为POAM正名
信息系统生命周期跟踪案例
什么是POAM及其作用?
行动计划与完成日期里程碑(POAM,有时写作POA&M)是一个正式的任务清单。作为关键文档和功能,POAM促进信息系统在整个生命周期内的管理。美国国家标准与技术研究院(NIST)将POAM定义为"识别需要完成的任务的文档。它详细说明了完成计划要素所需的资源、实现任务的任何里程碑以及里程碑的计划完成日期"。
作为系统安全计划(SSP)的核心组成部分,POAM可用于跟踪评估或其他系统活动后可操作项的谁、什么、为什么、如何和何时等细节。
| 项目标识符 | 弱点或缺陷 | 安全控制 |
|---|---|---|
| 带完成日期的里程碑 | 里程碑变更 | 弱点缺陷识别者 |
| 联系人 | 所需资源 | 计划完成日期 |
| 风险等级(低/中/高) | 预估成本 | 状态 |
通用POAM标准
POAM在整个评估和授权过程中都会出现。在网络安全框架(CSF 2.0)下管理信息系统时,您需要"分析当前配置文件和目标配置文件之间的差距并创建行动计划"。创建行动计划或POAM后,下一步是实施行动计划并更新组织配置文件。框架明确指出:“行动计划可能有总体截止日期或持续进行”。实际上,可能两者兼有。
在CMMC(NIST SP 800-171的最常见实现,利用修订版2)下,POA&M满足要求3.12.2:“组织制定行动计划,描述如何满足任何未实施的安全要求以及如何实施任何计划的缓解措施”。2024年12月的联邦登记册CMMC最终规则针对POA&M的反馈指出:“根据公众意见对CMMC计划进行了更改。重大更改包括…澄清了行动计划与里程碑(POA&M)和操作行动计划之间的区别。操作行动计划不确定修复时间表,与POA&M不同,POA&M与必须在180天内完成的缺陷修复评估相关。”
无论组织遵循何种指导或遵守何种要求,在管理信息系统时,POAM都是系统总体系统安全计划的关键部分。
系统开发生命周期(SDLC)可能正在使用,而POAM可以协助您。
系统生命周期过程(来源:NIST SP 800-160r1v1:工程可信安全系统)
如果您碰巧负责管理信息系统,很可能是采用生命周期方法进行系统管理,即从系统设计到处置。“静态"配置实际上是一个过时的概念,POAM是跟踪信息系统需求的绝佳工具,因为这些需求可能在生命周期内不断调整。
无论您进行了自我评估还是经历了更严格的评估、审计或检查,很可能使用了POAM(以及所有其他SSP文档和工件)来导航该过程。在系统开发生命周期(SDLC)方法中,评估和授权后,下一步是进入某种持续监控阶段。
强大的风险管理框架(RMF)将持续监控作为第7步"监控"内置其中。在此监控步骤中(如RMF中的所有步骤),有特定任务,如持续评估(任务M-2)和持续风险响应(任务M-3),两者都引用行动计划与里程碑作为潜在输入。在总结RMF步骤和预期结果的同一表格中,RMF引用了网络安全框架。NIST SP 800-37r2:信息系统和组织风险管理框架,在表格中引用了CSF 1.1控制ID.SC-04,然后与新的CSF 2.0控制相关联,来自GOVERN功能:GV.SC-07:“在关系过程中理解、记录、优先排序、评估、响应和监控供应商、其产品和服务以及其他第三方构成的风险。“现在,按照这种关联,在CSF 2.0下管理系统,并必须考虑供应链风险管理,POAM仍然有用。CMMC也存在相同的适用场景,因为2024年12月的最终规则规定:“操作行动计划是处理云服务提供商(CSP)、外部服务提供商(ESP,非CSP)和不再符合CMMC要求的第三方供应商的适当机制。”
不仅限于供应链风险管理,评估后,POAM或行动计划可以促进网络安全框架中多个控制的实施。操作行动计划可以帮助组织跟踪其重新评估要求,并完全满足CMMC下NIST SP 800-171r2的生命周期要求;对于RMF,更新的行动计划与里程碑可在执行第7步监控任务时用作数据输入。
POAM或操作行动计划的持续用途
NIST网络安全框架2.0
- GV.SC-07:在关系过程中理解、记录、优先排序、评估、响应和监控供应商、其产品和服务以及其他第三方构成的风险
- GV.SC-09:将供应链安全实践整合到网络安全和企业风险管理计划中,并在技术产品和服务生命周期内监控其性能
- ID.AM-08:在整个生命周期内管理系统、硬件、软件、服务和数据
CMMC / NIST SP 800-171r2:保护非联邦系统中的受控非机密信息
- 3.4.1:在各自的系统开发生命周期内建立和维护组织系统的基线配置和清单(包括硬件、软件、固件和文档)
- 3.11.1:定期评估组织运营(包括使命、功能、形象或声誉)、组织资产和个人面临的风险…
- 3.11.2:定期以及在识别影响这些系统和应用程序的新漏洞时扫描组织系统和应用程序中的漏洞
- 重新评估
NIST SP 800-37r2:信息系统和组织风险管理框架
- 任务M-1:系统和环境变更
- 任务M-2:持续评估
- 任务M-3:持续风险响应
- 任务M-4:授权包更新
- 任务M-5:安全和隐私报告
- 任务M-6:持续授权
继续使用操作行动计划是有意义的
无论您继续将其称为POAM,还是希望与CMMC保持一致(例如)并放弃里程碑日期,从而剥离功能成为操作行动计划,在SDLC内管理信息系统都需要一个行动计划(无论正式命名与否)。从某个角度来看:评估后,当您知道在整个生命周期内仍然需要围绕系统执行任务时,为什么要将POAM中的所有信息及其功能弃之不用?避免修辞,我不建议您这样做。
准备好了解更多?阅读我们关于保护受控非机密信息的指南。