FedRAMP には "Impact Levels" と呼ばれる 3 つの主要な承認レベルがあり、処理するデータの機密性に基づいてクラウド サービスを分類するために使用します。 FedRAMP の 3 つの承認レベルは、低影響、中程度の影響、高影響です。 各承認レベルは、クラウド サービス プロバイダーが FedRAMP 承認プロセス中に実装して遵守する必要がある特定のセキュリティ要件と制御のセットに対応しています。
- 影響が少ない: 低影響レベルは、機密性の低い未分類の情報を処理するクラウドサービスに適しています。 このレベルには、公開されても組織の業務、資産、または個人への影響が少ないデータが含まれます。 このレベルのクラウド サービスでは、データを保護するためのセキュリティ制御のベースライン セットを実装する必要があります。
- 中程度の影響: 影響度中レベルは、制御された非分類情報 (CUI) またはその他の機密情報を管理するクラウド サービスに適用されますが、未分類です。 このレベルには、公開された場合、組織の運用、資産、または個人に中程度の影響を与える可能性のあるデータが含まれます。 このレベルのクラウド サービスでは、影響の少ないレベルと比較して、より広範なセキュリティ制御セットを実装する必要があります。
- 影響の大きい: 高影響レベルは、機密性の高い制御された非格付け情報 (CUI) データを処理するクラウド サービス向けに設計されており、漏洩した場合、組織の運用、資産、または個人に重大または壊滅的な影響を与える可能性があります。 このレベルのクラウド サービスでは、最高レベルの保護を確保するために、最も厳格で包括的なセキュリティ制御セットを実装する必要があります。
この意思決定プロセスには、政府機関の情報セキュリティおよびコンプライアンスチームを関与させることが重要です。 徹底的なリスク評価を実施し、適切な影響レベルで FedRAMP 認定を取得したクラウド サービス プロバイダーと連携します。
機関内のさまざまなシステムがさまざまな機密レベルのデータを処理する場合があり、これらの違いに対応するためにさまざまな影響レベルでクラウド サービスを使用する可能性があることに注意してください。 FedRamp High 認定の製品を選択すると、すべての影響レベルをカバーするスーパーセットが提供されるため、現在および将来の要件に柔軟に対応できます。
ソリューション概要: FedRamp High認定のゼロトラストセキュリティプラットフォーム
市場: FedRAMP マーケットプレース