FedRAMP

Ikhtisar

FedRAMPLogoSmall

Pemerintah Federal AS dikhususkan untuk memberikan layanannya ke rakyat Amerika dengan cara yang paling inovatif, aman, dan hemat biaya. Komputasi cloud berperan penting tentang cara pemerintah federal dapat mencapai efisiensi operasional dan berinovasi sesuai permintaan untuk meningkatkan misi mereka di seluruh negara. Ini merupakan alasan banyaknya lembaga federal yang saat ini menggunakan layanan cloud AWS untuk memroses, menyimpan, dan mentransmisikan data pemerintah federal.

  • Apa yang dimaksud dengan FedRAMP?

    Federal Risk and Authorization Management Program (FedRAMP) adalah program tingkat pemerintah AS yang memberikan pendekatan standar terhadap penilaian keamanan, otorisasi, dan pemantauan terus-menerus untuk produk dan layanan cloud. Badan pemerintah FedRAMP mencakup Dewan Office of Management and Budget (OMB), General Services Administration (GSA) AS, Department of Homeland Security (DHS) AS, Department of Defense (DoD) AS, National Institutes of Standards & Technology (NIST), dan Federal Chief Information Officers (CIO).

    Penyedia layanan cloud yang ingin menawarkan produk dan layanan mereka ke pemerintah AS harus menunjukkan kepatuhan terhadap FedRAMP. FedRAMP menggunakan seri Special Publication 800 NIST dan mengharuskan penyedia layanan cloud untuk menerima penilaian keamanan independen yang dilakukan oleh organisasi penilaian pihak ketiga (3PAO) guna memastikan bahwa otorisasi tersebut mematuhi Federal Information Security Management Act (FISMA). Untuk informasi lebih lanjut, lihat situs web FedRAMP.

  • Mengapa FedRAMP penting?

    Dalam menanggapi Cloud First Policy, Office of Management and Budget (OMB) menerbitkan FedRAMP Policy Memo untuk membentuk program otorisasi keamanan tingkat pemerintahan pertama untuk FISMA. FedRAMP wajib untuk semua lembaga federal AS dan semua layanan cloud. FedRAMP penting karena meningkatkan:

    • Konsistensi dan kepercayaan terhadap keamanan solusi cloud menggunakan standar yang ditetapkan NIST dan FISMA
    • Transparansi antara pemerintah AS dan penyedia cloud
    • Otomatisasi dan pemantauan terus-menerus secara waktu nyata
    • Adopsi solusi cloud yang aman melalui penggunaan ulang dari penilaian dan otorisasi
  • Apa saja persyaratan untuk kepatuhan FedRAMP?

    Cloud First Policy mengharuskan semua lembaga federal menggunakan proses FedRAMP dalam melakukan penilaian keamanan, otorisasi, dan pemantauan terus-menerus pada layanan cloud. FedRAMP Program Management Office (PMO) telah menguraikan persyaratan berikut untuk kepatuhan FedRAMP:

    1. Cloud service provider (CSP) diberikan izin Agency Authority to Operate (ATO) oleh lembaga federal AS atau Provisional Authority to Operate (P-ATO) oleh Joint Authorization Board (JAB).
    2. CSP mematuhi persyaratan kontrol keamanan FedRAMP sebagaimana dideskripsikan dalam dasar kontrol keamanan NIST 800-53, Rev. 4 untuk tingkat dampak sedang atau tinggi.
    3. Semua paket keamanan sistem harus menggunakan template FedRAMP yang diperlukan.
    4. CSP harus dinilai oleh organisasi penilaian pihak ketiga (3PAO).
    5. Paket penilaian keamanan lengkap harus diposting di repositori aman FedRAMP.
  • Apa saja jenis kepatuhan FedRAMP?

    Ada dua jalur bagi CSP agar sesuai dengan FedRAMP:

    1. JAB Authorization

    Untuk mendapatkan Joint Authorization Board (JAB) Provisional Authority to Operate (P-ATO) FedRAMP, CSP ditinjau oleh Program Management Office (PMO) FedRAMP, dinilai 3PAO yang diakreditasi FedRAMP, dan mendapatkan P-ATO dari JAB. JAB terdiri atas Chief Information Officers (CIOs) dari Department of Defense (DoD), Department of Homeland Security (DHS), dan General Services Administration (GSA).

    2. Otorisasi Lembaga

    Untuk mendapatkan Agency Authority to Operate (ATO) FedRAMP, CSP ditinjau oleh Agency CIO pelanggan atau Pejabat Resmi yang Didelegasikan untuk memperoleh ATO yang sesuai dengan FedRAMP yang diverifikasi oleh Program Management Office (PMO) FedRAMP.

  • Apakah Amazon Web Services mematuhi FedRAMP?

    Ya, AWS menawarkan sistem kepatuhan FedRAMP berikut yang telah diberi otorisasi, telah menangani kontrol keamanan FedRAMP (berdasarkan NIST SP 800-53), menggunakan template FedRAMP yang diperlukan untuk paket keamanan yang diposting di Repositori FedRAMP aman, telah dinilai oleh penilai pihak ketiga (3PAO) independen yang terakreditasi, dan mempertahankan persyaratan pemantauan terus-menerus FedRAMP:

    AWS GovCloud (AS) telah diberi Joint Authorization Board Provisional Authority-To- Operate (JAB P-ATO) dan beberapa Agency Authorizations (A-ATO) untuk tingkat dampak tinggi. Layanan dalam lingkup batas AWS GovCloud (US) JAB P-ATO pada kategorisasi keamanan dasar tinggi dapat ditemukan dalam Layanan dalam Lingkup AWS menurut Program Kepatuhan.

    AWS Timur-Barat AS, telah diberi Joint Authorization Board Provisional Authority-To- Operate (JAB P-ATO) dan beberapa Agency Authorizations (A-ATO) untuk tingkat dampak sedang. Layanan dalam lingkup batas AWS Timur-Barat AS JAB P-ATO pada kategorisasi keamanan dasar Sedang dapat ditemukan dalam Layanan dalam Lingkup AWS menurut Program Kepatuhan.

  • Apakah kepatuhan dengan FedRAMP akan meningkatkan biaya AWS saya?

    Tidak, tidak ada peningkatan biaya layanan untuk wilayah mana pun sebagai hasil dari kepatuhan FedRAMP AWS.

  • Mana saja Wilayah AWS yang tercakup?

    Dua Agency ATO FedRAMP terpisah telah diterbitkan; yang satu mencakup Wilayah AWS GovCloud (AS) dan yang lainnya mencakup Wilayah AWS Timur/Barat AS.

  • Apakah sekarang entitas Pemerintah AS menggunakan AWS?

    Ya, lebih dari 2000 lembaga pemerintah dan entitas lain yang memberikan integrasi sistem serta produk dan layanan lain kepada lembaga pemerintah menggunakan berbagai macam layanan AWS saat ini. Anda dapat meninjau studi kasus tentang entitas pemerintah AS yang menggunakan AWS, termasuk Departemen Luar Negeri AS, Food and Drug Administration (FDA) AS, Centers for Disease Control and Prevention (CDC) AS, Desert Research and Training Studies NASA/JPL, NASA JPL dan Amazon SWF, dan Mars Curiosity Mission NASA/JPL. Untuk seluruh studi kasus yang tersedia, lihat halaman web Keberhasilan Pelanggan AWS. Untuk informasi lebih lanjut tentang cara AWS memenuhi persyaratan keamanan tinggi pemerintah, lihat halaman web AWS untuk Pemerintah.

  • Apa saja Layanan yang Tercakup?

    Layanan AWS tercakup yang sudah berada dalam lingkup FedRAMP dan batas DoD SRG dapat ditemukan dalam Layanan dalam Lingkup AWS menurut Program Kepatuhan. Jika Anda ingin mempelajari lebih lanjut tentang penggunaan layanan ini dan/atau tertarik dengan layanan lain, hubungi Pengembangan Bisnis dan Penjualan AWS.

  • Dapatkah Layanan AWS Lainnya Digunakan?

    Ya, pelanggan dapat mengevaluasi beban kerja mereka untuk disesuaikan dengan layanan AWS lain. Hubungi Pengembangan Penjualan dan Bisnis AWS untuk diskusi mendetail tentang kontrol keamanan dan pertimbangan penerimaan risiko.

  • Dapatkan Sistem Tingkat Dampak Tinggi Ditempatkan di AWS?

    Ya, pelanggan dapat mengevaluasi beban kerja berdampak tinggi mereka untuk disesuaikan dengan AWS. Saat ini, FedRAMP hanya menerapkan sistem komputasi cloud pada tingkat dampak rendah dan sedang FISMA, namun, AWS telah memenuhi sebagian besar kontrol Tinggi NIST 800-53 dan kami telah mengembangkan buku kerja AWS FISMA-High bagi pelanggan kami yang ingin memperluas dasar NIST Moderate untuk membangun aplikasi dan layanan FISMA-High guna mendukung beban kerja kritis mereka. Hubungi Penjualan dan Pengembangan Bisnis AWS untuk diskusi mendetail tentang kontrol keamanan dan pertimbangan penerimaan risiko.

  • Di mana saya dapat mengakses AWS FedRAMP Security Package?

    Pelanggan AWS dapat meminta akses ke FedRAMP Security Package AWS melalui FedRAMP PMO dan Manajer Akun Penjualan AWS mereka.

    Pelanggan lembaga Pemerintah AS dapat meminta akses ke AWS FedRAMP Security Package dari FedRAMP PMO dengan mengisi Formulir Permintaan Akses Paket dan mengirimkannya ke info@fedramp.gov atau menghubungi Manajer Akun Penjualan AWS.

    Mitra dan pelanggan prospektif AWS juga dapat meminta akses ke AWS Partner FedRAMP Security Package menggunakan AWS Artifact.

  • Bagaimana lembaga memanfaatkan otorisasi FedRAMP AWS?

    Agency Authorizing Official (AO) dapat memanfaatkan AWS FedRAMP Security Package untuk meninjau dokumentasi pendukung dan membuat keputusan berbasis risikonya guna memberikan izin Agency Authority to Operate (ATO) ke AWS. Lembaga bertanggung jawab untuk menerbitkan ATO mereka di AWS dan juga bertanggung jawab untuk keseluruhan otorisasi komponen sistem mereka yang tidak tercakup dalam AWS ATO. Jika Anda memiliki pertanyaan atau memerlukan informasi lebih lanjut, hubungi Manajer Akun Penjualan AWS Anda.

  • Bagaimana pemantauan terus-menerus ditangani otorisasi FedRAMP?

    Dalam FedRAMP Concept of Operations (CONOPS), setelah otorisasi diberikan, postur keamanan CSP dipantau sesuai dengan proses penilaian dan otorisasi. Guna mendapatkan otorisasi ulang dari otorisasi FedRAMP dari tahun ke tahun, CSP harus memantau kontrol keamanan mereka, menilai kontrol keamanan secara berkala, dan menunjukkan bahwa postur keamanan penawaran layanan mereka terus dapat diterima. Lembaga federal yang memanfaatkan program pemantauan terus-menerus FedRAMP, dan Authorizing Officials (AO) dan tim yang ditunjuk, bertanggung jawab untuk meninjau kepatuhan AWS yang berkelanjutan. Secara berkelanjutan, AO dan tim yang ditunjuk meninjau artefak yang diberikan melalui proses pemantauan terus-menerus AWS FedRAMP, sebagai bukti penerapan kontrol khusus lembaga yang diperlukan atas kontrol FedRAMP. Untuk informasi tambahan, lihat program atau kebijakan keamanan sistem informasi lembaga Anda.

  • Sebagai lembaga federal AS, apakah saya memerlukan Interconnection Security Agreement (ISA) dengan AWS?

    Tidak. FedRAMP PMO menyatakan bahwa ISA tidak diperlukan untuk penggunaan antara CSP dan lembaga federal.

  • Bagaimana jika saya perlu mendiskusikan beban kerja atau arsitektur AWS khusus FedRAMP di organisasi saya dengan AWS?

    AWS FedRAMP Security Package tersedia untuk pelanggan dengan menggunakan AWS Artifact, portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact dalam AWS Management Console, atau pelajari lebih lanjut di Memulai AWS Artifact.

    Jika Anda memiliki pertanyaan tindak lanjut khusus terkait kepatuhan FedRAMP atau DoD, kirim email ke awscompliance@amazon.com.

compliance-contactus-icon
Ada Pertanyaan? Terhubung dengan Perwakilan Bisnis AWS
Menjelajahi peran kepatuhan?
Daftar sekarang »
Ingin mendapatkan info terbaru tentang Kepatuhan AWS?
Ikuti Kami di Twitter »