在聯邦資訊系統的安全管理中,ATO(Authorization To Operate,營運授權)是系統正式上線的最終關卡。沒有 ATO,系統不得在生產環境中處理敏感資料。
什麼是 ATO,誰來核發?
ATO 是由授權官員(Authorizing Official, AO)正式核發的書面決定文件。AO 通常是具有預算與管理責任的資深主管,對系統運作承擔最終責任。核發流程遵循 NIST RMF(風險管理框架),AO 須審閱安全評估報告(SAR)、系統安全計畫(SSP)與殘餘風險清單,確認風險已降至組織可接受範圍後,方可簽署授權。ATO 通常有效期為三年,到期須重新評估。若風險過高,AO 可核發拒絕授權(Denial of ATO)或附條件的臨時授權(IATO)。
AO 如何評估殘餘風險?
AO 的核心任務是評估殘餘風險(Residual Risk),即在所有安全控制措施落實後仍存在的風險。評估依據來自安全控制評估員(Security Control Assessor, SCA)提交的 SAR,內容涵蓋控制項測試結果、漏洞列表與補救計畫(POA&M)。AO 參照 FIPS 199 定義的系統機密性、完整性與可用性衝擊等級,綜合判斷風險是否可接受。若發現高嚴重性開放漏洞,AO 通常要求限期修補後才核發授權。整個決策過程須完整記錄於授權決定文件(Authorization Decision Document)中,留存稽核軌跡。
💡 重點整理
- ATO 由授權官員(AO)依 NIST RMF 流程正式核發,有效期通常為三年。
- AO 審閱 SSP、SAR 與 POA&M,判斷殘餘風險是否落在可接受範圍內。
- 核發結果分三種:正式 ATO、臨時授權(IATO)、拒絕授權(Denial)。
- 所有授權決策須記錄於授權決定文件,確保可稽核性與責任追溯。
ATO 不是終點,而是持續監控的起點。系統上線後,安全狀態須持續追蹤,確保授權有效期內風險不超出已接受的邊界。
留言
張貼留言