StateRAMP – GovRAMP-autorisasjon og 3PAO-revisjonstjenester | Hurtigsamsvar for skyleverandører. Ring +1 (888) 896-7580 i dag.

StateRAMP, fungerer som GovRAMP siden omdøpingen i februar 2025, er en ideell medlemsorganisasjon i henhold til 501(c)(6) etablert i 2021 for å standardisere og effektivisere vurdering, autorisasjon og kontinuerlig overvåking av cybersikkerhetstilbud (CSO-er) for statlige, lokale, stamme- og utdanningsmyndigheter (SLED) i USA. Modellert etter den føderale FedRAMP programmet imøtekommer de unike behovene til subnasjonale myndigheter ved å tilby et «bekreft én gang, betjen mange»-rammeverk som reduserer duplisering i sikkerhetsevalueringer, senker kostnadene for skytjenesteleverandører (CSP-er) og muliggjør raskere og sikrere skyadopsjon for offentlige enheter som håndterer sensitive data som PII, økonomiske poster og kritisk infrastrukturinformasjon.

Programmet fremmer beste praksis innen cybersikkerhet gjennom policyutvikling, utdanning og samarbeid mellom myndigheter, CSP-er og tredjeparts vurderingsorganisasjoner (3 PAOer). Det er ikke tilknyttet eller godkjent av FedRAMP eller den amerikanske føderale regjeringen, men den samsvarer tett med føderale standarder som NIST SP 800-53 Rev. 5 for å sikre interoperabilitet der det er mulig. Per desember 2025 har GovRAMP fått fotfeste, med over 23 stater som pålegger eller anerkjenner det.

Formål

  • For regjeringerForenkler anskaffelser ved å tilby en pålitelig, gjenbrukbar validering av CSP-sikkerhetstilstander, reduserer "dataspredning" og cyberrisikoer samtidig som ulike statsspesifikke standarder håndteres.
  • For CSP-erGir overførbar samsvarsinformasjon, noe som minimerer tiden, kostnadene og kompleksiteten ved å oppfylle fragmenterte SLED-krav.
  • Alt i altForbedrer offentlig sektors cyberrobusthet midt i økende trusler, og fremmer tillit mellom private leverandører og offentlige enheter.

StateRAMP oppsto i 2021 som et svar på den føderale FedRAMPs suksess, og tilpasset modellen for SLED-miljøer der etater manglet ressurser for fullstendige uavhengige vurderinger. Det startet med et fokus på standardisering på statsnivå og har siden utvidet seg til å omfatte stamme- og utdanningsinstitusjoner. Omdøpingen i 2025 til GovRAMP gjenspeiler det bredere "helhetsstyrende" oppdraget, som ikke bare omfatter stater, men også lokale, stamme- og høyere utdanningssektorer – uten overlapping med det føderale GovRAMP (et eget føderalt program med høy effekt).

Autorisasjonsnivåer

GovRAMP definerer fire primære konsekvensnivåer basert på NIST FIPS 199 (Lav: begrenset negativ konsekvens; Moderat: alvorlig; Høy: alvorlig/katastrofal), med kontroller fra NIST SP 800-53 Rev. 5 pluss GovRAMP-spesifikke overlegg. Autorisasjoner resulterer i statuser som Klar (egenattestert eller lett revisjon), Provisorisk (P-ATO-ekvivalent), eller autorisert (full ATO med kontinuerlig overvåking).

Effektnivå Grunnleggende kontroller (ca.) Viktige saker Gjenbruk omfang
Lav ~125 NIST 800-53 Lave kontroller Offentlige/lavsensitive data (f.eks. generelle nettsteder, offentlige informasjonsportaler) SLED-enheter over hele landet
Lav+ Forbedret lav (~150 kontroller) Litt forhøyede lavrisikodata (f.eks. grunnleggende administrasjonsverktøy; unikt for GovRAMP) SLED-enheter over hele landet
Moderat ~325 NIST 800-53 Moderate kontroller + overlegg Konfidensielle data (f.eks. personlig identifiserende informasjon, økonomiske/helseopplysninger) SLED-enheter over hele landet
Høyt ~421 NIST 800-53 Høye kontroller + overlegg Høysensitive data (f.eks. kritisk infrastruktur, politimyndigheter) SLED-enheter over hele landet
Kjerne (Introduksjon mai 2025) 60 grunnleggende moderate kontroller (MITRE ATT&CK kartlagt) Validering på inngangsnivå for å utvikle produkter mot full autorisasjon Bred forhåndsgodkjenningstilgang for SLED

Vurderingsprosess

CSP-er gjennomgår uavhengige revisjoner av akkrediterte 3PAO-er som Lasarus-alliansenVeiene inkluderer byråsponsede eller foreløpige autorisasjoner, etterfulgt av kontinuerlig overvåking (f.eks. månedlige sårbarhetsskanninger, kvartalsrapporter).

Lazarus Alliance er en akkreditert StateRAMP/GovRAMP 3PAO. Oppnå autorisasjon 46 % raskere med våre beredskapsvurderinger, revisjoner og Continuum GRC-plattform. Ring +1 (888) 896-7580.

Tidslinje for GovRAMP-autorisasjonsrevisjon: Hva du kan forvente med Lazarus Alliance

GovRAMP (tidligere StateRAMP) er et standardisert rammeverk for å vurdere og autorisere leverandører av skytjenester (CSP-er) til å levere sikre skytjenester til statlige og lokale myndigheter. Det er tett knyttet til FedRAMP, men fokuserer på anskaffelser på statlig nivå, noe som muliggjør raskere godkjenninger gjennom gjensidige autorisasjoner. Som en akkreditert tredjeparts vurderingsorganisasjon (3PAO) av A2LA og GovRAMP PMO, spesialiserer Lazarus Alliance seg på disse revisjonene, og utnytter deres "kritiske sti-metodikk", proaktive filosofi og verktøy som Continuum GRC ITAM-plattformen for å effektivisere prosessen. Denne tilnærmingen reduserer vanligvis tradisjonelle vurderingstidslinjer med 46 %, noe som gjør den totale reisen fra oppstart til Authority to Operate (ATO) mer effektiv.

Den fullstendige GovRAMP-autorisasjonsprosessen strekker seg vanligvis over 12-18 måneder For de fleste CSP-er, avhengig av systemkompleksitet, grunnlinjenivå (moderat eller høyt) og intern beredskap. Lazarus Alliance vektlegger imidlertid tidlig gapanalyse og beredskap for å akselerere dette. Kontinuerlig overvåking etter autorisasjon (ConMon) er nødvendig, som involverer månedlige sårbarhetsskanninger, kvartalsrapporter og årlige revurderinger for å opprettholde status.

Viktige faser og tidslinje

Her er en oversikt over de typiske fasene når man samarbeider med Lazarus Alliance som sin tredje autorisasjonskoordinator. Tidslinjene er basert på deres dokumenterte gjennomsnitt for engasjementer i 2024–2025 og forutsetter en byråsponset ATO-bane (den vanligste ruten). Midlertidige autorisasjonsbaner kan være raskere, men krever JAB-gjennomgang.

Fase Tekniske beskrivelser Typisk varighet Viktige aktiviteter i Lazarus-alliansen
1. Beslutning og partnervalg Vurder om GovRAMP passer dine forretningsbehov; velg en 3PAO og et sponsorbyrå. 1-2 måneder Cybervisors™ gjennomfører innledende konsultasjoner (flere dager med analyse) for å definere systemgrenser, estimere kostnader, tidslinjer og ressursbehov. Signerer kontrakten og utvikler et veikart.
2. Gapanalyse og samsvarsgjennomgang Identifiser avvik fra NIST 800-53 Rev 5-kontroller (tilpasset GovRAMP-grunnlinjen). Gjennomgå retningslinjer, prosedyrer og kontroller med høy verdi. 1-2 måneder Teknisk gjennomgang av sårbarheter, anvendelighet av penetrasjonstesting og kontrollstatus. Bruk ITAM-plattformen for automatisert bevisinnsamling for å raskt basere organisasjonen din.
3. Beredskapsvurdering Simuler hele revisjonen for å bekrefte at kontrollene er utformet og implementert effektivt. Utarbeider en beredskapsvurderingsrapport (RAR). 2-3 måneder Fullstendig gjennomgang av kontroller; adresser handlingsplaner og milepæler. Lazarus' metodikk reduserer tiden ved å fokusere på kritiske stier, noe som sikrer rask progresjon til formell revisjon.
4. Fullstendig 3PAO-vurdering Uavhengig sikkerhetsvurdering, inkludert intervjuer, testing og dokumentasjonsgjennomgang. Genererer sikkerhetsvurderingsrapport (SAR) og støttende artefakter (f.eks. SSP - Systemsikkerhetsplan). 3-6 måneder Revisjoner på stedet/eksterne med ITAM-tilgang døgnet rundt for effektivt samarbeid. Bekreft samsvar på tvers av SaaS-, PaaS- eller IaaS-tilbud; inkluderer sårbarhetsskanninger og penntesting.
5. Gjennomgang av autorisasjonspakke og ATO Send pakken til sponsorbyrået og GovRAMP Marketplace for gjennomgang. Byrået utsteder ATO. 2-3 måneder Lazarus støtter pakkeforberedelse og utbedring av funn. Raskere med 46 % tidsreduksjon via proaktive verktøy.
6. Kontinuerlig overvåking (etter ATO) Løpende samsvar for å beholde autorisasjonen; årlig revurdering kreves. Pågående (starter umiddelbart) Månedlige skanninger, kvartalsrapportering og årlige revisjoner via ITAM. Bidrar til å opprettholde revisjonsspor uten problemer i siste liten.

Hva du kan forvente under prosessen

  • Forberedelse og samarbeidForvent stor involvering fra dine interne team (f.eks. IT, sikkerhet, compliance) for bevisinnsamling. Lazarus Alliances ITAM SaaS automatiserer mye av dette, noe som gir sanntids åpenhet og reduserer manuelt arbeid. Oppstartsmøter fokuserer på å samkjøre autorisasjonsgrenser og kontroller med høy verdi.
  • Revisjon og testingVurderingene omfatter dokumentgjennomganger, kontrolltesting, intervjuer og skanninger. Lazarus' «proaktive cybersikkerhetstilnærming» betyr at de er praktiske og bidrar til å løse problemer i sanntid for å unngå forsinkelser.
  • Utfordringer og tiltakVanlige hindringer inkluderer forsinkelser i POA&M eller ufullstendig dokumentasjon – Lazarus reduserer disse med maler, A.ITAMBot for automatisering og deres ekspertise innen hybride skymiljøer. Totale kostnader og interne krav er skissert på forhånd av Cybervisors™.
  • ResultaterVed ATO vises tjenesteoppføringen din på GovRAMP Marketplace, noe som låser opp statlige kontrakter. Sertifiseringer er gyldige i 1 år, med kontinuerlig overvåking som sikrer fornyelser.

For skreddersydd rådgivning, kontakt Lazarus Alliance på +1 (888) 896-7580.

Lazarus Alliance er en akkreditert StateRAMP/GovRAMP 3PAO. Oppnå autorisasjon 46 % raskere med våre beredskapsvurderinger, revisjoner og Continuum GRC-plattform. Ring +1 (888) 896-7580.

Ofte Stilte Spørsmål

StateRAMP er modellert etter FedRAMP, men skreddersydd for statlige og lokale myndigheter. Mens FedRAMP er obligatorisk for føderale kontrakter, er StateRAMP i økende grad påkrevd eller foretrukket av stater (f.eks. Texas, Nord-Carolina, Ohio, Colorado, Illinois). StateRAMP tilbyr tre påvirkningsnivåer (Lav, Moderat, Høy) og aksepterer FedRAMP Moderat eller høyere som gjensidighet.

  • StateRAMP Ready (forhåndsvurdering)
  • StateRAMP pågår (under behandling)
  • StateRAMP Autorisert – Lav
  • StateRAMP Autorisert – Moderat (vanligst)
  • StateRAMP-autorisasjon – høy. De fleste statlige etater krever minst moderat autorisasjon for systemer som håndterer sensitive eller personopplysninger.

    Som en akkreditert 3PAO tilbyr Lazarus Alliance komplette StateRAMP-GovRAMP-tjenester for offentlige, private, fellesskaps- og hybride skytjenester (SaaS, PaaS, IaaS). Dette inkluderer beredskapsvurderinger, offisielle 3PAO-revisjoner, forretningsmessige begrunnelsesgjennomganger, analyser av samsvarshull og utvikling av veikart ved hjelp av StateRAMP-GovRAMP Cybervisors™-teamet. De utnytter Continuum GRCs ITAM plattform for effektiv døgnkonformitetshåndtering, som hjelper CSP-er med å oppnå raskere autorisasjoner og vinne SLED-forretninger.

    Prosessen starter med en gjennomgang av forretningsmessig begrunnelse for å evaluere samsvar, kostnader, tidslinjer og nødvendige forbedringer. Deretter identifiserer en samsvarsgjennomgang hull, verifiserer grenser og vurderer kontroller. Dette fører til en beredskapsvurdering for rask ATO-progresjon, etterfulgt av den fullstendige 3PAO-vurderingen for byråsponset eller foreløpig autorisasjon. Kontinuerlig overvåking (f.eks. månedlige skanninger, kvartalsrapporter) sikrer kontinuerlig samsvar. Lazarus Alliances kritiske sti-metodikk reduserer vurderingstiden med 46 % sammenlignet med tradisjonelle tilnærminger.

    For CSP-er tilbyr StateRAMP overførbar legitimasjon som reduserer samsvarskostnader og tid ved å minimere duplisert innsats på tvers av fragmenterte SLED-krav. Myndigheter får forenklet anskaffelse, redusert cyberrisiko og gjenbrukbare sikkerhetsvalideringer for sensitive data. Samlet sett fremmer det tillit, akselererer skyadopsjon og forbedrer robusthet – med Lazarus Alliances proaktive verktøy som forhindrer trusler og unngår ugyldiggjøring av sertifiseringer eller prisøkninger.

    Lazarus Alliances Cybervisors™ gjennomfører en gratis innledende Business Justification Review for å vurdere om skytjenesten din er i samsvar med StateRAMPs mål. Dette inkluderer evaluering av programkostnader, tidslinjer, interne ressursbehov, sikkerhetsforbedringer og eventuelle arkitekturendringer. Det er ideelt for CSP-er som retter seg mot SLED-markeder som håndterer data med lav til høy innvirkning, spesielt hvis du allerede jobber med eller har FedRAMP samsvar for interoperabilitet.

    Kontakt Lazarus Alliance på +1 (888) 896-7580 for å avtale en konsultasjon eller en gjennomgang av forretningsjustifiseringen. Teamet deres vil veilede deg gjennom forberedelses-, beredskaps- og vurderingsfasene, og sikre en strømlinjeformet vei til autorisasjon. Som en partnerfokusert 3PAO prioriterer de kostnadseffektivitet og proaktiv samsvar for å hjelpe deg med å sikre SLED-kontrakter raskt.

    Lazarus Alliance er en akkreditert StateRAMP/GovRAMP 3PAO. Oppnå autorisasjon 46 % raskere med våre beredskapsvurderinger, revisjoner og Continuum GRC-plattform. Ring +1 (888) 896-7580.

    Lazarus Alliance, som en StateRAMP-GovRAMP 3PAO, tilbyr revisjons-, rådgivnings- og vurderingstjenester for StateRAMP, GovRAMP, FedRAMP, FISMA og NIST for offentlige, private, fellesskaps- og hybride skytjenestetilbud, inkludert programvare som en tjeneste (SaaS), plattform som en tjeneste (PaaS) og infrastruktur som en tjeneste (IaaS).

    Hos Lazarus Alliance er proaktivitet ikke bare vårt varemerke – det er vårt løfte om å beskytte fremtiden din før trusler i det hele tatt oppstår. Michael Peters, administrerende direktør og grunnlegger

    Utnytte Kontinuum GRC IT-revisjonsmaskin, Sikkerhet Trifecta metodikk, og Politikk maskin, tilbyr Lazarus Alliance internasjonale standarder som er anerkjent som "Beste praksis«for å utvikle sikkerhetsstandarder og kontroller for organisasjoner som støtter sertifiseringer og vurderinger av samsvarsrevisjoner basert på det føderale risiko- og autorisasjonsstyringsprogrammet.»

    Kvalifikasjoner du kan stole på

    American Association for Laboratory Accreditation (A2LA) ISO/IEC 17020 akkreditert sertifiseringsnummer 3822.01

    I alle jurisdiksjoner og bransjer. Vi er din globale partner innen samsvar, risiko, policy, sikkerhetstesting, finansiell revisjon og Cybervisor®-tjenester.

    Snakk med en av våre eksperter

    Våre Lazarus Alliance Cybervisor™-team har erfaring med å utføre tusenvis av vurderinger for organisasjoner som tilbyr tjenester til kunder over hele verden.

    Vi er her for å svare på alle spørsmål du måtte ha.

    Last ned vår firmabrosjyre.

    Lazarus Alliance er en akkreditert StateRAMP/GovRAMP 3PAO. Oppnå autorisasjon 46 % raskere med våre beredskapsvurderinger, revisjoner og Continuum GRC-plattform. Ring +1 (888) 896-7580.

    Fordeler med StateRAMP-autorisasjon

    For leverandører av skytjenester (CSP-er)

    1. Enkeltgodkjenning åpner dusinvis av statlige og lokale markeder: Over 23 stater (og det øker) krever nå eller foretrekker sterkt StateRAMP-autorisasjon for skyanskaffelser. Én autorisasjon kan tilfredsstille krav i California, Texas, New York, Illinois, Nord-Carolina, Virginia og mange andre – uten å gjenta fullstendige vurderinger for hver jurisdiksjon.
    2. Dramatisk reduksjon i salgsfriksjon og innkjøpssyklustid: StateRAMP-listede tilbud vises på den offentlige autoriserte produktlisten (APL). SLED-byråer kan omgå lange individuelle sikkerhetsgjennomganger og utstede kontrakter eller ATO-er på uker i stedet for måneder eller år.
    3. Konkurransefortrinn i anbudsinnbydelse: Mange anbudsinnbydelser gir nå ekstra evalueringspoeng eller gjør StateRAMP til et obligatorisk krav. Autoriserte leverandører scorer rutinemessig bedre enn ikke-autoriserte konkurrenter.
    4. Lavere totale samsvarskostnader på lang sikt: «Vurder én gang, bruk mange ganger» eliminerer behovet for dusinvis av separate statsspesifikke revisjoner, spørreskjemaer og tilpassede sikkerhetspakker.
    5. Utnytter eksisterende FedRAMP Arbeid: Hvis du allerede har FedRAMP Moderate eller High, er avstanden til StateRAMP Moderate eller High relativt liten, noe som gir deg en rask og kostnadseffektiv andre sertifisering som åpner for hele SLED-markedet.
    6. Fremtidssikring: Adopsjonen akselererer raskt. Tidlige aktører låser seg til foretrukket leverandørstatus før kravet blir en del av tabellen (ligner på det som skjedde med FedRAMP i det føderale rommet).

    For statlige, lokale, stamme- og utdanningsbyråer (SLED)

    1. Raskere skyadopsjon med lavere risiko: Stol på forhåndsgodkjente, kontinuerlig overvåkede tilbud i stedet for å utføre ressurskrevende individuelle risikovurderinger.
    2. Høyere sikkerhetsposisjon til lavere kostnad: Standardiserte, tredjepartsvaliderte kontroller (NIST 800-53 Rev. 5) med kontinuerlig overvåking gir bedre beskyttelse enn mange etater kunne oppnådd på egenhånd.
    3. Konsistens på tvers av jurisdiksjoner: Muliggjør sikker datadeling og samarbeid mellom stater, fylker, byer og utdanningsinstitusjoner ved hjelp av de samme pålitelige leverandørene.
    4. Oppfyller lovkrav og revisjonskrav: Tilfredsstiller statlige lover, IT-sjefers retningslinjer og revisors krav til dokumentert due diligence ved bruk av skytjenester.

    Vi ønsker å være din foretrukne partner og StateRAMP GovRAMP 3PAO samsvarsvurderingsvurderer! For ytterligere informasjon, vennligst ring +1 (888) 896-7580.