Programme d'évaluation et de gestion des risques du Texas (TX-RAMP)
TX-RAMP a été établi par le Département des Ressources Informatiques du Texas pour fournir une approche standardisée pour l'évaluation de la sécurité, l'autorisation et la surveillance continue des services de cloud computing qui traitent, stockent ou transmettent les données d'une agence d'État.
Demander une démo des cadres personnalisés de SecureframeDéfinition et objectif
Le principal objectif de TX-RAMP est d'établir des mesures de sécurité pour les produits et services cloud qui traitent, stockent ou transmettent des données aux agences d'État du Texas afin de protéger les informations et les ressources informationnelles possédées par ces agences.
Organe directeur
TX-RAMP est gouverné par le Département des Ressources Informatiques du Texas (DIR). Le DIR est responsable de la supervision de la mise en œuvre du programme, de garantir la conformité et de mettre à jour les réglementations si nécessaire.
Dernière mise à jour
La dernière version de TX-RAMP, TX-RAMP Manuel v3.0, a été mise à jour pour la dernière fois en octobre 2023. Elle sera effective à partir du 1er décembre 2023. D'ici là, TX-RAMP Manuel v2.0 reste en vigueur.
Applicable à
TX-RAMP s'applique aux services de cloud computing, tels que définis par la Section 2054.0593(a) du Code Gouvernemental du Texas.
Les agences d'État, les établissements d'enseignement supérieur et les collèges communautaires publics tels que définis par le Code Gouvernemental du Texas 2054.003(13) ne doivent entrer ou renouveler des contrats pour recevoir des services de cloud computing que s'ils respectent les exigences de TX-RAMP.
Contrôles et exigences
TX-RAMP décrit les exigences spécifiques auxquelles les fournisseurs de cloud doivent se conformer pour recevoir et maintenir une certification pour un service de cloud computing. Certaines des exigences clés couvrent :
- Rapports
- Classification, sécurité et conservation des données
- Formation en cybersécurité
- Développement et maintenance du plan de sécurité de l'information
Les contrôles auxquels les fournisseurs de cloud doivent se conformer dépendent du niveau de certification TX-RAMP qu'ils doivent respecter. S'ils doivent respecter le niveau 1 de TX-RAMP, les contrôles utilisent la base de référence NIST 800-53 Low. Il s'agit d'un ensemble de contrôles de sécurité minimum pour les systèmes d'information en fonction de leur niveau d'impact. S'ils doivent respecter le niveau 2 de TX-RAMP, les contrôles utilisent la base de référence NIST 800-53 Moderate. Vous pouvez en savoir plus sur NIST 800-53 et ses bases de référence des contrôles de sécurité dans notre Guide Ultime des Cadres Fédéraux.
Pour les agences d'État, TX-RAMP établit également des exigences légales pour la passation de contrats pour des services cloud avec la certification appropriée.
Veuillez vous référer à la législation officielle fournie par le Département de Gestion des Urgences du Texas pour une liste détaillée des contrôles et des exigences.
Type d'audit, fréquence et durée
Pour obtenir la certification TX-RAMP, les offres cloud doivent être évaluées par le DIR pour garantir la conformité avec les exigences du programme.
La fréquence varie en fonction du niveau de certification. Il existe trois niveaux de certification TX-RAMP :
- Niveau 1 : pour les informations publiques/non confidentielles ou les systèmes à faible impact
- Niveau 2 : pour les données confidentielles/réglementées dans les systèmes à impact modéré ou élevé
- Provisoire : permet à une agence d'État de contracter pour l'utilisation d'un produit pendant jusqu'à 18 mois sans une certification complète de Niveau 1 ou 2. La certification complète ou équivalente devra être obtenue pendant la période provisoire.
Les certifications TX-RAMP Niveau 1 et Niveau 2 sont valables pendant trois ans tant que le service cloud respecte les exigences du programme, donc ces évaluations devront être effectuées au moins tous les trois ans pour que la certification soit renouvelée.
La durée des audits varie en fonction de plusieurs facteurs tels que la profondeur des
réponses et de la documentation, la rapidité des réponses de clarification, le niveau d'évaluation effectué et le volume des demandes. Le DIR vise à réaliser une évaluation et à émettre une recommandation dans un délai de 4 semaines.