在聯邦資訊安全管理中,AO(Authorizing Official,授權官員)是整個 NIST RMF 流程的最終決策者。沒有 AO 的簽署,任何系統都無法取得合法的 ATO(Authority to Operate)並上線運作。
AO 的核心職責與法源依據
AO 是依據 FISMA(聯邦資訊安全現代化法案) 授權設立的高階主管職位,通常為局長、副局長或具預算控制權的資深官員。其核心職責是在審閱安全評估報告(SAR)、系統安全計畫(SSP)與風險評估結果(POA&M)後,做出三種決策之一:核發 ATO、核發附條件 ATO(IATO),或拒絕授權(DATO)。AO 不只是簽名,更是對系統殘餘風險(Residual Risk)的正式承擔者,風險後果由其所在機關負責。
AO 在 NIST RMF 七步驟中的定位
NIST RMF 共七個步驟:Prepare、Categorize、Select、Implement、Assess、Authorize、Monitor。AO 的主要介入點在第六步 Authorize,但實務上從第一步 Prepare 起便需參與,確保風險容忍度(Risk Tolerance)被正確設定。AO 透過審閱授權套件(Authorization Package)進行決策,並與 ISSO(資訊系統安全官)及 ISSM(資訊系統安全管理員)緊密協作。ATO 效期通常為三年,期間持續監控(Continuous Monitoring)結果須定期回報 AO,重大變更則可能觸發重新授權。
💡 重點整理
- 法定責任主體:AO 是 FISMA 規定中,對系統安全風險承擔正式法律責任的唯一個人。
- 決策依據三份文件:SAR(評估報告)、SSP(安全計畫)、POA&M(待改善項目)缺一不可。
- 三種授權結果:ATO(全額授權)、IATO(附條件)、DATO(拒絕),非非黑即白。
- 持續監控不可忽略:ATO 核發後,重大設定變更仍需通報 AO,可能觸發重新授權程序。
AO 不是橡皮圖章,而是風險治理體系的最終防線。理解 AO 的職責邊界,是建立符合 NIST RMF 合規體系的第一步,也是資安長(CISO)與高階主管必備的核心知識。
📚 參考文獻
- NIST SP 800-37 Rev. 2 — Risk Management Framework for Information Systems and Organizations(官方 RMF 框架完整規範)
https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final - NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems and Organizations(AO 審閱控制措施的主要依據)
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言