为POAM辩护:信息系统生命周期管理案例
什么是POAM及其作用?
行动计划与完成日期里程碑(POAM,有时写作POA&M)是一个正式的待办事项清单。POAM是一个关键文档和功能,有助于在整个生命周期内管理信息系统(IS或系统)。美国国家标准与技术研究院(NIST)将POAM定义为"识别需要完成的任务的文档。它详细说明了完成计划要素所需的资源、完成任务中的任何里程碑以及里程碑的计划完成日期。“作为系统安全计划(SSP)的核心组成部分,POAM可用于跟踪评估或其他系统活动后可操作项的谁、什么、为什么、如何和何时等细节。
| 项目标识符 | 弱点或缺陷 | 安全控制 |
|---|---|---|
| 带完成日期的里程碑 | 里程碑变更 | 弱点缺陷识别者 |
| 联系人 | 所需资源 | 计划完成日期 |
| 风险等级(低/中/高) | 预估成本 | 状态 |
通用POAM标准
POAM在整个评估和授权过程中都会出现。在网络安全框架(CSF 2.0)下管理信息系统时,您需要"分析当前配置文件和目标配置文件之间的差距,并创建行动计划”。创建行动计划或POAM后,下一步是实施行动计划并更新组织配置文件。该框架明确指出,“行动计划可能有总体截止日期或持续进行”。实际上,它可能两者兼而有之。
在CMMC(NIST SP 800-171的最常见实现,利用修订版2)下,POA&M满足要求3.12.2,“组织制定行动计划,描述如何满足任何未实施的安全要求以及如何实施任何计划的缓解措施。"《联邦公报》的CMMC最终规则(2024年12月)针对POA&M的反馈指出:“已根据公众意见对CMMC计划进行了更改。重大更改包括…提供澄清以区分行动计划与里程碑(POA&M)和运营行动计划。运营行动计划不确定补救时间表,与POA&M不同,POA&M与必须在180天内完成的缺陷补救评估相关联。”
无论组织遵循何种指南或遵守何种要求,在管理信息系统时,POAM都是系统总体系统安全计划的关键部分。
系统开发生命周期(SDLC)可能正在使用,而POAM可以帮助您。
| 技术流程 | 技术管理流程 | 组织项目赋能流程 | 协议流程 |
|---|---|---|---|
| 业务或任务分析(BA) 利益相关者需求和要求定义(SN) 系统需求定义(SR) 系统架构定义(SA) 设计定义(DE) 系统分析(SA) 集成(IN) 验证(VE) 过渡(TR) 确认(VA) 操作(OP) 维护(MA) 处置(DS) |
项目规划(PL) 决策管理(DM) 风险管理(RM) 配置管理(CM) 信息管理(IM) 测量(MS) 质量保证(QA) |
生命周期模型管理(LC) 基础设施管理(IM) 组合管理(PM) 人力资源管理(HR) 质量管理(QM) 知识管理(KM) |
采购(AQ) 供应(SP) |
系统生命周期流程(来源:NIST SP 800-160r1v1:工程可信安全系统)
如果您碰巧负责管理信息系统,那么您的系统管理方法很可能是生命周期方法,即从系统设计到处置。“静态"配置实际上是一个过时的概念,POAM是在生命周期中跟踪信息系统需求变化的绝佳工具。
无论您进行了自我评估,还是经历了更严格的评估、审计或检查,除了所有其他SSP文档和工件外,很可能还使用了POAM来导航该过程。在系统开发生命周期(SDLC)方法中,评估和授权之后,下一步是进入某种持续监控阶段。
强大的风险管理框架(RMF)将持续监控作为第7步"监控"嵌入。在此监控步骤(如RMF中的所有步骤)中,有特定任务,如持续评估(任务M-2)和持续风险响应(任务M-3),这两者都引用了行动计划与里程碑作为潜在输入。在总结RMF中步骤和预期结果的同一表中,RMF引用了网络安全框架。NIST SP 800-37r2:信息系统和组织风险管理框架,在表中引用了CSF 1.1控制ID.SC-04,然后这将与新的CSF 2.0控制相关联,来自GOVERN功能:GV.SC-07:“在关系过程中理解、记录、优先排序、评估、响应和监控供应商、其产品和服务以及其他第三方构成的风险。“现在,遵循这种关联,在CSF 2.0下管理系统,并必须考虑供应链风险管理,POAM仍然有用。CMMC也存在相同的适用场景,因为2024年12月的最终规则指出:“运营行动计划是处理云服务提供商(CSP)、外部服务提供商(ESP,非CSP)和不再符合CMMC要求的第三方供应商的适当机制。”
不仅限于供应链风险管理,评估后,POAM或行动计划可以促进网络安全框架中多个控制的实施。运营行动计划可以帮助组织跟踪其重新评估要求,并完全满足CMMC下NIST SP 800-171r2的生命周期要求;并且,对于RMF,更新的行动计划与里程碑可以在执行第7步中的监控任务时用作数据输入。
POAM或运营行动计划的持续用途
NIST网络安全框架2.0
- GV.SC-07:在关系过程中理解、记录、优先排序、评估、响应和监控供应商、其产品和服务以及其他第三方构成的风险
- GV.SC-09:将供应链安全实践整合到网络安全和企业风险管理计划中,并在技术产品和服务生命周期中监控其性能
- ID.AM-08:在整个生命周期中管理系统、硬件、软件、服务和数据
CMMC / NIST SP 800-171r2:保护非联邦系统中的受控非机密信息
- 3.4.1:在各自的系统开发生命周期中建立并维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)
- 3.11.1:定期评估对组织运营(包括使命、功能、形象或声誉)、组织资产和个人的风险
- 3.11.2:定期以及在识别出影响这些系统和应用程序的新漏洞时,扫描组织系统和应用程序中的漏洞
- 重新评估
NIST SP 800-37r2:信息系统和组织风险管理框架
- 任务M-1:系统和环境变更
- 任务M-2:持续评估
- 任务M-3:持续风险响应
- 任务M-4:授权包更新
- 任务M-5:安全和隐私报告
- 任务M-6:持续授权
继续使用运营行动计划是合理的
无论您继续将其称为POAM,还是希望与CMMC保持一致并放弃里程碑日期,从而剥离功能并成为运营行动计划,在SDLC内管理信息系统都需要一个行动计划(无论正式命名与否)。从某个角度来看:评估后,当您知道在整个生命周期中仍然需要执行围绕系统的任务时,为什么要将POAM中的所有信息及其功能从实践中移除?避免反问,我不建议您这样做。