Got FedRAMP – OSCAL

2025年5月14日

Got FedRAMP? Check Out OSCAL!

联邦风险与授权计划（FedRAMP）针对云服务产品，是最具挑战性的网络安全标准之一。为帮助机构提高实施合规性，FedRAMP与NIST合作，倡导采用开放安全控制评估语言（OSCAL）。

2024年7月，美国管理与预算办公室（OMB）发布的“FedRAMP备忘录”为参与FedRAMP授权的机构设定了两年时间表，以采用OSCAL。鼓励所有云服务提供商（CSP）、第三方评估组织（3PAO）、机构和其他利益相关者利用OSCAL格式创建和/或处理计算机可读的网络安全合规文档。这包括控制目录、控制基线、系统安全计划（SSP）、行动与里程碑计划（POA&M）以及系统评估文档。

采用OSCAL的好处包括大幅提高CSP、审计和审查流程的速度、准确性和效率。本文分享了OSCAL如何支持不同利益相关者的FedRAMP对齐。

How do FedRAMP and OSCAL relate?

FedRAMP的总体目标是确保美国政府机构能够有效管理与使用第三方云服务相关的网络安全风险。NIST和FedRAMP合作创建了OSCAL，以加速FedRAMP合规/授权工作，并通过自动生成和处理所需的FedRAMP文档，压缩所有利益相关者的价值实现时间。这包括：

帮助CSP使用标准语言数字化其安全包文档。
通过自动化的机器可读合规检查，加速FedRAMP和机构审查。
构建一个可以通信和集成的工具市场，以扩展OSCAL驱动自动化带来的时间和成本效益。

通过在机器可读格式中描述网络安全控制和其他程序元素，OSCAL将提高FedRAMP评估的准确性、有效性和一致性。

How can FedRAMP stakeholders use OSCAL?

OSCAL的开发和推广，以及其他近期步骤，反映了美国政府简化FedRAMP和其他网络安全计划的持续努力。OSCAL的数据驱动方法意味着降低复杂性、减少人工努力、加快文档审查速度，并减少“ATO时间”。OSCAL还使合规文档更加灵活，易于适应控制框架（例如，FedRAMP的NIST 800-53控制）的演变，以覆盖新技术和网络威胁。

以下是不同FedRAMP利益相关者可以利用OSCAL的一些方式：

CSP：获得和维护令人垂涎的FedRAMP运营授权（ATO） notoriously耗时、困难且昂贵，合规文档是最令人担忧和 overwhelming 的方面之一。许多组织难以在审计之间维护数百个网络安全控制的合规监控和文档。手动跟踪这些数据的复杂性可能需要多名熟练专业人员全职工作。CSP可以使用OSCAL文档格式自动更新其SSP、控制实施、评估计划、POA&M和其他文档，从而显著降低合规成本和工作量。
3PAO：可以使用OSCAL模型帮助规划和记录审计，包括对OSCAL格式的CSP工件进行自动评估。简化评估既加速了结果，又降低了CSP审计成本。
美国政府机构：可以使用OSCAL数据确保全面管理网络安全风险，并确保机构云服务按预期运行。例如，OSCAL格式的SSP可以帮助赞助机构了解与CSP相关的共享网络安全责任。机构还可以使用OSCAL SSP模型记录其特定的控制实施。
治理、风险与合规（GRC）工具供应商：可以将OSCAL支持纳入其产品中，以推动自动化，并帮助FedRAMP利益相关者实现OSCAL的好处，例如降低成本和价值实现时间。

What Are FedRAMP’s goals for OSCAL?

OSCAL标准化了CSP和其他FedRAMP利益相关者创建的网络安全文档，以便每个人都能明确沟通。这极大地简化了控制和风险报告与评估，同时降低了程序成本。

OSCAL的主要目标之一是帮助自动化持续监控、审计、报告和实施的某些方面。OSCAL既是机器可读的，也是人类可读的，允许自动化工具以标准化格式摄取数据，并生成标准化报告。这通过减少人工努力、消除人为错误，并释放熟练专业人员以其他方式贡献，从而改善网络安全。

另一个主要OSCAL目标是支持网络框架（如FedRAMP和CMMC）之间的互操作性和潜在的互惠性。这种互操作性从机构、CSP、3PAO、审计师和其他FedRAMP利益相关者的角度，推动了对云系统网络安全风险和控制的更大可见性和洞察力。

最终，OSCAL自动化和标准化将使FedRAMP能够开发指标，以主动管理“跨云”甚至政府范围内的风险——远远超出目前设想或尝试的范围。

Leveraging OSCAL tools and services to accelerate your FedRAMP ATO

作为网络安全控制描述、规划、实施、报告和合规审计的推动者，第三方OSCAL工具和服务可以帮助CSP构建其FedRAMP ATO包的许多方面。这一点尤其相关，因为FedRAMP要求CSP创建并维护的文档水平 burdensome，涵盖数百个控制、参数和要求/设置，以及数百页的内容和描述。

“提升安全程序需要全村的力量，”Paramify创始人兼CEO Kenny Scott打趣道。“你需要从理解进入环境的数据流开始，而OSCAL提供了一种非常简单的描述方式。”

作为寻求FedRAMP ATO的CSP的解决方案提供商，Paramify的目的不是“交付OSCAL”，而是帮助其客户根据FedRAMP要求管理风险，并维护强大的网络安全能力清单。该清单对审计师有用，还简化了随着控制和其他因素随时间变化而维护文档的工作。

维护人员无需手动识别并在FedRAMP文档集中进行 potentially dozens of changes，而是可以在一个地方使用OSCAL进行更改，它将动态流向更新文档集中所有受影响区域——每次更改节省数小时的手动工作和“复制/粘贴”，同时提高正确性和质量。

“如果你正确实施，OSCAL给你一个机会实现安全程序的数字化转型，这确实是令人兴奋的事情，”Kenny Scott强调。

What’s next?

有关此主题的更多指导，请收听The Virtual CISO Podcast第150集，嘉宾是Paramify创始人兼CEO Kenny Scott。

FedRAMP与OSCAL：自动化合规文档的革命性工具

本文详细介绍了FedRAMP与OSCAL的关系，探讨了OSCAL如何通过机器可读格式自动化生成和处理网络安全合规文档，提升FedRAMP授权的效率和准确性，适用于云服务提供商、审计机构和政府机构等利益相关者。