FedRAMP

คำถามที่พบบ่อย

• FedRAMP คืออะไร

  Federal Risk and Authorization Management Program (FedRAMP) คือโปรแกรมการควบคุมงานของรัฐบาลสหรัฐฯ เพื่อการกำกับดูแลการประเมินความปลอดภัย การให้สิทธิ์อนุญาต และการเฝ้าตรวจสอบผลิตภัณฑ์และบริการระบบคลาวด์อย่างเป็นมาตรฐาน หน่วยงานรัฐบาลที่รับผิดชอบโครงการ FedRAMP ประกอบไปด้วยสำนักบริหารจัดการและงบประมาณ (OMB), องค์กรกำกับการบริหารงานภาครัฐแห่งประเทศสหรัฐอเมริกา (GSA), กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกา (DHS), กระทรวงกลาโหมสหรัฐ (DoD), สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) และคณะกรรมการผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (CIO)

  ผู้ให้บริการระบบคลาวด์ (CSP) ที่ต้องการนำเสนอข้อเสนอบริการระบบคลาวด์ (CSO) ของตนให้แก่รัฐบาลสหรัฐฯ จะต้องปฏิบัติงานอย่างสอดคล้องกับข้อกำหนดของ FedRAMP FedRAMP ใช้มาตรฐาน NIST Special Publication 800 และกำหนดให้ผู้ให้บริการระบบคลาวด์ต้องดำเนินการประเมินความปลอดภัยจากองค์กรประเมินความปลอดภัยภายนอก (3PAO) เป็นที่เรียบร้อยเพื่อให้แน่ใจว่าการให้สิทธิ์นั้นเป็นไปอย่างสอดคล้องกับบทบัญญัติรัฐบัญญัติการจัดการความปลอดภัยของข้อมูลกลาง (FISMA) สำหรับข้อมูลเพิ่มเติม โปรดดูที่เว็บไซต์ FedRAMP

• เหตุใด FedRAMP จึงมีความสำคัญ

  เพื่อตอบรับกับนโยบาย Cloud First (ปัจจุบันคือกลยุทธ์ระบบคลาวด์อัจฉริยะ) หน่วยงาน Office of Management and Budget (OMB) ได้ออกประกาศนโยบาย FedRAMP (ปัจจุบันคือ กลยุทธ์การประมวลผลระบบคลาวด์ส่วนกลาง) เพื่อสร้างโปรแกรมสิทธิ์อนุญาตความปลอดภัยแรกของทั้งรัฐบาลสำหรับ Federal Information Security Modernization Act (FISMA) FedRAMP เป็นข้อบังคับของหน่วยงานของรัฐบาลกลางสหรัฐฯ และบริการระบบคลาวด์ทั้งหมด FedRAMP มีความสำคัญเนื่องจากเป็นโปรแกรมที่ช่วยเพิ่ม:

  • ความสม่ำเสมอและความเสถียรภาพในด้านความปลอดภัยของโซลูชันระบบคลาวด์ด้วยการใช้มาตรฐานที่กำหนดโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) และ FISMA
  • ความโปร่งใสระหว่างรัฐบาลสหรัฐฯ และผู้ให้บริการระบบคลาวด์
  • การตรวจสอบอัตโนมัติและแบบเรียลไทม์อย่างต่อเนื่อง
  • การใช้โซลูชั่นระบบคลาวด์ที่ปลอดภัยที่ผ่านการประเมินและการอนุญาต
    

• ข้อกำหนดในการปฏิบัติตามข้อกำหนดของ FedRAMP มีอะไรบ้าง

  นโยบาย Cloud First กำหนดให้หน่วยงานรัฐบาลกลางทั้งหมดใช้กระบวนการ FedRAMP ในการประเมิน อนุญาต และตรวจสอบความปลอดภัยของบริการระบบคลาวด์อย่างต่อเนื่อง หน่วยงาน FedRAMP Program Management Office (PMO) ได้สรุปข้อกำหนดต่อไปนี้เพื่อการปฏิบัติตามข้อกำหนดของ FedRAMP

  1. ผู้ให้บริการระบบคลาวด์ (CSP) ได้รับการอนุญาต Agency Authority to Operate (ATO) จากหน่วยงานรัฐบาลกลางสหรัฐฯ หรือ Provisional Authority to Operate (P-ATO) จากคณะกรรมการ Joint Authorization Board (JAB)
  2. CSP นั้นได้บรรลุข้อกำหนดด้านการควบคุมความปลอดภัยของ FedRAMP ดังที่ได้อธิบายไว้ในมาตรฐานควบคุมความปลอดภัยของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) 800-53, Rev. 4 สำหรับระดับผลกระทบปานกลางหรือสูง
  3. แพ็คเกจความปลอดภัยทั้งหมดของระบบจะต้องใช้แม่แบบ FedRAMP ที่กำหนดไว้
  4. CSP จะต้องได้รับการประเมินโดยองค์กรการประเมินภายนอก (3PAO) ที่ได้รับการรับรอง
  5. แพ็คเกจการประเมินความปลอดภัยโดยสมบูรณ์นั้นจะต้องอยู่ในพื้นที่จัดเก็บที่ปลอดภัยของ FedRAMP
     

• ประเภทการปฏิบัติตามข้อกำหนดของ FedRAMP มีอะไรบ้าง

  การปฏิบัติงานอย่างสอดคล้องกับ FedRAMP สำหรับผู้ให้บริการระบบคลาวด์ (CSP) นั้นมีด้วยกันสองวิธี

  • การตรวจสอบโดยคณะกรรมการอนุญาตร่วม (JAB): ในการรับสิทธิ์อนุญาต Provisional Authority to Operate (P-ATO) จากคณะกรรมการ FedRAMP นั้น CSP จะต้องได้รับการประเมินจากองค์กร 3PAO ที่ FedRAMP รับรองแล้ว ได้รับการตรวจสอบโดยหน่วยงาน FedRAMP Program Management Office (PMO) และรับสิทธิ์อนุญาต P-ATO จาก JAB คณะกรรมการ JAB นั้นประกอบไปด้วยหัวหน้างาน Chief Information Officers (CIO) จากกระทรวงกลาโหม (Department of Defense – DoD) กระทรวงความมั่นคงแห่งมาตุภูมิ (Department of Homeland Security – DHS) และฝ่ายบริหารงานทั่วไป (General Services Administration – GSA)
  • การตรวจสอบโดยหน่วยงาน: เพื่อรับสิทธิ์อนุญาต FedRAMP Agency Authority to Operate (ATO) CSP จะต้องได้รับการตรวจสอบโดยหน่วยงาน Customer Agency CIO หรือ Delegated Authorizing Official เพื่อรับ ATO ที่สอดคล้องกับ FedRAMP ซึ่งตรวจสอบโดยหน่วยงาน FedRAMP Program Management Office (PMO)
    

• หน่วยงานใช้ประโยชน์จากสิทธิ์อนุญาต AWS FedRAMP ได้อย่างไร

  หน่วยงานจากส่วนกลางหรือองค์กรของกระทรวงกลาโหม (DoD) สามารถใช้ประโยชน์จากข้อเสนอบริการระบบคลาวด์ (CSO) ของ AWS ขณะสร้างบล็อกสำหรับโซลูชันที่โฮสต์อยู่ในระบบคลาวด์ CSO แต่ละรายการของ AWS ได้รับการตรวจสอบสำหรับส่วนกลางและ DoD ใช้โดย FedRAMP และ DISA และการตรวจสอบจะถูกระบุไว้ใน Provisional Authority to Operate (P-ATO) CSP จะไม่ได้รับ Authority to Operate (ATO) สำหรับ CSO ของตน แต่จะได้รับ P-ATO แทน PATO เป็นการอนุมัติการจัดหาล่วงหน้าสำหรับหน่วยงานส่วนกลางหรือ DoD เพื่อใช้ CSO หน่วยงานส่วนกลางหรือองค์กร DoD สามารถใช้ประโยชน์จากแพ็คเกจความปลอดภัย FedRAMP ของ AWS เพื่อการตรวจสอบเอกสารสนับสนุน เพื่อระบุรายละเอียดของความรับผิดชอบร่วมกัน และดำเนินการตัดสินใจด้วยความเสี่ยงของตนเองเพื่อให้สิทธิ์อนุญาต ATO หากคุณมีคำถามอื่นๆ หรือต้องการข้อมูลเพิ่มเติม โปรดติดต่อผู้จัดการบัญชีฝ่ายขายของ AWS

  หน่วยงาน Authorizing Official (AO) สามารถใช้แพ็คเกจความปลอดภัย AWS FedRAMP เพื่อตรวจสอบเอกสารสนับสนุน เพื่อระบุรายละเอียดของความรับผิดชอบร่วมกัน และดำเนินการตัดสินใจด้วยความเสี่ยงของตนเองเพื่อให้สิทธิ์อนุญาต Agency Authority to Operate (ATO) แก่ AWS ได้ หน่วยงานต่างๆ มีความรับผิดชอบในการออก ATO ของตนให้แก่ AWS และมีความรับผิดชอบในการให้สิทธิ์อนุญาตโดยรวมสำหรับส่วนประกอบของระบบของตน หากคุณมีคำถามหรือต้องการข้อมูลเพิ่มเติม โปรดติดต่อผู้จัดการบัญชีฝ่ายขายของ AWS หรือATO กับทีม AWS
  

• AWS มี Authority to Operate (ATO) หรือไม่

  AWS คือผู้ให้บริการระบบคลาวด์ (CSP) ที่นำเสนอข้อเสนอบริการระบบคลาวด์ (CSO) ในฐานะ CSP AWS ปฏิบัติตามขั้นตอนของ FedRAMP เพื่อให้ CSO ของตนได้รับสิทธิ์สำหรับการใช้งานโดยหน่วยงานส่วนกลางหรือ DoD ขั้นตอนของ FedRAMP จะไม่ออก Authority to Operate (ATO) ให้กับ CSP แต่ขั้นตอนของ FedRAMP จะออก Provisional Authority to Operate (PATO) ให้แทน PATO เป็นการอนุมัติการจัดหาล่วงหน้าสำหรับหน่วยงานส่วนกลางหรือ DoD เพื่อใช้ CSO หน่วยงานส่วนกลางหรือ DoD จะใช้ PATO และการควบคุมแบบสืบทอดที่เกี่ยวข้องกับ PATO เมื่อปฏิบัติตามขั้นตอนเฟรมเวิร์กการบริหารจัดการความเสี่ยง (RMF) เพื่อรับ ATO ของตน โปรดทราบว่า PATO ของ AWS จะไม่อัปเกรดเป็น ATO เนื่องจากขั้นตอน FedRAMP ไม่มีการออก ATO ให้กับ CSP ATO จะถูกออกให้เป็นส่วนหนึ่งของขั้นตอนขั้นตอน RMF เท่านั้นและจะออกโดยหน่วยงานส่วนกลางหรือเจ้าหน้าที่ที่ได้รับอนุญาต (AO) ของ DoD ดูข้อมูลเพิ่มเติมเกี่ยวกับ FedRAMP ได้ที่เว็บไซต์ FedRAMP
  

• FedRAMP มีความแตกต่างจากเฟรมเวิร์กการบริหารจัดการความเสี่ยง (RMF) อย่างไร

  FedRAMP เป็นขั้นตอนที่ผู้ให้บริการระบบคลาวด์ (CSP) ปฏิบัติตามเพื่อให้ข้อเสนอบริการระบบคลาวด์ (CSO) ของตนได้รับอนุมัติสำหรับหน่วยงานส่วนกลางหรือ DoD เพื่อใช้สร้างบล็อกสำหรับระบบที่โฮสต์อยู่ในระบบคลาวด์ เฟรมเวิร์กการบริหารจัดการความเสี่ยง (RMF) เป็นขั้นตอนที่หน่วยงานส่วนกลางหรือ DoD ปฏิบัติตามเพื่อให้ระบบ IT ของตนได้รับการอนุมัติเพื่อใช้งาน เฉพาะ CSP เท่านั้นที่ใช้ขั้นตอน FedRAMP และ CSP จะไม่ปฏิบัติตามขั้นตอน RMF หน่วยงานส่วนกลางหรือ DoD จะปฏิบัติตามขั้นตอน FedRAMP เท่านั้นหากกำลังสร้างบริการระบบคลาวด์ (ตัวอย่างเช่น MilCloud)
  

• AWS สนับสนุนสิทธิ์อนุญาตในการดำเนินการ (ATO) กับหน่วยงานสำหรับบริการนอกเหนือจาก FedRAMP หรือไม่

  เราสนับสนุนให้ลูกค้าในหน่วยงานต่างๆ ใช้ประโยชน์จาก FedRAMP JAB ATO และแพ็คเกจการตรวจสอบที่มีอยู่เพื่อออกสิทธิ์อนุญาตในหารดำเนินการของตน
  

• Amazon Web Services ปฏิบัติงานอย่างสอดคล้องกับโปรแกรม FedRAMP หรือไม่

  ใช่ AWS ให้บริการที่สอดคล้องกับโปรแกรม FedRAMP ซึ่งได้รับสิทธิ์อนุญาตแล้ว มีการจัดการการควบคุมความปลอดภัยของ FedRAMP (ตามมาตรฐาน NIST SP 800-53) ใช้แม่แบบที่กำหนดโดย FedRAMP สำหรับแพ็คเกจความปลอดภัยบน FedRAMP Repository ที่ปลอดภัย ได้รับการประเมินจากผู้ประเมินอิสระภายนอกที่ได้รับการรับรองแล้ว (3PAO) รวมถึงมีการปฏิบัติตามข้อกำหนดในการตรวจสอบอย่างต่อเนื่องของ FedRAMP:

  • AWS GovCloud (US) ได้รับสิทธิ์อนุญาต Joint Authorization Board Provisional Authority-To- Operate (JAB P-ATO) และ Agency Authorizations (A-ATO) หลายรายการสำหรับระดับผลกระทบขั้นสูง สามารถดูข้อมูลการบริการในขอบข่ายของ AWS GovCloud (สหรัฐฯ) JAB P-ATO ในประเภทความปลอดภัยตามมาตรฐานระดับสูงนั้นได้ใน ขอบข่ายการบริการของ AWS ซึ่งเป็นไปตามโปรแกรมการปฏิบัติตามข้อกำหนด
  • AWS สหรัฐอเมริกาฝั่งตะวันออก-ตะวันตก (เวอร์จิเนียตอนเหนือ โอไฮโอ ออริกอน และแคลิฟอร์เนียตอนเหนือ) ได้รับสิทธิ์อนุญาต Joint Authorization Board Provisional Authority-To- Operate (JAB P-ATO) และสิทธิ์อนุญาต Agency Authorizations (A-ATO) หลายรายการสำหรับระดับผลกระทบขั้นกลาง ดูข้อมูลการบริการในขอบข่ายของ AWS สหรัฐอเมริกาฝั่งตะวันออก-ตะวันตก JAB P-ATO ในประเภทความปลอดภัยตามมาตรฐานระดับกลางได้ในขอบข่ายการบริการของ AWS ซึ่งเป็นไปตามโปรแกรมการปฏิบัติตามข้อกำหนด  

• การปฏิบัติตามข้อกำหนดของ FedRAMP จะเพิ่มค่าบริการ AWS ของฉันหรือไม่

  ไม่ จะไม่มีการขึ้นราคาค่าบริการในรีเจี้ยนใดๆ เนื่องจากการปฏิบัติตามข้อกำหนดของ FedRAMP ของ AWS
  

• ครอบคลุมภูมิภาค AWS ใดบ้าง

  มีการออก FedRAMP P-ATO สองรายการแยกกันแล้ว โดยรายการหนึ่งครอบคลุม AWS GovCloud (สหรัฐฯ) และอีกรายการหนึ่งครอบคลุมรีเจี้ยน AWS US East/West
  

• มีหน่วยงานรัฐบาลสหรัฐฯ ที่ใช้งาน AWS อยู่ในขณะนี้หรือไม่

  ใช่ หน่วยงานรัฐบาลกว่า 2,000 แห่งและหน่วยงานอื่นๆ ที่ให้บริการผสานระบบรวมถึงผลิตภัณฑ์และบริการอื่นๆ แก่หน่วยงานรัฐบาลกำลังใช้บริการของ AWS หลากหลายบริการด้วยกันในปัจจุบัน คุณสามารถตรวจสอบดูกรณีศึกษาเกี่ยวกับหน่วยงานภาครัฐของสหรัฐอเมริกาที่ใช้ AWS ผ่านเว็บเพจความสำเร็จของลูกค้า AWS สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติงานของ AWS ตามข้อกำหนดด้านความปลอดภัยระดับสูงของรัฐบาล โปรดดูที่เว็บเพจ AWS สำหรับรัฐบาล
  

• บริการใดบ้างที่ครอบคลุมและเราจะสามารถตรวจสอบการปฏิบัติตามข้อกำหนดของ FedRAMP ได้อย่างไร

  บริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบข่ายของ FedRAMP และ DoD SRG อยู่แล้วนั้นได้รับการระบุไว้ในขอบข่ายการบริการของ AWS ซึ่งเป็นไปตามโปรแกรมการปฏิบัติตามข้อกำหนด เมื่อคลิกที่แท็บ FedRAMP หรือ DoD SRG บริการที่มี '“✓” จะบ่งชี้ว่า FedRAMP JAB ได้ตรวจสอบว่าบริการเป็นไปตามข้อกำหนดพื้นฐานทั่วไปของ FedRAMP แล้ว (ตามด้วย DoD SRG IL2) สำหรับ AWS US East-West และ/หรือข้อกำหนดพื้นฐานขั้นสูงของ FedRAMP (ตามด้วย DoD SRG IL2, IL4, และ IL5) สำหรับ AWS GovCloud (สหรัฐฯ) บริการเหล่านี้อยู่ภายในคำอธิบายบริการสำหรับ AWS ใน FedRAMP Marketplace หากบริการมีเครื่องหมายเป็น "การประเมินโดย 3PAO" หรือ "อยู่ระหว่างการประเมิน" AWS จะไม่สามารถนำมาใช้หรือบำรุงรักษาการควบคุมของ FedRAMP ได้เนื่องจากบริการเหล่านั้นยังอยู่ในระหว่างการประเมิน หากบริการมีเครื่องหมายเป็น "การตรวจสอบโดย JAB" หรือ "การตรวจสอบโดย DISA" หมายความว่าบริการดังกล่าวได้ผ่านการประเมินโดย 3PAO เป็นที่เรียบร้อยและอยู่คิวของผู้ควบคุม สำหรับบริการเหล่านี้ AWS ได้นำมาใช้และได้ผ่านการประเมินสำหรับการควบคุมของ FedRAMP ที่เกี่ยวข้อง แต่บริการดังกล่าวไม่ได้รับการตรวจสอบโดบ JAB หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้ และ/หรือมีความสนใจใช้บริการอื่นๆ โปรดติดต่อฝ่ายขายและพัฒนาธุรกิจของ AWS
  

• สามารถใช้บริการอื่นๆ ของ AWS ได้หรือไม่

  ได้ ลูกค้าสามารถประเมินปริมาณงานของตนเพื่อตรวจสอบความเหมาะสมกับบริการของ AWS อื่นๆ ได้ ติดต่อฝ่ายขายและพัฒนาธุรกิจของ AWS หากต้องการพูดคุยโดยละเอียดเกี่ยวกับข้อพิจารณาในการควบคุมความปลอดภัยและยอมรับความเสี่ยง

• สามารถใส่ระบบที่มีผลกระทบระดับสูงใน AWS ได้หรือไม่

  ใช่ ลูกค้าสามารถประเมินปริมาณงานที่มีผลกระทบสูงเพื่อตรวจสอบความเหมาะสมด้วย AWS ได้ ขณะนี้ ลูกค้าสามารถวางปริมาณงานที่มีผลกระทบสูงของตนได้บน AWS GovCloud (สหรัฐฯ) ซึ่งได้รับสิทธิ์อนุญาต Joint Authorization Board Provisional Authority-To- Operate (JAB P-ATO) สำหรับระดับผลกระทบขั้นสูง
  

• ฉันสามารถเข้าดูแพ็คเกจความปลอดภัย FedRAMP ของ AWS ได้ที่ใด

  ลูกค้าหน่วยงานรัฐบาลสหรัฐอเมริกา และผู้รับจ้างสามารถขอเข้าถึงแพ็กเกจความปลอดภัย FedRAMP ของ AWS จาก FedRAMP PMO ได้โดยการกรอกแบบฟอร์มขอเข้าถึงแพ็กเกจ แล้วส่งไปยัง info@fedramp.gov

  ลูกค้าและคู่ค้าเชิงพาณิชย์สามารถขอเข้าถึงแพ็คเกจคู่ค้า FedRAMP ของ AWS สำหรับคำแนะนำที่เกี่ยวข้องกับการสร้างเพิ่มเติมกับข้อเสนอและการช่วยเหลือของ AWS ในการสร้างบริการที่สอดคล้องกับ FedRAMP/DoD แพ็คเกจคู่ค้าสามารถพบได้ในบัญชี AWS ของคุณผ่าน AWS Artifact หรือโดยการขอผ่านผู้จัดการบัญชี AWS ของคุณ
  

• FedRAMP ID เพื่อวัตถุประสงค์ในการอ้างอิงคืออะไร

  สำหรับ AWS รีเจี้ยนสหรัฐอเมริกาฝั่งตะวันออก-ตะวันตก FedRAMP ID คือ AGENCYAMAZONEW สำหรับ รีเจี้ยน AWS GovCloud (สหรัฐฯ) FedRAMP ID คือ F1603047866
  

• สิทธิ์อนุญาต FedRAMP มีการจัดการการตรวจสอบอย่างต่อเนื่องอย่างไร

  ภายใน FedRAMP Concept of Operations (CONOPS) หลังจากที่ได้รับสิทธิ์อนุญาตแล้ว การดำเนินงานด้านความปลอดภัยของ CSP จะได้รับการตรวจสอบตามขั้นตอนการประเมินและให้สิทธิ์อนุญาต หากต้องการต่อสิทธิ์อนุญาต FedRAMP แบบปีต่อปี CSP จะต้องตรวจสอบการควบคุมความปลอดภัย ประเมินการควบคุมความปลอดภัยเป็นประจำ และแสดงให้เห็นว่าการดำเนินงานด้านความปลอดภัยของการให้บริการนั้นอยู่ในมาตรฐานที่ยอมรับได้อย่างต่อเนื่อง หน่วยงานรัฐบาลกลางที่ใช้โปรแกรมการตรวจสอบอย่างต่อเนื่อง FedRAMP และ Authorizing Officials (AO) รวมถึงทีมของตนที่ได้รับมอบหมายมีความรับผิดชอบในการตรวจสอบการปฏิบัติงานของ AWS ตามข้อกำหนดอย่างต่อเนื่อง AO และทีมที่ได้รับมอบหมายของตนจะต้องตรวจสอบสิ่งประดิษฐ์ที่นำเสนอระหว่างขั้นตอนการตรวจสอบ AWS FedRAMP อย่างต่อเนื่อง นอกเหนือจากหลักฐานในการปฏิบัติงานตามการควบคุมของหน่วยงานใดๆ ที่อยู่นอกการกำกับควบคุมของ FedRAMP สำหรับข้อมูลเพิ่มเติม โปรดดูโปรแกรมหรือนโยบายด้านความปลอดภัยของระบบข้อมูลของหน่วยงานของคุณ
  

• ในฐานะหน่วยงานรัฐบาลกลางสหรัฐฯ ฉันต้องทำข้อตกลง Interconnection Security Agreement (ISA) กับ AWS หรือไม่

  ไม่ เคล็ดลับและคำแนะนำประจำสัปดาห์ของ FedRAMP เมื่อวันที่ 10 สิงหาคม 2016 นั้นระบุว่าการใช้งานระหว่าง CSP และหน่วยงานรัฐบาลกลางไม่จำเป็นต้องมี ISA
  

• ฉันต้องทำอย่างไรหากต้องการสอบถามเกี่ยวกับปริมาณงานหรือสถาปัตยกรรม AWS เฉพาะสำหรับ FedRAMP ขององค์กรของฉัน

  ลูกค้าสามารถเข้าถึงแพ็คเกจความปลอดภัย AWS FedRAMP ได้โดยใช้ AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับการเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact

  หากคุณมีคำถามเฉพาะเกี่ยวกับการปฏิบัติตามข้อกำหนด FedRAMP หรือ DoD โปรดติดต่อผู้จัดการบัญชี AWS ของคุณ หรือส่งแบบฟอร์มติดต่อเราเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS เพื่อติดต่อกับทีมการปฏิบัติตามข้อกำหนดของ FedRAMP
  

• ฉับจะพบข้อมูลเกี่ยวกับโปรแกรมการปฏิบัติตามข้อกำหนดอื่นๆ ที่เกี่ยวข้องกับ FedRAMP ได้ที่ใด

  สำหรับข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมการปฏิบัติตามข้อกำหนดที่ใช้ได้ โปรดไปที่เว็บเพจโปรแกรมการปฏิบัติตามข้อกำหนดของ AWS คุณจะยังพบข้อมูลเฉพาะเพิ่มเติมเกี่ยวกับมาตรฐานการประมวลผลข้อมูลกลาง (FIPS) 140-2, คู่มือข้อกำหนดด้านความปลอดภัยของการประมวลผลระบบคลาวด์ของกระทรวงกลาโหม (DoD CC SRG), รัฐบัญญัติการจัดการความปลอดภัยของข้อมูลกลาง (FISMA) และสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST)
  

• ความสัมพันธ์ระหว่าง FedRAMP และโปรแกรมการปฏิบัติตามข้อกำหนดส่วนกลางอื่นๆ (FISMA, DFARS, DoD SRG, NIST SP 800-171, FIPS 140-2) เป็นเช่นไร

  หน่วยงานรัฐบาลกลางจะได้รับการประเมินโดยสำนักงานผู้ตรวจสอบทั่วไป (OIG) และตัววัดที่มีพื้นฐานจากภายในซึ่งให้บริการโดยกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) เกณฑ์สำหรับตัววัด FISMA OIG และ CIO คือ NIST SP 800 ฉบับพิเศษที่เน้น NIST SP 800-53 สำหรับหน่วยงานเหล่านี้ที่พึ่งพาการรักษาความปลอดภัยของ CSP FedRAMP เป็นโปรแกรมการปฏิบัติตามข้อกำหนดซึ่งสร้างขึ้นบนพื้นฐานของการควบคุม NIST SP 800-53 เพื่อให้สอดคล้องตามข้อกำหนดของ FISMA ภายในระบบคลาวด์

  โปรแกรมการปฏิบัติตามข้อกำหนด FedRAMP ถูกใช้โดย DoD เพื่อให้เป็นไปตามระดับผลกระทบในคู่มือข้อกำหนดด้านความปลอดภัยของการประมวลผลระบบคลาวด์ของกระทรวงกลาโหม (DoD CC SRG) ซึ่งกำหนดให้สอดคล้องกับ FIPS 140-2 สำหรับการควบคุมการเข้ารหัสบางรูปแบบ ข้อกฎหมาย Defense Federal Acquisition Regulation Supplement (DFARS) กำหนดให้ผู้รับจ้างของ DoD ที่ดำเนินการ จัดเก็บ หรือส่งต่อข้อมูลที่ไม่ได้จำแนกประเภทควบคุม (CUI) ให้เป็นไปตามกลุ่มมาตรฐานความปลอดภัยที่รวมถึงข้อกำหนด NIST SP 800-171 NIST SP 800-171 ให้ข้อกำหนดด้านความปลอดภัยที่แนะนำกับหน่วยงานต่างๆ สำหรับการปกป้องการรักษาความลับของข้อมูลที่ไม่ได้จำแนกประเภทควบคุม (CUI)