FedRAMP

Gambaran Umum

FedRAMPLogoSmall

Pemerintah Federal AS berdedikasi untuk memberikan layanannya ke rakyat Amerika dengan cara yang paling inovatif, aman, dan hemat biaya. Komputasi cloud berperan penting tentang cara pemerintah federal dapat mencapai efisiensi operasional dan berinovasi sesuai permintaan untuk meningkatkan misi mereka di seluruh negara. Ini merupakan alasan banyaknya lembaga federal yang saat ini menggunakan layanan cloud AWS untuk memproses, menyimpan, dan mentransmisikan data pemerintah federal.

  • Apa yang dimaksud dengan FedRAMP?

    Federal Risk and Authorization Management Program (FedRAMP) adalah program tingkat pemerintah AS yang memberikan pendekatan standar terhadap penilaian keamanan, otorisasi, dan pemantauan terus-menerus untuk produk dan layanan cloud. Badan pemerintah FedRAMP mencakup Office of Management and Budget (OMB), General Services Administration (GSA) AS, Department of Homeland Security (DHS) AS, Department of Defense (DoD) AS, National Institutes of Standards & Technology (NIST), dan Dewan Federal Chief Information Officers (CIO).

    Penyedia layanan cloud yang ingin menawarkan produk dan layanan mereka ke pemerintah AS harus menunjukkan kepatuhan terhadap FedRAMP. FedRAMP menggunakan seri NIST Special Publication 800 dan mengharuskan penyedia layanan cloud untuk menerima penilaian keamanan independen yang dilakukan oleh third-party assessment organization (3PAO) guna memastikan bahwa otorisasi tersebut mematuhi Federal Information Security Management Act (FISMA). Untuk informasi lebih lanjut, lihat situs web FedRAMP.

  • Mengapa FedRAMP penting?

    Dalam menanggapi Cloud First Policy, Office of Management and Budget (OMB) menerbitkan FedRAMP Policy Memo untuk membuat program otorisasi keamanan tingkat pemerintahan pertama untuk FISMA. FedRAMP wajib untuk semua lembaga federal AS dan semua layanan cloud. FedRAMP penting karena meningkatkan:

    • Konsistensi dan kepercayaan terhadap keamanan solusi cloud menggunakan standar yang ditetapkan NIST dan FISMA
    • Transparansi antara pemerintah AS dan penyedia cloud
    • Otomatisasi dan pemantauan terus-menerus secara real time
    • Adopsi solusi cloud yang aman melalui penggunaan ulang penilaian dan otorisasi
  • Apa saja persyaratan untuk kepatuhan FedRAMP?

    Cloud First Policy mengharuskan semua lembaga federal menggunakan proses FedRAMP dalam melakukan penilaian keamanan, otorisasi, dan pemantauan terus-menerus pada layanan cloud. FedRAMP Program Management Office (PMO) telah menguraikan persyaratan berikut untuk kepatuhan FedRAMP:

    1. Cloud service provider (CSP) diberikan izin Agency Authority to Operate (ATO) oleh lembaga federal AS atau Provisional Authority to Operate (P-ATO) oleh Joint Authorization Board (JAB).
    2. CSP memenuhi persyaratan kontrol keamanan FedRAMP sebagaimana dideskripsikan dalam baseline kontrol keamanan NIST 800-53, Rev. 4 untuk tingkat dampak sedang atau tinggi.
    3. Semua paket keamanan sistem harus menggunakan template FedRAMP yang diperlukan.
    4. CSP harus dinilai oleh third-party assessment organization (3PAO).
    5. Paket penilaian keamanan lengkap harus diposting di repositori aman FedRAMP.
  • Apa saja jenis kepatuhan FedRAMP?

    Ada dua jalur bagi CSP agar sesuai dengan FedRAMP:

    1. JAB Authorization

    Untuk mendapatkan Joint Authorization Board (JAB) Provisional Authority to Operate (P-ATO) FedRAMP, CSP ditinjau oleh Program Management Office (PMO) FedRAMP, dinilai 3PAO yang diakreditasi FedRAMP, dan mendapatkan P-ATO dari JAB. JAB terdiri atas Chief Information Officers (CIOs) dari Department of Defense (DoD), Department of Homeland Security (DHS), dan General Services Administration (GSA).

    2. Otorisasi Lembaga

    Untuk mendapatkan Agency Authority to Operate (ATO) FedRAMP, CSP ditinjau oleh Agency CIO pelanggan atau Pejabat Resmi yang Didelegasikan untuk memperoleh ATO yang sesuai dengan FedRAMP yang diverifikasi oleh Program Management Office (PMO) FedRAMP.

  • Apakah Amazon Web Services mematuhi FedRAMP?

    Ya, AWS menawarkan sistem kepatuhan FedRAMP berikut yang telah diberi otorisasi, telah menangani kontrol keamanan FedRAMP (berdasarkan NIST SP 800-53), menggunakan template FedRAMP yang diperlukan untuk paket keamanan yang diposting di Repositori FedRAMP aman, telah dinilai oleh third party assessor (3PAO) independen yang terakreditasi dan mempertahankan persyaratan pemantauan terus-menerus FedRAMP:

    AWS GovCloud (US), telah diberi Joint Authorization Board Provisional Authority-To- Operate (JAB P-ATO) dan sejumlah Agency Authorizations (A-ATO) untuk tingkat dampak tinggi. Layanan dalam lingkup batas AWS GovCloud (US) JAB P-ATO pada kategorisasi keamanan baseline tinggi dapat ditemukan dalam AWS Services in Scope by Compliance Program.

    AWS Timur-Barat AS, telah diberi Joint Authorization Board Provisional Authority-To- Operate (JAB P-ATO) dan beberapa Agency Authorizations (A-ATO) untuk tingkat dampak sedang. Layanan dalam lingkup batas AWS Timur-Barat AS JAB P-ATO pada kategorisasi keamanan baseline Sedang dapat ditemukan dalam Layanan AWS dalam Lingkup menurut Program Kepatuhan.

  • Apakah kepatuhan dengan FedRAMP akan meningkatkan biaya AWS saya?

    Tidak, tidak ada peningkatan biaya layanan untuk wilayah mana pun sebagai hasil dari kepatuhan FedRAMP AWS.

  • Mana saja Wilayah AWS yang tercakup?

    Dua FedRAMP Agency ATO terpisah telah diterbitkan; yang satu mencakup AWS GovCloud (US), dan yang lainnya mencakup wilayah AWS Timur/Barat AS.

  • Apakah sekarang entitas Pemerintah AS menggunakan AWS?

    Ya, lebih dari 2000 lembaga pemerintah dan entitas lain yang memberikan integrasi sistem serta produk dan layanan lain kepada lembaga pemerintah menggunakan berbagai macam layanan AWS saat ini. Anda dapat meninjau studi kasus tentang entitas pemerintah AS yang menggunakan AWS, termasuk US Department of State, US Food and Drug Administration (FDA), US Centers for Disease Control and Prevention (CDC), NASA/JPL's Desert Research and Training Studies, NASA JPL and Amazon SWF, dan NASA/JPL's Mars Curiosity Mission Untuk seluruh studi kasus yang tersedia, lihat laman web Kesuksesan Pelanggan AWS . Untuk informasi lebih lanjut tentang cara AWS memenuhi persyaratan keamanan tinggi pemerintah, lihat laman web AWS for Government.

  • Apa saja Layanan yang Tercakup?

    Layanan AWS tercakup yang sudah berada dalam lingkup batas FedRAMP dan DoD SRG dapat ditemukan dalam AWS Services in Scope by Compliance Program. Jika Anda ingin mempelajari lebih lanjut tentang penggunaan layanan ini dan/atau tertarik dengan layanan lain, hubungi AWS Sales and Business Development.

  • Dapatkah Layanan AWS Lainnya Digunakan?

    Ya, pelanggan dapat mengevaluasi beban kerja mereka untuk disesuaikan dengan layanan AWS lain. Hubungi AWS Sales and Business Development untuk diskusi mendetail tentang kontrol keamanan dan pertimbangan penerimaan risiko.

  • Dapatkah Sistem Tingkat Dampak Tinggi Ditempatkan di AWS?

    Ya, pelanggan dapat mengevaluasi beban kerja berdampak tinggi mereka untuk disesuaikan dengan AWS. Saat ini, FedRAMP hanya menerapkan sistem komputasi cloud pada tingkat dampak rendah dan sedang FISMA, namun, AWS telah memenuhi sebagian besar kontrol Tinggi NIST 800-53 dan kami telah mengembangkan buku kerja AWS FISMA-High bagi pelanggan kami yang ingin memperluas baseline NIST Moderate untuk membangun aplikasi dan layanan FISMA-High guna mendukung beban kerja kritis mereka. Hubungi AWS Sales and Business Development untuk diskusi mendetail tentang kontrol keamanan dan pertimbangan penerimaan risiko.

  • Di mana saya dapat mengakses AWS FedRAMP Security Package?

    Pelanggan AWS dapat meminta akses ke FedRAMP Security Package AWS melalui FedRAMP PMO atau Sales Account Manager AWS mereka.

    Pelanggan lembaga Pemerintah AS dapat meminta akses ke FedRAMP Security Package AWS dari FedRAMP PMO dengan mengisi Package Access Request Form dan mengirimkannya ke info@fedramp.gov atau menghubungi Sales Account Manager AWS.

    Pelanggan non-pemerintah, seperti mitra AWS, dapat mengunduh AWS Partner FedRAMP Security Package menggunakan AWS Artifact.

  • Bagaimana lembaga memanfaatkan otorisasi FedRAMP AWS?

    Authorizing Official (AO) lembaga dapat memanfaatkan FedRAMP Security Package AWS untuk meninjau dokumentasi pendukung dan membuat keputusan berbasis risikonya guna memberikan izin Agency Authority to Operate (ATO) ke AWS. Lembaga bertanggung jawab untuk menerbitkan ATO mereka di AWS dan juga bertanggung jawab untuk keseluruhan otorisasi komponen sistem mereka yang tidak tercakup dalam ATO AWS. Jika Anda memiliki pertanyaan atau memerlukan informasi lebih lanjut, hubungi Sales Account Manager AWS Anda.

  • Bagaimana pemantauan terus-menerus ditangani otorisasi FedRAMP?

    Dalam FedRAMP Concept of Operations (CONOPS), setelah otorisasi diberikan, postur keamanan CSP dipantau sesuai dengan proses penilaian dan otorisasi. Guna mendapatkan otorisasi ulang dari otorisasi FedRAMP dari tahun ke tahun, CSP harus memantau kontrol keamanan mereka, menilai kontrol keamanan secara berkala, dan menunjukkan bahwa postur keamanan penawaran layanan mereka dapat terus diterima. Lembaga federal yang memanfaatkan program pemantauan terus-menerus FedRAMP, serta Authorizing Officials (AO) dan tim yang ditunjuk, bertanggung jawab untuk meninjau kepatuhan AWS yang berkelanjutan. Secara berkelanjutan, AO dan tim yang ditunjuk meninjau artefak yang diberikan melalui proses pemantauan terus-menerus FedRAMP AWS, sebagai bukti penerapan kontrol khusus lembaga yang diperlukan atas kontrol FedRAMP. Untuk informasi tambahan, lihat program atau kebijakan keamanan sistem informasi lembaga Anda.

  • Sebagai lembaga federal AS, apakah saya memerlukan Interconnection Security Agreement (ISA) dengan AWS?

    Tidak. FedRAMP PMO menyatakan bahwa ISA tidak diperlukan untuk penggunaan antara CSP dan lembaga federal.

  • Bagaimana jika saya perlu mendiskusikan beban kerja atau arsitektur AWS khusus FedRAMP di organisasi saya dengan AWS?

    FedRAMP Security Package AWS tersedia untuk pelanggan dengan menggunakan Artefak AWS, portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact in the AWS Management Console, atau pelajari lebih lanjut di Getting Started with AWS Artifact.

    JIka Anda memiliki pertanyaan lanjutan spesifik mengenai kepatuhan FedRAMP atau DoD, silakan hubungi Account Manager AWS atau kirim AWS Compliance Contact Us Form untuk terhubung dengan tim akun Anda.

compliance-contactus-icon
Ada Pertanyaan? Terhubung dengan Perwakilan Bisnis AWS
Menjelajahi peran kepatuhan?
Daftar sekarang »
Ingin mendapatkan info terbaru tentang Kepatuhan AWS?
Ikuti Kami di Twitter »