Hvad er tilladelse til at fungere (ATO)?

Udtrykket 'tilladelse til at betjene' henviser til tilladelse til at bruge et produkt i et eksisterende system. Det bruges ofte i den føderale regering til informationsteknologi. For eksempel kan et program kræve en ATO, før et softwareprogram kan installeres af ansatte på et netværk. Det organ, der udsteder ATO, attesterer, at produktet eller tjenesten fungerer med eksisterende systemer. Private virksomheder og andre organisationer bruger også ATO'er.

Hvorfor organisationer bruger ATO'er

Mens en organisation kan bruge ATO'er af en eller anden grund, bruger den dem primært, når sikkerhed eller operationel integritet er bekymring. For eksempel, hvis du udvikler en software-app, der er designet til at blive brugt i en organisations computernetværk, kan det give anledning til bekymring i begge disse områder. Inden du tillader dit produkt at oprette forbindelse til netværket, skal organisationen først bestemme, at der ikke er nogen fejl i dit produkt, der kan kompromittere netværksdata. Det skal også bestemme, at produktet fungerer korrekt og ikke vil forårsage problemer med andre apps eller udstyr eller forårsage unødvendige tekniske supportproblemer.

Ansøgning om en ATO

Hvis en organisation kræver, at du får en ATO, inden dit produkt kan bruges der, skal du kontakte det relevante certificeringsorgan inden for denne organisation. Vær forberedt på at tilbyde en prøve af dit produkt, så det kan testes. I tilfælde af regeringsafdelinger bør du også forvente at gå gennem sikkerhedsscreening. Mængden af ​​tid, som vetting-processen tager, varierer meget. For en organisation som Department of Defense kan processen tage flere år.

Regering ATO'er

Den føderale lov om informationssikkerhedsstyring kræver, at føderale statslige agenturer har et system til at vurdere og overvåge sikkerhedsrisici ved produkter. Disse kan implementeres af hver afdeling uafhængigt, såsom Department of Defense Information System Agency, eller gennem interdepartementale organer som Federal Risk and Authorization Management Program, som certificerer skybaserede produkter og tjenester til flere regeringsafdelinger. Det certificerende organ for hvert agentur varierer. Når du har identificeret et agentur, der passer godt til dit produkt, skal du kontakte det certificerende organ.

Typer af ATO-status

Hvis du ansøger om en ATO, får du muligvis en af ​​tre status. Hvis dit produkt får en ATO, kan produktet bruges i organisationen. ATO'er tildeles normalt i en bestemt periode, f.eks. Tre år, og derefter kan produktet muligvis vurderes igen. En afvisning af tilladelse til at betjene betyder, at produktet ikke må bruges i organisationens miljø. En midlertidig tilladelse til drift kan udstedes i en kort periode eller under begrænsede betingelser, indtil den er godkendt eller afvist.