FISMA 和 FedRAMP 之間有何差異？

透過 雲端優先政策，美國政府已承諾賦予各機構更廣泛的權力，以採用商業可用的雲端服務。採用此技術的最大動力在於提高機構 IT 基礎架構投資的投資報酬率 (ROI)、加強政府 IT 安全性，以及為美國人民提供更高品質的服務。

根據 Gartner 的資料，在 2018 年年中，將近 半 的政府組織已經在積極使用雲端服務。 採用率正處於上升趨勢，混合雲端和多雲端產品的地位日益顯著。如果您打算向政府交付雲端服務，那麼從根本瞭解政府制定的聯邦 IT 合規性標準就比以往任何時候都重要。在談論聯邦 IT 基礎架構時，有兩項重要的 IT 安全相關合規性規定經常被討論，那就是 FISMA 和 FedRAMP。

FISMA 和 FedRAMP 具有相同的高層次目標，即保護政府資料和降低聯邦資訊系統內的資訊安全風險。兩者也都建立在 NIST Special Publication 800-53A 控制的基礎上。然而，在聯邦政策、安全控制和授權方面，兩者有明顯的對比。

什麼是 FISMA？

FISMA - 聯邦資訊安全管理法案，於 2002 年制定，涵蓋政府資料儲存與處理的合規性參數。它需求聯邦機構及其私營部門供應商實作資訊安全控制，以確保聯邦資訊系統的資料安全勢態受到保護。所有向聯邦政府銷售服務的私營企業都必須遵守 FISMA 的需求。

FISMA 合規性的主要框架是 NISTSP 800-53。簡單來說，供應商要符合 FISMA 規範，就必須實作 NIST SP 800-53 所建議的聯邦資訊系統資訊安全控制。FISMA 評估傳統上著重於支援單一機構的資訊系統。

符合 FISMA 規範的廠商只會從與其有業務往來的特定聯邦機構取得營運授權 (或 ATO)。若供應商與多個聯邦機構簽訂業務合約，則必須取得各機構的 ATO，因為安全控制可能會因應各機構的特定資料安全需求而有所不同。

讓我們談談 FedRAMP

透過制定 FedRAMP，政府旨在讓各機構更容易採購雲端服務供應商。在最基本的層級上，FedRAMP 針對的是雲端服務供應商。根據 FedRAMP 評估供政府機構使用的系統是私人企業使用的商業雲端系統 (例如 IaaS、PaaS、SaaS)。

根據 FISMA 或 FedRAMP 評估的資訊系統，會依據 FIPS 199 的幾項不同標準，分為高、中、低三級。然後，依據安全分類，將 NIST SP 800-53 中適用的安全控制，依高影響、中度影響或低影響應用於資訊系統。FedRAMP 的需求包括 NIST SP 800-53 Revision 4 中標準 NIST 基線控制之上的額外控制。這些額外的控制措施針對雲端運算的獨特元素，以確保所有聯邦資料在雲端環境中的安全。

與 FISMA 不同，FedRAMP ATO 讓雲端服務供應商有資格與任何聯邦機構開展業務。

由於範圍更廣，FedRAMP 認證程序也嚴格得多。授權計畫要求雲端供應商接受由第三方評估組織 ( 3PAO) 進行的獨立安全評估，才能向聯邦機構銷售政府雲端服務。

總結

聯邦機構在尋找符合 FedRAMP 的產品或服務時，很可能也希望該產品或服務符合 FISMA。雲端服務供應商應同時遵守 FISMA 和 FedRAMP 法規，以維持美國政府的 ATO。 

全球的國家和聯邦政府部門都仰賴 Palo Alto Networks 防止成功的網路攻擊、保護機密和敏感資料，並最佳化安全性作業。 

瞭解更多