在資訊安全治理中,Accreditation(授權認可)常被誤解為技術審查,實則是高階主管對殘餘風險的正式承擔行為,是系統能否上線的最終行政決策關卡。
Accreditation 的核心本質:管理責任而非技術評估
Accreditation 由授權官員(Authorizing Official, AO)執行,其角色通常為資深主管或業務負責人。AO 審閱由安全評估團隊產出的安全評估報告(SAR)與系統安全計畫(SSP)後,判斷殘餘風險是否在組織可接受範圍內。若判斷通過,AO 正式簽署授權運作決定(Authorization to Operate, ATO),代表組織在知情狀態下承擔風險,允許系統上線運作。此決策不可委由技術人員代為簽署,法律與行政責任明確歸屬於 AO 本人。
Accreditation 決策流程中的關鍵文件與判斷依據
AO 做出授權決策前,須參閱三份核心文件:Plan of Action & Milestones(POA&M)列明未修補的弱點與改善時程;風險執行摘要(Executive Summary)提供高層可讀的風險概覽;持續監控計畫說明上線後的風險追蹤機制。AO 的決策結果分三種:核發 ATO(完整授權)、核發附條件 ATO(IATO,限期改善)、或拒絕授權(DATO)。整個流程遵循 NIST RMF(Risk Management Framework)第六步驟規範,確保決策具備可審計性與可追溯性。
💡 重點整理
- 責任歸屬明確:AO 簽署 ATO 即代表個人對殘餘風險承擔行政與法律責任。
- 非技術行為:Accreditation 是管理層決策,不等同於技術漏洞掃描或安全測試。
- 三種決策結果:ATO、IATO(附條件)、DATO(拒絕),各有對應後續行動。
- 框架依據:全程遵循 NIST SP 800-37 RMF 第六步驟規範執行。
Accreditation 的核心價值在於將風險決策責任明確落於有權者身上。唯有管理層親自承擔,組織的資安治理才具備真正的問責基礎。
📚 參考文獻
- NIST SP 800-37 Rev. 2 — Risk Management Framework for Information Systems and Organizations:https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final
- NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems and Organizations:https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言