Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Veilige bestandsdeling > Een uitgebreid overzicht voor het begrijpen van Actieplan en mijlpalen (POA&M’s)
Een uitgebreid overzicht voor het begrijpen van Actieplan en mijlpalen (POA&M's)

Een uitgebreid overzicht voor het begrijpen van Actieplan en mijlpalen (POA&M’s)

by Robert Dougherty updated juli 7, 2024 Veilige bestandsdeling
Reading Time: 10 minutes

Actieplan en mijlpalen (POA&Ms: Plan of Action and Milestones) zijn een cruciaal onderdeel van het behalen en behouden van naleving van regelgeving. De regelgeving rondom compliance wordt steeds strenger, waardoor organisaties zich bewust moeten zijn van het belang van POA&Ms voor effectief compliancebeheer. Met de komst van nieuwe technologieën en de groeiende dreiging van cyberrisico’s, ontwikkelen compliance-raamwerken zich mee en is de noodzaak voor POA&Ms groter dan ooit.

Wat is een POA&M en waarom is het belangrijk?

Een POA&M is verplicht gesteld door de Federal Information Systems Management Act (FISMA) als een formeel correctief actieplan voor het volgen en beheren van specifieke zwakke plekken binnen de informatiesystemen van een organisatie. Deze zwakke plekken kunnen kwetsbaarheden zijn in software, hardware of operationele processen. De POA&M is een sterk gestructureerd, versie-gecontroleerd en gevoelig document, dat primair wordt gebruikt voor het beheer van cyberrisico’s. Het is bedoeld om te worden gebruikt in combinatie met een beveiligingsraamwerk zoals het NIST Risk Management Framework of het Cybersecurity Maturity Model Certification (CMMC). Het Federal Risk and Authorization Management Program (FedRAMP), dat ervoor zorgt dat cloud service providers (CSP’s) aan specifieke beveiligings- en compliance-standaarden voldoen, vereist ook dat CSP’s POA&Ms bijhouden om hun compliance-voortgang te volgen en te beheren. Het opstellen en indienen van een POA&M is noodzakelijk voor organisaties om niet alleen risico’s te identificeren en te beperken, maar ook om te blijven voldoen aan wettelijke vereisten. Het niet actueel en volledig houden van een POA&M kan leiden tot intrekking van de autorisatie om een informatiesysteem te gebruiken.

POA&Ms zijn belangrijk voor het behalen van naleving van regelgeving omdat ze een gestructureerde aanpak bieden om tekortkomingen of niet-nalevingskwesties die tijdens audits of beoordelingen zijn vastgesteld aan te pakken. POA&Ms beschrijven een actieplan met de stappen die nodig zijn om tekortkomingen te corrigeren en risico’s te beperken, evenals bijbehorende mijlpalen met tijdschema’s voor afronding. Dit zorgt ervoor dat corrigerende maatregelen tijdig worden genomen, waardoor het risico op niet-naleving en mogelijke sancties wordt verminderd. Bovendien eisen toezichthouders vaak dat organisaties POA&Ms indienen als onderdeel van hun compliance-rapportage, waarmee zij hun betrokkenheid tonen bij het aanpakken van vastgestelde zwakke plekken en het continu verbeteren van hun compliance-status.

POA&M vs POAM: Terminologie uitgelegd

In de cybersecurity- en compliance-sector worden de termen “POA&M” en “POAM” vaak door elkaar gebruikt, maar er is een formeel onderscheid. Beide afkortingen verwijzen naar een Plan of Action and Milestones, een document dat taken beschrijft om beveiligingszwaktes te corrigeren. De term “POA&M”, met het ampersand-teken, is de officieel erkende en geprefereerde afkorting die wordt gebruikt door Amerikaanse federale instanties, waaronder het National Institute of Standards and Technology (NIST). Dit format is vastgelegd in basisdocumenten zoals FISMA. De variant “POAM” is een veelgebruikte, informele vereenvoudiging in gesprekken en interne documenten voor de leesbaarheid. Vanuit compliance-oogpunt is er geen functioneel verschil; beide termen staan voor hetzelfde correctieve actieplan. Een veelvoorkomend misverstand is echter dat ze naar verschillende documenten of niveaus van formaliteit zouden verwijzen. Voor alle officiële inzendingen, beleidsdocumenten en communicatie met federale instanties of beoordelaars is het cruciaal om de formele “POA&M” te gebruiken om consistentie te waarborgen en aan overheidsstandaarden te voldoen.

Wie is verantwoordelijk voor het invullen van POA&Ms?

Effectieve POA&Ms helpen bedrijven potentiële risico’s te identificeren en passende oplossingen te ontwikkelen. Het zijn echter niet alleen de compliance officers die betrokken moeten zijn bij het invullen van POA&Ms. Er zijn diverse partijen en belanghebbenden die op de hoogte moeten zijn van POA&Ms wanneer een organisatie werkt aan het behalen van naleving van regelgeving, waaronder:

  1. Eigenaren en managers die verantwoordelijk zijn voor het waarborgen van naleving van relevante regelgeving en standaarden
  2. Compliance officers en auditors die verantwoordelijk zijn voor het waarborgen dat de organisatie aan alle wettelijke vereisten voldoet
  3. IT-professionals die verantwoordelijk zijn voor het implementeren en onderhouden van de technische controles die nodig zijn voor compliance
  4. Externe auditors en toezichthouders die de compliance-inspanningen van de organisatie kunnen beoordelen en bewijs van POA&Ms kunnen eisen
  5. Investeerders en aandeelhouders die zich mogelijk zorgen maken over de compliance-status van de organisatie en hoe dit het risicoprofiel beïnvloedt of kan beïnvloeden
  6. Klanten en leveranciers die mogelijk bewijs van compliance eisen als onderdeel van hun eigen risicobeheer
  7. Juridische en risicomanagementprofessionals die de compliance-inspanningen van de organisatie moeten beoordelen en adviseren
  8. HR-professionals die ervoor moeten zorgen dat medewerkers getraind zijn en op de hoogte zijn van POA&Ms als onderdeel van compliance-training
  9. Projectmanagers en teams die verantwoordelijk zijn voor het uitvoeren van specifieke compliance-gerelateerde projecten en die de voortgang ten opzichte van POA&Ms moeten volgen
  10. Senior leiderschap dat uiteindelijk verantwoordelijk is voor het waarborgen dat de organisatie voldoet aan regelgeving en standaarden

Hoe verschilt een POA&M van DFARS SSP?

Zowel een POA&M als het Defense Federal Acquisition Regulation Supplement (DFARS) System Security Plan (SSP) zijn belangrijke onderdelen van de cybersecurity-status van een organisatie. Er zijn echter duidelijke verschillen tussen beide.

Een POA&M is een herstelplan dat de stappen beschrijft die nodig zijn om vastgestelde risico’s en kwetsbaarheden in een informatiesysteem aan te pakken en te herstellen. Het is vereist door federale instanties als onderdeel van hun risicobeheerproces.

DFARS SSP daarentegen is een breder en meer omvattend plan dat het beleid en de procedures beschrijft voor het beschermen van gevoelige informatie en systemen in overeenstemming met DFARS-vereisten. Het is een document dat de aanpak van een organisatie voor informatiebeveiliging uiteenzet en is vereist voor alle bedrijven die zaken doen met het Department of Defense. DFARS SSP beschrijft het beleid, de procedures en controles die zijn geïmplementeerd om gevoelige informatie en systemen te beschermen tegen ongeautoriseerde toegang, gebruik, wijziging en vernietiging.

Hoewel POA&Ms en SSP’s cruciaal zijn voor het behalen van naleving van regelgeving, zijn ze vaak niet voldoende. Om bijvoorbeeld CMMC 2.0-naleving te behalen, moeten organisaties worden beoordeeld door een gecertificeerde CMMC Certified Third Party Assessor Organization (C3PAO). CMMC 2.0 Level 1 vereist zelfattestatie en hiervoor volstaat een POA&M alleen. Voor CMMC 2.0 Level 2 en CMMC 2.0 Level 3 moet een C3PAO betrokken zijn, naast het gebruik van een POA&M en SSP.

POA&M-vereisten binnen CMMC 2.0

Onder het Cybersecurity Maturity Model Certification (CMMC) 2.0 is een actieplan en mijlpalen (POA&M) toegestaan, maar met strikte regels, met name voor Level 2-beoordelingen. Defensie-aannemers mogen niet zomaar elk controlepunt op een POA&M plaatsen. Bepaalde waardevolle controles, vaak die 5 punten waard zijn volgens de NIST 800-171-scoremethodiek, mogen niet op een POA&M staan op het moment van de C3PAO-beoordeling. Volgens DFARS 252.204-7012 moeten aannemers de beveiligingsvereisten in NIST 800-171 implementeren, en de POA&M documenteert hoe zij eventuele tekortkomingen zullen corrigeren. Voor een CMMC-beoordeling moeten alle POA&M-items binnen een strikte termijn van 180 dagen na de initiële beoordeling zijn opgelost. Het niet sluiten van deze items leidt tot een mislukte beoordeling. Voor defensie-aannemers betekent dit dat zij prioriteit moeten geven aan de implementatie van alle vereiste controles, vooral die welke niet-onderhandelbaar zijn voor een voldoende score. Bij de voorbereiding op een C3PAO-beoordeling is het essentieel om gedetailleerd bewijs te behouden voor elke geïmplementeerde controle en een robuust, realistisch en verdedigbaar herstelplan te bieden voor items die op de POA&M zijn geplaatst.

Onderdelen van Plan of Action and Milestones

Een POA&M bevat doorgaans een reeks actiepunten met specifieke deadlines, verantwoordelijke personen en mijlpalen om de voortgang richting een specifiek resultaat te volgen. De belangrijkste onderdelen van een POA&M zijn de doelstellingen, doelen, taken, mijlpalen, meetwaarden en middelen.

De doelstellingen van een POA&M zijn de resultaten die een organisatie binnen een bepaalde periode wil bereiken. De doelstellingen moeten specifiek, meetbaar, haalbaar, relevant en tijdgebonden zijn. Deze vereisten zijn essentieel om ervoor te zorgen dat doelstellingen realistisch en haalbaar zijn binnen de toegewezen periode. POA&M-doelen daarentegen definiëren de brede targets die een organisatie wil bereiken. Doelen geven richting aan de doelstellingen en sturen het besluitvormingsproces naar het uiteindelijke resultaat.

POA&M-taken zijn specifieke activiteiten die nodig zijn om de doelen en doelstellingen te bereiken. De taken moeten worden geïdentificeerd op basis van prioriteit, en de tijdlijnen voor elke taak moeten worden vastgesteld. Dit helpt om een gedetailleerd implementatieplan te maken dat ervoor zorgt dat de organisatie de gewenste resultaten behaalt.

POA&M-mijlpalen zijn essentiële onderdelen van POA&Ms, omdat ze de mogelijkheid bieden om de voortgang richting het algemene doel te meten. Mijlpalen zijn belangrijke gebeurtenissen of prestaties die een verandering in richting naar het doel aangeven.

Binnen de POA&M-mijlpalen zijn er POA&M-items. Dit is een lijst van taken en mijlpalen die moeten worden voltooid om een specifiek doel of een specifieke doelstelling te bereiken. Deze actiepunten kunnen activiteiten omvatten zoals het afronden van een trainingsprogramma, het implementeren van nieuwe software of het oplossen van beveiligingskwetsbaarheden. POA&M-items worden gebruikt in projectmanagement om ervoor te zorgen dat alle noodzakelijke taken worden geïdentificeerd, toegewezen en gevolgd om de voortgang richting het projectdoel te waarborgen. Een lijst van POA&M-items omvat:

POA&M-identifier Een unieke identifier die aan elk POA&M-item wordt toegekend voor volgdoeleinden
Naam van de controle De specifieke controle of actie die moet worden geïmplementeerd om de zwakke plek of tekortkoming aan te pakken
Naam van de zwakke plek/tekortkoming Een beknopte omschrijving van de zwakke plek of tekortkoming die moet worden aangepakt
Beschrijving van de zwakke plek/tekortkoming Een meer gedetailleerde uitleg van de zwakke plek of tekortkoming, inclusief de impact op de organisatie
Hoe de zwakke plek is geïdentificeerd Een korte beschrijving van het proces of de methode waarmee de zwakke plek of tekortkoming is vastgesteld
Asset-identifier De identifier van het asset of systeem waarop de zwakke plek of tekortkoming betrekking heeft
Datum van identificatie De datum waarop de zwakke plek of tekortkoming voor het eerst is vastgesteld
Benodigde middelen om het probleem aan te pakken Een schatting van de middelen (tijd, geld, personeel, enz.) die nodig zijn om de zwakke plek of tekortkoming aan te pakken
Geplande mijlpalen Specifieke mijlpalen of targets voor het aanpakken van de zwakke plek of tekortkoming
Geplande oplossingsdatum De datum waarop de zwakke plek of tekortkoming volledig moet zijn opgelost
Wijzigingen in mijlpalen Eventuele wijzigingen in de geplande mijlpalen of targets
Afhankelijkheden van leveranciers Eventuele afhankelijkheden van leveranciers of externe partijen die de oplossing van de zwakke plek of tekortkoming kunnen beïnvloeden
Risicobeoordeling Een kwantitatieve beoordeling van het risiconiveau dat de zwakke plek of tekortkoming met zich meebrengt
Aangepaste risicobeoordeling Eventuele aanpassingen aan de risicobeoordeling op basis van nieuwe informatie of gewijzigde omstandigheden
Beoordeling van operationele vereisten Een beoordeling of het aanpakken van de zwakke plek of tekortkoming noodzakelijk is om aan de operationele vereiste van de organisatie te voldoen
Ondersteunende documenten Eventuele documenten of bewijzen die de identificatie of oplossing van de zwakke plek of tekortkoming ondersteunen

Beste practices voor het ontwikkelen van een effectieve POA&M

Het ontwikkelen van een effectieve POA&M vereist zorgvuldige planning en uitvoering. Organisaties moeten hun strategische doelstellingen en prioriteiten identificeren en deze als leidraad gebruiken voor het plan. De POA&M moet aansluiten bij de missie en visie van de organisatie. Het is ook belangrijk om realistische en haalbare doelen en doelstellingen te stellen. De POA&M moet in samenwerking met alle belanghebbenden worden ontwikkeld, waaronder management, medewerkers en partners.

Strategieën voor het monitoren van voortgang

Het succes van een POA&M hangt grotendeels af van het consequent monitoren van de voortgang. Organisaties moeten de voortgang op regelmatige tijdstippen volgen en meten en het plan waar nodig bijstellen. Een dashboard met realtime data en meetwaarden kan inzicht geven in de effectiviteit van het plan. Zorg voor duidelijke communicatie over de geboekte voortgang en de inspanningen die nodig zijn om de gewenste resultaten te behalen. Data-analyse kan worden ingezet om de prestaties van de POA&M te meten en verbeterpunten te identificeren.

Hoe meet je het succes van een Plan of Action and Milestones

Een van de beste manieren om het succes van een POA&M te meten is door de behaalde resultaten te analyseren aan de hand van de vastgestelde key performance indicators (KPI’s). Organisaties moeten data verzamelen en de voortgang regelmatig evalueren. Het analyseren van data ten opzichte van de gestelde KPI’s kan inzicht geven in de effectiviteit van het plan en aanduiden waar verbeteringen nodig zijn. Organisaties moeten ook luisteren naar feedback van medewerkers, klanten en andere belanghebbenden om de effectiviteit van de POA&M te beoordelen.

KPI’s voor het meten van het succes van POA&Ms

KPI’s zijn essentieel voor het meten van het succes van de POA&M. Veelgebruikte KPI’s zijn onder andere financiële meetwaarden zoals ROI, operationele meetwaarden zoals doorlooptijd en kwaliteit, klanttevredenheid en medewerkerstevredenheid. KPI’s moeten specifiek, meetbaar, haalbaar, relevant en tijdgebonden (SMART) zijn.

Stapsgewijze handleiding voor het opstellen van een POA&M

  1. Identificeer en documenteer zwakke plekken: Voer grondige beveiligingsbeoordelingen, kwetsbaarheidsscans en audits uit om alle gaten te identificeren. Dit sluit aan bij de “Assess”-stap van het NIST Risk Management Framework (RMF). Documenteer elke bevinding met een duidelijke omschrijving.
  2. Wijs unieke identifiers toe: Wijs een unieke ID toe aan elke zwakke plek voor consistente opvolging en rapportage. Dit voorkomt verwarring en zorgt ervoor dat elk item van identificatie tot afsluiting kan worden gevolgd.
  3. Bepaal herstelmaatregelen: Definieer voor elke zwakke plek de specifieke, uitvoerbare stappen die nodig zijn voor correctie. Vermijd vage omschrijvingen; geef duidelijk aan wat er moet gebeuren.
  4. Stel mijlpalen en streefdata vast: Verdeel het herstelplan in beheersbare mijlpalen met realistische deadlines. Wijs voor elke zwakke plek een geplande einddatum toe.
  5. Wijs middelen toe en wijs eigenaren aan: Bepaal de benodigde financiering, personele en technologische middelen. Wijs een specifiek persoon of team aan als “eigenaar” van elk item om verantwoordelijkheid te waarborgen.
  6. Review en goedkeuring: Zorg ervoor dat de POA&M wordt beoordeeld en formeel goedgekeurd door het management of de bevoegde functionaris om het plan te valideren en de benodigde middelen toe te wijzen.
  7. Monitoren, volgen en bijwerken: Een POA&M is een levend document. Monitor continu de voortgang ten opzichte van mijlpalen, werk de status van elk item bij en rapporteer aan belanghebbenden. Automatiseringstools en GRC-platforms kunnen deze “Monitor”-fase van het RMF aanzienlijk vereenvoudigen.

Veelvoorkomende uitdagingen bij het ontwikkelen van een Plan of Action and Milestones

Het ontwikkelen van een POA&M kan uitdagend zijn, vooral als de organisatie weinig ervaring heeft met strategische planning. Veelvoorkomende uitdagingen zijn onder meer onduidelijkheid over doelstellingen, gebrekkige communicatie met belanghebbenden, onvoldoende middelen en weerstand tegen verandering. Daarnaast kan het lastig zijn een POA&M te ontwikkelen in een snel veranderende omgeving waar prioriteiten snel verschuiven.

Strategieën om veelvoorkomende uitdagingen te overwinnen

Om deze uitdagingen te overwinnen, moeten organisaties effectief communiceren met belanghebbenden om draagvlak en betrokkenheid te creëren. Het is ook essentieel om voldoende middelen toe te wijzen, waaronder financiering, personeel en technologie, zodat het plan haalbaar is. Organisaties moeten daarnaast flexibel zijn en hun plan aanpassen aan veranderende prioriteiten. Tot slot is het belangrijk om weerstand tegen verandering te managen door belangrijke belanghebbenden te betrekken bij het planningsproces, training en ondersteuning te bieden en de voordelen van de POA&M te laten zien. Door deze uitdagingen te overwinnen, kunnen organisaties een succesvolle en effectieve POA&M ontwikkelen.

Kiteworks helpt DoD-aannemers voldoen aan regelgeving die een Plan of Action and Milestones vereist

Het Kiteworks Private Content Network helpt defensie-aannemers te voldoen aan regelgeving en standaarden voor gegevensbeveiliging die een POA&M vereisen. Door het groeiende aantal regels waaraan defensie-aannemers moeten voldoen, kan compliant blijven een ontmoedigende taak zijn. Kiteworks faciliteert compliance door een geconsolideerd communicatieplatform voor derden te bieden dat voldoet aan de hoogste niveaus van beveiliging en compliance. Met Kiteworks worden alle communicatiekanalen met derden, waaronder e-mail, bestandsoverdracht, beheerde bestandsoverdracht (MFT), secure file transfer protocol (SFTP), webformulieren en meer, geconsolideerd zodat elk gevoelig bestand dat wordt verzonden, ontvangen of gedeeld centraal wordt beheerd, beschermd, gemonitord en gevolgd.

Overheidsaannemers en andere organisaties in sterk gereguleerde sectoren die Kiteworks inzetten, maken gebruik van geavanceerde beveiligingsfuncties om de gevoelige inhoud die zij met vertrouwde derden delen te beveiligen. Dit omvat end-to-end encryptie, toegangscontroles, een hardened virtual appliance en beveiligde inzetopties waarmee eigendom van encryptiesleutels mogelijk is. Daarnaast biedt Kiteworks volledige zichtbaarheid in alle bestandsactiviteiten, inclusief elk gevoelig bestand dat wordt geopend, gedownload, verzonden, ontvangen, geüpload of gedeeld. Deze activiteiten, allemaal zichtbaar op het Kiteworks CISO-dashboard, worden ook gevolgd en gelogd om eDiscovery, juridische verzoeken en naleving van regelgeving te faciliteren. Het platform integreert bovendien met bedrijfsapplicaties, enterprise content management (ECM)-systemen en beveiligingstools. Dit maakt het voor defensie-aannemers eenvoudig om gevoelige informatie veilig te openen en te delen.

Kiteworks is FedRAMP Authorized tot Moderate Level Impact en voldoet aan alle beveiligingsvereisten die zijn opgenomen in NIST 800-171. Bovendien ondersteunt Kiteworks bijna 90% van de CMMC 2.0 Level 2-vereisten direct uit de doos. Deze functies maken Kiteworks een onmisbaar hulpmiddel voor elke defensie-aannemer die compliant wil zijn met deze regelgeving.

Kiteworks ondersteunt daarnaast een breed scala aan andere regelgeving en standaarden, waaronder International Traffic in Arms Regulations (ITAR), de General Data Protection Regulation (GDPR), SOC 2, FISMA, FIPS 140-2 en Export Administration Regulations (EAR). Dit niveau van compliance voldoet aan de strikte cybersecurity-vereisten die het Department of Defense stelt.

Kiteworks is de ideale oplossing voor defensie-aannemers die moeten voldoen aan strikte cybersecurity- en privacyvereisten. Plan vandaag nog een aangepaste demo van Kiteworks om meer te weten te komen over naleving van regelgeving voor DoD-aannemers.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks