NIST 800-53評価を、統制ギャップからATOまで。
連邦システムの成否は、その運用認可(ATO)にかかっています。SubRosaの認定アセッサーが、あらゆるNIST 800-53ファミリーに照らして貴社の統制を評価し、リスク管理をNIST RMFに整合させ、ATOに不可欠なPOA&Mと文書を準備します。そのため、連邦機関も請負業者も、手探りに頼ることなくコンプライアンスに到達できます。
NIST 800-53 · FISMA · NIST RMF · POA&M · ATO
NIST 800-53とは何か。
NIST 800-53は、連邦情報システムが政府データを保護するために実装しなければならないセキュリティおよびプライバシー統制のカタログです。FISMAコンプライアンスとNIST Risk Management Framework(RMF)の基盤であり、アクセス制御からインシデント対応まで統制ファミリーごとに整理され、それぞれにシステムの影響レベルに応じたベースライン(低・中・高)が対応します。連邦機関および請負業者にとって、NIST 800-53評価は運用認可(ATO)への道筋です。どの統制が実装されているか、どこにギャップがあるか、そしてそれをどう解消するかを文書化します。
あらゆる統制ファミリーを、貴社のATOへマッピング。
連邦要件に対応して構築された、貴社のNIST 800-53プログラムの完全な評価です。
統制評価
認定アセッサーが、該当するすべてのNIST 800-53統制ファミリーを貴社のベースラインに照らして評価し、実装状況と証跡を文書化します。
RMF・リスク管理
NIST Risk Management Frameworkに整合したリスク評価と管理により、貴社のプログラムがRMFの各ステップを一気通貫で満たすようにします。
POA&M・ATO準備
運用認可を準備し維持するための、包括的な是正計画とマイルストーン、および全面的な文書化支援です。
ポリシー・継続支援
ポリシー策定、経営層向け研修、継続的モニタリング支援により、要件の進化に合わせて統制を準拠状態に保ちます。
連邦コンプライアンスを、正しく。
認定NISTアセッサー
NIST 800-53とRMFを日々手がける認定アセッサーが担当するため、連邦の精査に耐える評価を、連邦機関も請負業者も得られます。
ATOのために構築
運用認可に不可欠なPOA&M、証跡、文書を準備し、プロセスを一気通貫で導きます。
継続的モニタリング
継続支援と継続的モニタリングにより、統制やベースラインが更新されても準拠状態を維持し、適応できるようにします。
NIST 800-53統制を、貴社のATOに紐づけて追跡。
Sableは貴社の統制をNIST 800-53のファミリーとベースラインにマッピングし、POA&Mを追跡し、証跡を継続的に収集します。そのため、ATOパッケージは期限直前に再構築するのではなく、進めながら組み上がっていきます。
- 42 / 45Access Control (AC)3 POA&M
- 16 / 16Audit & Accountability (AU)Complete
- 38 / 44System & Comms (SC)6 POA&M
- 9 / 9Incident Response (IR)Complete