政策动态：FedRAMP云授权改革与数据主权外交

本周政策领域传来多项重要更新，FedRAMP完成现代化改革的关键步骤，政府也在加强云安全合规要求。同时，美国外交层面开始积极应对全球数据主权化趋势。

主要新闻

FedRAMP发布了最终拟议变更，完成根据《FedRAMP授权法案》和OMB备忘录M-24-15进行的计划现代化改革。这些变更代表了近一年规划、测试和社区输入的结晶，标志着重塑FedRAMP法律地位的重要里程碑。

Source: Realizing the FedRAMP Authorization Act

美国网络安全和基础设施安全局（CISA）宣布举办公众听证会，就《2022年网络事件报告关键基础设施法》（CIRCIA）的拟议规则收集利益相关方意见。该法案要求关键基础设施运营商报告重大网络事件，对云服务商的安全合规提出更高要求。

Source: CISA Announces Town Halls to Gather Input on CIRCIA Proposed Rule

2026财年《国防授权法》（NDAA）包含多项云计算条款，涉及国防部云能力现代化的具体要求。这些条款反映了政府对云安全的持续关注，以及对供应商合规性的更高期待。

Source: Cloud Computing Provisions in the FY 2026 NDAA

美国政府已指示外交人员抵制全球数据主权化趋势。这一政策转向表明，美国正从外交层面应对各国加强数据本地化存储和跨境传输限制的做法，维护数据自由流动原则。

Source: US orders diplomats to push back on data sovereignty

FedRAMP改革是联邦云安全现代化的核心步骤。通过《授权法案》赋予的法律地位，FedRAMP将从自愿性认证转变为法定要求，这将对云服务商产生深远影响。改革后的框架预计将更加注重自动化评估和持续监控，降低合规成本的同时提高安全标准。

CIRCIA的实施将对关键基础设施行业产生重大影响。报告要求不仅适用于直接运营关键基础设施的实体，也将覆盖提供相关服务的云服务商。这意味着SaaS供应商需要建立完善的事件响应和报告机制。

美国对数据主权的外交反击反映了一个更深层的趋势——数字经济的全球规则正在重塑。随着各国加强数据本地化要求，跨境数据流动面临越来越大的挑战，科技企业需要在合规和运营效率之间寻找平衡。

政策层面正在经历深刻变化，联邦云安全的法律框架日趋完善。对于云服务商而言，合规已从竞争优势转变为市场准入的必备条件。展望未来，我们预期看到更多自动化合规工具的出现，以及政府在云安全评估中更加依赖持续监控而非一次性认证。