捍卫POAM的价值
信息系统跟踪的生命周期案例
什么是POAM及其用途?
行动计划与完成日期里程碑(POAM,有时写作POA&M)是一个正式的任务清单。POAM是一个关键文档和功能,促进信息系统在整个生命周期中的管理。美国国家标准与技术研究院(NIST)将POAM定义为"识别需要完成的任务的文档。它详细说明了完成计划要素所需的资源、完成任务中的任何里程碑以及里程碑的计划完成日期。“作为系统安全计划(SSP)的核心组成部分,POAM可用于跟踪评估或其他系统活动后可操作项的谁、什么、为什么、如何和何时等细节。
| 项目标识符 | 弱点或缺陷 | 安全控制 |
|---|---|---|
| 带完成日期的里程碑 | 里程碑变更 | 弱点缺陷识别者 |
| 联系人 | 所需资源 | 计划完成日期 |
| 风险等级(低/中/高) | 预估成本 | 状态 |
通用POAM标准
POAM在整个评估和授权过程中都会出现。在网络安全框架(CSF 2.0)下管理信息系统时,您需要"分析当前配置文件和目标配置文件之间的差距,并创建行动计划。“创建行动计划或POAM后,下一步是实施行动计划并更新组织配置文件。该框架明确指出,“行动计划可能有总体截止日期或持续进行。“实际上,它可能两者兼有。
在CMMC(NIST SP 800-171的最常见实现,利用修订版2)下,POA&M满足要求3.12.2,“组织制定行动计划,描述如何满足任何未实施的安全要求以及如何实施任何计划的缓解措施。"《联邦公报》的CMMC最终规则(2024年12月)针对POA&M的反馈指出:“已根据公众意见对CMMC计划进行了更改。重大更改包括…提供澄清以区分行动计划与里程碑(POA&M)和运营行动计划。运营行动计划不确定修复时间表,与POA&M不同,POA&M与必须在180天内完成的缺陷修复评估相关。”
无论组织遵循何种指南或遵守何种要求,在管理信息系统时,POAM都是系统总体系统安全计划的关键部分。
系统开发生命周期(SDLC),您可能正在使用它,而POAM可以帮助您。
| 技术流程 | 技术管理流程 | 组织项目启用流程 | 协议流程 |
|---|---|---|---|
| 业务或任务分析(BA) 利益相关者需求和要求定义(SN) 系统需求定义(SR) 系统架构定义(SA) 设计定义(DE) 系统分析(SA) 集成(IN) 验证(VE) 过渡(TR) 验证(VA) 操作(OP) 维护(MA) 处置(DS) |
项目规划(PL) 决策管理(DM) 风险管理(RM) 配置管理(CM) 信息管理(IM) 测量(MS) 质量保证(QA) |
生命周期模型管理(LC) 基础设施管理(IM) 组合管理(PM) 人力资源管理(HR) 质量管理(QM) 知识管理(KM) |
采购(AQ) 供应(SP) |
系统生命周期流程(来源:NIST SP 800-160r1v1:工程可信安全系统)
如果您碰巧负责管理信息系统,您的系统管理方法很可能是生命周期方法,意味着从系统设计到处置。“静态"配置实际上是一个过时的概念,POAM是在生命周期中跟踪信息系统需求的一个很好的工具,因为这些需求可能会在整个生命周期中适应。
无论您是进行了自我评估,还是经历了更严格的评估、审计或检查,都很可能使用POAM(除了所有其他SSP文档和工件)来导航该过程。在系统开发生命周期(SDLC)方法中,评估和授权之后,下一步是进入持续监控的某个阶段。
强大的风险管理框架(RMF)将持续监控作为第7步"监控"内置其中。在此监控步骤中(如RMF中的所有步骤),有特定任务,如持续评估(任务M-2)和持续风险响应(任务M-3),两者都引用行动计划与里程碑作为潜在输入。在总结RMF中步骤和预期结果的同一表中,RMF引用了网络安全框架。NIST SP 800-37r2:信息系统和组织的风险管理框架,在表中引用了CSF 1.1控制ID.SC-04,然后将其与新的CSF 2.0控制相关联,来自GOVERN功能:GV.SC-07:“供应商、其产品和服务以及其他第三方构成的风险在关系过程中被理解、记录、优先排序、评估、响应和监控。“现在,遵循这种关联,在CSF 2.0下管理系统,并必须考虑供应链风险管理,POAM仍然有用。CMMC也存在相同的适用场景,因为2024年12月的最终规则指出:“运营行动计划是处理云服务提供商(CSP)、外部服务提供商(ESP,非CSP)和不再符合CMMC要求的第三方供应商的适当机制。”
不限于供应链风险管理,评估后,POAM或行动计划可以促进网络安全框架中多个控制的实施。运营行动计划可以帮助组织跟踪其重新评估要求,并完全满足CMMC下NIST SP 800-171r2的生命周期要求;并且,对于RMF,更新的行动计划与里程碑可以在执行第7步中的监控任务时用作数据输入。
POAM或运营行动计划的持续用途
NIST网络安全框架2.0
- GV.SC-07:供应商、其产品和服务以及其他第三方构成的风险在关系过程中被理解、记录、优先排序、评估、响应和监控
- GV.SC-09:供应链安全实践被整合到网络安全和企业风险管理计划中,其性能在整个技术产品和服务的生命周期中被监控
- ID.AM-08:系统、硬件、软件、服务和数据在其整个生命周期中被管理
CMMC / NIST SP 800-171r2:保护非联邦系统中的受控非机密信息
- 3.4.1:在各自的系统开发生命周期中建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单
- 3.11.1:定期评估对组织运营(包括任务、功能、形象或声誉)、组织资产和个人的风险
- 3.11.2:定期以及在识别影响这些系统和应用程序的新漏洞时,扫描组织系统和应用程序中的漏洞
- 重新评估
NIST SP 800-37r2:信息系统和组织的风险管理框架
- 任务M-1:系统和环境变更
- 任务M-2:持续评估
- 任务M-3:持续风险响应
- 任务M-4:授权包更新
- 任务M-5:安全和隐私报告
- 任务M-6:持续授权
继续使用运营行动计划是有意义的
无论您继续将其称为POAM,还是希望与CMMC保持一致,例如,放弃里程碑日期,从而剥离功能并成为运营行动计划,在SDLC内管理信息系统都需要一个行动计划(无论正式命名与否)。从某个角度来看:评估后,当您知道在整个生命周期中仍然需要执行围绕系统的任务时,为什么要将POAM中的所有信息及其功能从实践中移除?避免修辞,我不建议您这样做。