Blog

FedRAMP 20x 进展迅速 - 首月回顾

4月24日 | 2025

就在一个月前的今天，GSA 宣布了 FedRAMP 20x 计划，旨在与行业利益相关者和联邦机构专家持续合作，快速实现 FedRAMP 的现代化。这一概念强调安全性高于合规性，并鼓励私营部门创新来提供解决方案。

在幕后，需要付出大量的努力才能推动像 FedRAMP 这样的项目向前发展。我们无法分享预先决定的信息或有关行政程序的过多细节，但公开我们的内部活动和运营环境，表明我们对 FedRAMP 20x 目标的承诺，并深入了解协作如何推动我们前进。

以下是 FedRAMP 团队本月的工作概况，以及我们接下来将重点关注的内容！

交付授权

我们的审查团队不断完成第三方评估组织推荐的和机构授权的 FedRAMP 包的最终审查，以便将安全服务投入 FedRAMP Marketplace：

• 授权了 29 个新的云服务（今年总共 73 个），超过 400 个授权产品
• 授予了 7 个新的云服务 FedRAMP Ready 称号（今年总共 40 个），保持了 readiness assessment reports (RARs) 的清晰队列
• 认可了 2 个新的第三方评估组织
• 列出了 5 个新的 Rev 5 Agency Authorizations 流程中的云服务
• 收到了 7 个 Rev 5 Agency Authorization 包以供最终审查
• 将我们的审查队列减少到 25 个包，其中 8 个已准备好授权，这是自 2022 年 7 月以来的最小值

社区参与

我们不断支持我们的利益相关者和社区：

• 回复了发送到 info@fedramp.gov 的 1,265 条消息，其中包括 833 个访问请求和 208 个关于 FedRAMP 的一般问题
• 在行业贸易团体（包括 Alliance for Digital Innovation、Cloud Service Providers - Advisory Board 和 Business Software Alliance）主办的会议上，与一千多人讨论了 FedRAMP 20x
• 启动了社区工作组，举办了 8 次公开会议，吸引了超过一千名独立与会者，并参与了工作组讨论论坛中 100 多次积极讨论
• 与众议院监督与政府改革委员会以及参议院国土安全与政府事务委员会的少数和多数派国会委员会工作人员讨论了 FedRAMP 的进展和目标
• 与 DOD、DISA、CISA、VA、HHS 和 OMB 的高管和安全领导人会面，讨论 FedRAMP 的变更
• 与各位 FedRAMP 委员会成员单独会面，同时保持沟通，了解变更的状态和进展
• 在 GSA 的 Cloud & Infrastructure Community of Practice 上向 75 多名机构代表进行了演示，以分享和协作 FedRAMP 20x 更新
• 在 CIO Council 的 Analytics Community of Practice 会议上介绍了 AI 安全和性能评估
• 与 HHS Administration for Children and Families Tech Team 讨论了 FedRAMP、云安全以及在不确定时期交付的未来
• 重新与 FedRAMP Agency Liaison 社区建立联系，代表了 85 多个联邦机构
• 支持 GSA 内部活动，以最终确定成员选择并开始规划 2025 年 Federal Security Cloud Advisory Committee 会议
• 启动了我们的官方 FedRAMP LinkedIn 帐户，迄今为止已发布近 6 个帖子，并且还在不断增长……请务必在社交媒体上关注我们，包括 X/Twitter 和 YouTube
• 开始开发新的原型网页，包括 FedRAMP Marketplace，该网页既可访问又现代化
• 与 FedRAMP Technical Advisory Group 合作，以获得对新计划和标准的持续支持
• 支持 Federal Acquisition Regulation (FAR) 修订计划，以简化采购法规

改进标准

每天，团队都在推动渐进但持续的进步：

• 通过我们的 FedRAMP Request for Comment 流程发布了三项拟议标准以供公众评论
• 确定失去其唯一机构 ATO 的 FedRAMP 授权云服务将在大多数情况下保持 FedRAMP 授权
• 审查了来自五个未完成的征求意见稿的数百条评论，并发布了结果
• 改进了以前的 FedRAMP Boundary Guidance，以根据公众意见和运营环境的变化，生成新的拟议最终标准，用于定义 FedRAMP 授权的边界
• 制定了一项新的标准草案，以解决由利益相关者的反馈和 Rev 5 Continuous Monitoring Working Group 告知的重大变更请求带来的破坏性瓶颈
• 准备了一份标准草案，以展示 FedRAMP 20x，其中包含实现自动化 FedRAMP Low 授权的明确标准，该标准由 Automating Assessments Working Group 的讨论提供
• 最终确定了由利益相关者的反馈告知的 第一个 20x 试点 的资格标准
• 探索利用现有的行业标准框架来满足 Applying Existing Frameworks Working Group 中 FedRAMP 20x 的要求

支持 GSA 的 AI 优先级

我们的小型数据科学家团队不断努力改进 FedRAMP 对 AI 工具的使用：

• 开发了一个使用 GitHub API 和 GSAi 内部工具 的内部系统，以审查 GitHub 评论并确定优先级，并创建执行摘要
• 参与了 GSAi 工具和支持模型的性能评估
• 创建了 GSA 的第一个实时指南，用于以安全和系统的方式为业务应用程序生成更大规模的代码
• 创建了一个实验室环境，其中包含用于基于 Generative AI 的学习和原型设计的资源
• 创建了一个 API 优先的技术堆栈，支持近实时数据活动并与现代技术集成
• 创建了一个本体和工具，用于从复杂的科学论文中提取结构化信息

下个月：20x Phase One Pilot 和持续改进

FedRAMP 20x Phase One 试点向公众开放：

成功完成 Phase One 的合格云服务产品将获得 12 个月的 FedRAMP Low 授权，并将优先考虑在 Phase Two 中获得 FedRAMP Moderate 授权。联邦机构赞助商无需参与 Phase One。

在此处了解有关 FedRAMP 20x Phase One 试点的更多信息。

在 FedRAMP 20x 中，Key Security Indicators 总结了云原生服务产品满足 FedRAMP Low 授权要求时应具备的安全功能。

RFC-0006 Key Security Indicators 提出了 20x Phase One 试点的初始指标，并于 2025 年 5 月 25 日之前公开征求意见。

重大变化即将发生：

FedRAMP 打算用更新的 Significant Change Notification 标准代替之前的 Significant Change Request 流程。该更新声明，授予云服务提供商的授权包括在大多数情况下有权对机构客户的利益进行更改，而无需事先获得授权官员的许可。

RFC-0007 Significant Change Notification Standard 于 2025 年 5 月 25 日之前公开征求意见。

转变对过去 FedRAMP Boundary 的看法：

FedRAMP Minimum Assessment Scope Standard 是一种更新的方法，用于确定 FedRAMP 评估和授权中包含的内容。该方法避免了不必要的细节，以支持 FedRAMP 从基于合规性向基于安全性的决策和评估的持续转变。

RFC-0005 Minimum Assessment Scope Standard 于 2025 年 5 月 25 日之前公开征求意见。

结束语

我们在管理不断变化的资源环境的同时完成了所有这些工作，我们的社区中许多人在过去十年中一直参与该计划。随着政府的情况和优先事项发生变化，我们的减员率低于一个月前的预期。本月我们告别了许多人，其中包括四名联邦工作人员和 26 名签约的安全审查员，他们在多年来一直支持 FedRAMP，并且最近完成了一次打破纪录的为期三个月的审查马拉松，该马拉松超出了预期。

我们的团队仍然有合适的人员来实现 FedRAMP 20x 的期望，并将继续通过与利益相关者的合作和持续的渐进式交付来展示我们的承诺。

要发表您对计划更改的意见，请查看并评论我们的 RFC，加入我们社区工作组的讨论，并考虑参与我们的 FedRAMP 20x Phase One 试点。

返回博客

最近的帖子

• FedRAMP 20x 进展迅速 - 首月回顾
• 2025 年的 FedRAMP
• 专注于交付
• 探索扩展 FedRAMP 的新方法
• FedRAMP，回顾 2024 年，展望 2025 年

本网站上的信息提供公众意识信息。提及任何商业产品并不构成 GSA 的认可。 FedRAMP 名称和 FedRAMP 徽标是 General Services Administration (GSA) 的财产。 有关更多信息，请参见 FedRAMP 免责声明。

与我们联系

如有任何疑问，请联系 FedRAMP。

info@FedRAMP.gov

关注我们

[ LinkedIn ](https://www.fedramp.gov/2025-04-24-fedramp-20x-one-month-in-and-moving-fast/<https:/www.linkedin.com/showcase/gsa-fedramp/about/ >)

X

YouTube

保持最新

要接收新闻和更新，请加入 GSA 的订阅者列表。

订阅

FedRAMP.gov

GSA Technology Transformation Services 的官方网站

• 关于 GSA
• 无障碍声明
• GSA FOIA
• No FEAR Act 数据
• Office of the Inspector General
• 绩效报告
• GSA 隐私政策
• 漏洞披露政策

正在寻找美国政府信息和服务？

访问 USA.gov

您点击“我接受”或继续使用我们的网站，即表示您同意我们的 cookies。请参阅 cookies 政策。

我接受