聯邦資訊安全現代化法(FISMA)是美國聯邦機構資安合規的核心法規。隨著威脅態勢快速演變,合規重心已從傳統「紙上作業」轉向持續監控,真正落實資安風險管理。
FISMA 的合規架構:從 C&A 到 RMF
FISMA 要求聯邦機構依循 NIST 風險管理框架(RMF)運作,涵蓋六大步驟:分類(Categorize)、選擇控制(Select)、實施(Implement)、評估(Assess)、授權(Authorize)、監控(Monitor)。過去以三年一次的認證授權(C&A)為主,如今 RMF 強調持續授權(Ongoing Authorization),系統安全狀態需即時反映於授權決策中。機構必須維護系統安全計畫(SSP)、實施安全控制並通過獨立評估,由授權官員(AO)核發 ATO(操作授權)後方可上線運作。
持續監控(ConMon):從靜態到動態的關鍵轉變
持續監控(Continuous Monitoring, ConMon)是現代 FISMA 合規的核心機制。機構需部署自動化工具(如漏洞掃描器、SIEM)持續蒐集安全指標,並透過 CDM(持續診斷與緩解)計畫向 CISA 匯報資產狀態。關鍵指標包含:修補程式覆蓋率、配置合規率、特權帳號數量。ConMon 的目標是將安全狀態即時可視化,讓 AO 能基於即時數據做出持續授權決策,而非等待下一輪評估週期。承包商同樣須符合相同要求,並於合約中明訂安全義務。
💡 FISMA 合規核心要點
- RMF 六步驟是所有聯邦系統的合規基礎,缺一不可。
- ATO 並非永久有效,持續監控數據將影響授權延續決策。
- CDM 計畫是 CISA 用於全政府可視化的統一匯報機制。
- 承包商接觸聯邦資料即受 FISMA 約束,須納入採購合約條款。
FISMA 合規已不再是一次性的文件審查,而是一套動態、數據驅動的風險管理體系。唯有將持續監控真正落地,聯邦機構才能在現代威脅環境中保持真實的安全態勢,而非僅僅滿足紙面要求。
📚 參考文獻
- NIST 風險管理框架官方文件: https://csrc.nist.gov/projects/risk-management/about-rmf
- CISA 持續診斷與緩解(CDM)計畫: https://www.cisa.gov/cdm
- FISMA 法規原文(美國法典第 44 章第 35 節): https://www.congress.gov/bill/113th-congress/senate-bill/2521
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言