FedRAMP

美国联邦政府制定了联邦风险和授权管理计划 (FedRAMP)，这是覆盖整个美国政府的一项计划，它可为云产品与服务的安全与风险评估、授权和持续监控提供标准化方案。除了某些本地私有云之外，所有联邦机构的云部署和服务模式都必须在适当的影响级别（低、中或高）下满足 FedRAMP 要求。

要获得 FedRAMP 授权，共有两种方法：一种是通过联合授权委员会 (JAB) 获得临时授权，另一种则是通过代理机构获得授权。在代理授权过程中，代理机构可随时与云服务提供商 (CSP) 直接合作以便进行授权。如果 CSP 做出直接与代理机构合作以获得操作授权 (ATO) 的商业决策，则可在整个 FedRAMP 授权过程中与代理商开展合作。

这两种方法都需要由该计划认可的独立第三方评估组织 (3PAO) 进行评估，同时还需通过 FedRAMP 计划管理办公室 (PMO) 的严格技术审查。

FedRAMP 符合美国国家标准与技术研究院 (NIST) 的 SP 800-53 第 4 版标准，并辅以特定于 FedRAMP 的控制手段和控制增强措施。根据 NIST FIPS 199 安全分类规定，FedRAMP 授权分为三个影响级别（低、中和高）。这些级别对因机密性、完整性或可用性的丧失而有可能对组织所造成的影响进行了排序：低（有限的负面影响）、中（严重的负面影响）和高（严重或灾难性的负面影响）。