្លាញព័ត៌មាន។
- ភាពអាចរកបាន៖ ការចូលប្រើប្រាស់ទិន្នន័យទាន់ពេលវេលា និងអាចទុកចិត្តបាន។
បីដំបូងកម្រិតផលប៉ះពាល់គឺផ្អែកលើស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ (FIPS) 199 ពីវិទ្យាស្ថានស្តង់ដារ និងបច្ចេកវិទ្យាជាតិ (NIST)។ ទីបួនគឺផ្អែកលើការបោះពុម្ពពិសេស NIST 800-37 ។ កម្រិតផលប៉ះពាល់គឺ៖
- ខ្ពស់ ដោយផ្អែកលើការគ្រប់គ្រងចំនួន 421។ "ការបាត់បង់ការសម្ងាត់ ភាពស្មោះត្រង់ ឬភាពអាចរកបានអាចត្រូវបានគេរំពឹងថានឹងមានផលប៉ះពាល់ធ្ងន់ធ្ងរ ឬមហន្តរាយដល់ស្ថាប័ន ប្រតិបត្តិការ ទ្រព្យសម្បត្តិរបស់អង្គការ ឬបុគ្គល។ ជាធម្មតាវាអនុវត្តចំពោះការអនុវត្តច្បាប់ សេវាសង្គ្រោះបន្ទាន់ ហិរញ្ញវត្ថុ និងប្រព័ន្ធសុខភាព។
- កម្រិតមធ្យម ដោយផ្អែកលើ 325 ការគ្រប់គ្រង។ “ការបាត់បង់ការសម្ងាត់ សុចរិតភាព ឬភាពអាចរកបានអាចត្រូវបានគេរំពឹងថានឹងមាន ផលប៉ះពាល់ធ្ងន់ធ្ងរទៅលើប្រតិបត្តិការរបស់អង្គការ ទ្រព្យសម្បត្តិរបស់អង្គការ ឬបុគ្គល។ ស្ទើរតែ 80 ភាគរយនៃកម្មវិធី FedRAMP ដែលបានអនុម័តគឺស្ថិតក្នុងកម្រិតផលប៉ះពាល់កម្រិតមធ្យម។
- ទាប ដោយផ្អែកលើ 125 ការគ្រប់គ្រង។ “ការបាត់បង់ការសម្ងាត់ ភាពស្មោះត្រង់ ឬភាពអាចរកបានអាចត្រូវបានគេរំពឹងថានឹងមានកម្រិត ផលប៉ះពាល់អវិជ្ជមានលើប្រតិបត្តិការរបស់អង្គការ ទ្រព្យសម្បត្តិរបស់អង្គការ ឬបុគ្គល។"
- Low-Impact Software-as-a-Service (LI-SaaS) ដោយផ្អែកលើ 36 ការគ្រប់គ្រង ។ សម្រាប់ "ប្រព័ន្ធដែលមានហានិភ័យទាបសម្រាប់ការប្រើប្រាស់ដូចជា ឧបករណ៍សហការ កម្មវិធីគ្រប់គ្រងគម្រោង និងឧបករណ៍ដែលជួយបង្កើតកូដប្រភពបើកចំហ។" ប្រភេទនេះត្រូវបានគេស្គាល់ផងដែរថាជា FedRAMP Tailored។
ប្រភេទចុងក្រោយនេះត្រូវបានបន្ថែមក្នុងឆ្នាំ 2017ដើម្បីធ្វើឱ្យវាកាន់តែងាយស្រួលសម្រាប់ទីភ្នាក់ងារក្នុងការអនុម័ត "ករណីប្រើប្រាស់ដែលមានហានិភ័យទាប"។ ដើម្បីមានលក្ខណៈគ្រប់គ្រាន់សម្រាប់ FedRAMP Tailored អ្នកផ្តល់សេវាត្រូវតែឆ្លើយបាទ/ចាសចំពោះសំណួរចំនួនប្រាំមួយ។ ទាំងនេះត្រូវបានបង្ហោះនៅលើទំព័រគោលការណ៍របស់ FedRAMP Tailored៖
- តើសេវាកម្មដំណើរការក្នុងបរិយាកាសពពកទេ?
- តើសេវាកម្មពពកដំណើរការពេញលេញឬ? ផ្តល់សេវាកម្ម Software as a Service (SaaS) ដូចដែលបានកំណត់ដោយ NIST SP 800-145 និយមន័យ NIST នៃ Cloud Computing?
- សេវាកម្ម Cloud មិនមានព័ត៌មានដែលអាចកំណត់អត្តសញ្ញាណផ្ទាល់ខ្លួន (PII) លើកលែងតែតម្រូវការដើម្បីផ្តល់ សមត្ថភាពក្នុងការចូល (ឈ្មោះអ្នកប្រើប្រាស់ ពាក្យសម្ងាត់ និងអាសយដ្ឋានអ៊ីមែល)?
- តើសេវាកម្មពពកមានផលប៉ះពាល់សុវត្ថិភាពទាប ដូចដែលបានកំណត់ដោយ FIPS PUB 199 ស្តង់ដារសម្រាប់ការបែងចែកប្រភេទសុវត្ថិភាពនៃប្រព័ន្ធព័ត៌មាន និងព័ត៌មានសហព័ន្ធដែរឬទេ?
- តើសេវាកម្មពពកត្រូវបានបង្ហោះនៅក្នុងវេទិកាដែលមានការអនុញ្ញាតពី FedRAMP ជាសេវាកម្ម (PaaS) ឬហេដ្ឋារចនាសម្ព័ន្ធជាសេវាកម្ម (IaaS) ឬតើ CSP ផ្តល់ហេដ្ឋារចនាសម្ព័ន្ធពពកក្រោម?
សូមចងចាំ ថាការសម្រេចបាននូវការអនុលោមតាម FedRAMP មិនមែនជាកិច្ចការតែមួយទេ។ ចងចាំដំណាក់កាលត្រួតពិនិត្យនៃការអនុញ្ញាត FedRAMP? នោះមានន័យថាអ្នកនឹងត្រូវដាក់ស្នើសវនកម្មសុវត្ថិភាពជាប្រចាំ ដើម្បីធានាថាអ្នក ស្នាក់នៅ អនុលោមតាម FedRAMP។
ប្រាក់រង្វាន់៖ សូមអានការណែនាំអំពីយុទ្ធសាស្ត្រប្រព័ន្ធផ្សព្វផ្សាយសង្គមមួយជំហានម្តងមួយៗ ជាមួយនឹងគន្លឹះល្អៗអំពីរបៀបបង្កើនវត្តមានប្រព័ន្ធផ្សព្វផ្សាយសង្គមរបស់អ្នក។
ទទួលបានការណែនាំដោយឥតគិតថ្លៃឥឡូវនេះ!ឧទាហរណ៍នៃ FedRAMP ដែលត្រូវបានបញ្ជាក់ផលិតផល
មានផលិតផល និងសេវាកម្មដែលមានការអនុញ្ញាតពី FedRAMP ជាច្រើនប្រភេទ។ នេះគឺជាឧទាហរណ៍មួយចំនួនពីអ្នកផ្តល់សេវាពពកដែលអ្នកស្គាល់ ហើយប្រហែលជាប្រើខ្លួនឯងរួចហើយ។
សេវាកម្មគេហទំព័រ Amazon
មានបញ្ជី AWS ពីរនៅក្នុងទីផ្សារ FedRAMP ។ AWS GovCloud ត្រូវបានអនុញ្ញាតនៅកម្រិតខ្ពស់។ AWS US East/West ត្រូវបានអនុញ្ញាតនៅកម្រិតមធ្យម។
តើអ្នកបានលឺទេ? អតិថិជន AWS GovCloud (សហរដ្ឋអាមេរិក) អាចប្រើប្រាស់ #AmazonEFS សម្រាប់បន្ទុកការងារឯកសារសំខាន់ៗដោយសារបេសកកម្មដែលទើបសម្រេចបានការអនុញ្ញាតខ្ពស់ពី FedRAMP ។ #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O
— AWS for Government (@AWS_Gov) ថ្ងៃទី 18 ខែតុលា ឆ្នាំ 2019
AWS GovCloud មានការអនុញ្ញាតដ៏អស្ចារ្យចំនួន 292 ។ AWS US East/West មាន 250 ការអនុញ្ញាត។ នោះគឺច្រើនជាងការចុះបញ្ជីផ្សេងទៀតនៅក្នុងទីផ្សារ FedRAMP។
Adobe Analytics
Adobe Analytics ត្រូវបានអនុញ្ញាតក្នុងឆ្នាំ 2019។ វាត្រូវបានប្រើដោយមជ្ឈមណ្ឌលគ្រប់គ្រង និងការពារជំងឺ និងនាយកដ្ឋានសុខាភិបាល និង សេវាមនុស្ស។ វាត្រូវបានអនុញ្ញាតនៅកម្រិត LI-SaaS ។
Adobe ពិតជាមានផលិតផលជាច្រើនដែលត្រូវបានអនុញ្ញាតនៅកម្រិត LI-SaaS ។ (ដូចជា Adobe Campaign និង Adobe Document Cloud។) ពួកគេក៏មានផលិតផលមួយចំនួនដែលត្រូវបានអនុញ្ញាតក្នុងកម្រិតមធ្យមផងដែរ៖
- Adobe Connect Managed Services
- Adobe Experience Manager Managed Services។
Adobe បច្ចុប្បន្នកំពុងស្ថិតក្នុងដំណើរការផ្លាស់ប្តូរពីការអនុញ្ញាតតាម FedRAMP ទៅជា FedRAMP Moderate