美国联邦云计算云服务提供商权威指南

　　《美国联邦云计算 云服务提供商**指南》深入探讨了美国联邦政府云计算的相关主题，包括联邦云计算战略、云计算标准、安全和隐私等。您可以从《美国联邦云计算 云服务提供商**指南》中了解到美国国家标准与技术研究院（NIST）风险管理框架（RMF）关于云计算环境的基础知识，联邦风险和授权管理计划（FedRAMP）的各个方面，经济高效地实施评估和授权（A＆A）流程以及持续监控战略的步骤，使云服务提供商能够在一个不断发展的基础上解决FedRAMP需求。
　　提供了对联邦政府在应用云计算时需求的共识；提供了应用美国国家标准与技术研究院风险管理框架的定向、经济高效的解决方案；提供了关于联邦风险和授权管理计划以及评估和授权流程的技术和非技术的观点：提供了阐明在联邦风险和授权管理计划背景下应用风险管理框架的案例研究。

　　马修·梅思尼（Matthew Metheny），一企业咨询集团公司（1ECG）的创始人．该公司是民营咨询公司，提供云战略和体系结构、云安全评估、云迁移和云计算培训等专业服务。梅思尼先生是云安全联盟（CSA）主任委员会的成员、云信任协议（CTP）工作组副组长、CSA认证的云安全知识认证（CCSK）讲师。在创办1ECG公司之前，梅思尼先生在支持联邦政府和私营部门的多个咨询公司担任计划管理和经理级的职位，这些公司重点关注行政管理、风险管理、新兴技术和安全规范。此外，他是FedRAMP．net的创始人，该网站主要支持云服务提供商和联邦机构解决联邦风险和授权管理计划（FedRAMP）的需求。梅思尼先生拥有马里兰大学信息保证专业的硕士学位和多个国际公认的资格认证。

第1章 联邦云计算战略简介
1．1 引言
1．2 联邦IT的历史回顾
1．3 云计算：联邦IT转型的推动器
1．4 云迁移的决策框架
1．5 小结
参考文献

第2章 云计算标准
2．1 引言
2．2 标准制定入门
2．3 云计算标准化的推动器
2．4 明确联邦云计算标准
2．5 小结
参考文献

第3章 开放源码案例
3．1 引言
3．2 开源和联邦政府
3．3 采用开源软件面临的挑战：采办与安全
3．4 开源软件与联邦云计算
3．5 小结
参考文献

第4章 公共云计算的安全与隐私
4．1 引言
4．2 公共云环境中的安全与隐私
4．3 联邦隐私法与政策
4．4 保护隐私信息
4．5 安全和隐私问题
4．6 小结
参考文献

第5章 应用NIST风险管理框架
5．1 联邦信息安全管理法案介绍
5．2 风险管理框架概述
5．3 NIST RMF流程
5．4 小结
参考文献

第6章 风险管理
6．1 风险管理引言
6．2 联邦信息安全风险管理实践
6．3 全企业风险管理概述
6．4 NIST风险管理流程
6．5 NIST与ISO／IEC风险管理流程的比较
6．6 小结
参考文献

第7章 联邦和国际安全认证标准的对比
7．1 引言
7．2 认证与认可概述
7．3 NIsT和IS0／IEc信息安全标准
7．4 小结
参考文献

第8章 FedRAMP入门
8．1 FEDRAMP简介
8．2 FEDRAMP政策备忘录
8．3 FEDRAMP运行概念
8．4 第三方评估机构程序
8．5 小结
参考文献

第9章 FedRAMP云计算安全要求
9．1 安全控制选择流程
9．2 FEDRAMP云计算安全要求
9．3 小结
参考文献

第10章 安全评估与授权：管控、准备与执行
10．1 安全评估流程简介
10．2 安全评估管控
10．3 安全评估准备
10．4 执行安全评估计划
10．5 小结
参考文献

第11章 持续监控策略
11．1 持续监控简介
11．2 持续监控流程
11．3 FedRAMP内部持续监控
11．4 小结
参考文献

第12章 利用安全自动化。实现高效费比的合规性
12．1 引言
12．2 CM参考体系结构
12．3 安全自动化标准和规范
12．4 运行可视性和连续监控
12．5 小结
参考文献

第13章 云服务提供商案例研究
13．1 案例研究：“保健交流”
13．2 应用FEDRAMP中的风险管理框架
13．3 小结
参考文献

　　近年来，“云计算”已作为一种提供IT基础设施、资源和服务的模式出现，通过提高IT效率、灵活性和创新理念，给各个组织机构带来巨大价值潜力。然而，美国联邦机构作为云计算的较早采用者，已经发现要达成这些效果，还面临着许多挑战和风险。
　　早期采用者已经发现，使用云服务提供商（CSP）的服务，IT系统日常配置和交付方式将发生根本性变化。成功采用云计算，还需要改变在安全、隐私、终端用户支持、运行、采办和合同管理方面的方法。云服务提供商也同样面临着挑战，这个新兴市场的许多参与者都是第一次与联邦政府合作。因此，他们不仅需要了解联邦采办流程的细节，而且需要解决各种联邦用户特有的安全、隐私和认证需求。
　　为了面对这些挑战，并且在联邦政府内促进云计算的采用，《美国联邦云计算战略》于2011年8月颁布。美国国家标准与技术研究院（NIST）和总务管理局（GSA）在实施这个“云优先”战略的过程中扮演关键角色。NIST编写了许多专业出版物，提供云计算的定义、体系结构标准和路线图。GSA制定了联邦风险与授权管理计划（FedRAMP），为美国联邦机构使用云计算定义安全、审计、持续监控和其他运行需求。美国联邦机构和进入联邦市场的云服务提供商都必须遵循这些要求。
　　我赞赏NIST和GSA带头发起的开创性倡议。迄今，这些努力已经开创出了独有的新局面，它们必须由希望服务于联邦市场的联邦机构和云服务提供商来指引。目前缺少权威的参考指南，使每个人有一套联邦IT标准，用于快速了解联邦云计算战略的目的、目标、实施和运行情况。梅思尼先生的著作填补了这一空白，本书在关于云计算如何以及在何处适合联邦政府，云优先战略的关键组成部分将如何以补充的方式共同发挥作用方面作了全面介绍。
　　我相信本书对需要成功进入联邦云计算这个五彩缤纷新世界的任何人而言都是宝贵的资源。云服务提供商通过这本书，将对安全和运行需求有更加全面的了解，给联邦机构提供基于云的服务，这些需求是必须满足的。希望提供服务给联邦机构或云服务提供商的云审计员，将从本书中了解到成为第三方评估机构（3PAO）的详细需求。联邦机构首席信息官（CIO）、首席技术官（CTO）、首席信息安全官（CISO）将更加清晰地了解迁移到云计算将对他们现有的IT战略和运行的影响。
　　云优先战略是正在开展的更大范围的工作，是21世纪改革联邦IT工作的关键组成部分。本书将给每个希望踏上这段旅程的人提供非常好的指南。