政府 ERP 实施：安全许可和合规性

政府 ERP 实施将大规模企业部署的操作复杂性与商业实施所面临的监管约束、政治责任和安全要求结合在一起。实施 ERP 的机构必须在编写一行配置之前了解竞争性采购规则（实施本身必须通过竞争性授予）、FISMA 安全要求、潜在的 FedRAMP 授权要求、监察长监督和立法预算审批周期。

本指南为政府 ERP 实施提供了从业者级别的框架，特别关注区分公共部门部署与商业部门部署的安全性、合规性和治理要求。

要点

• 政府 ERP 采购本身必须符合竞争性招标要求——实施开始前 12-18 个月的采购预算
• FISMA 合规性要求在生产中处理政府数据之前获得正式的操作授权 (ATO)
• FedRAMP 授权（针对联邦机构）或同等州要求限制了云供应商的选择
• 对实施人员的安全许可要求可能会限制供应商的人员配置选择
• 立法预算拨款限制了实施预算，并且可能需要对重大 IT 投资进行单独授权
• 监察长和 GAO 对重大 IT 项目的监督需要积极主动的记录和透明度
• 政府数据分类要求影响架构、访问控制和审核日志记录配置
• 公务员环境中的变革管理需要工会协商和正式的劳动力过渡规划

---

实施前：采购和立法授权

政府ERP采购本身就是一个重大项目，必须完成后才能开始实施。大型政府 ERP 的采购流程从需求定义到合同授予通常需要 12-24 个月。

需求开发

政府采购法要求该机构在征求建议书之前定义其要求 - 机构不能首先选择供应商并围绕所选供应商的能力定义要求。需求开发涉及：

• 当前状态评估：记录现有系统、其使用期限、功能差距以及维护它们的估计成本
• 业务需求：记录所需的具体职能能力，按模块（财务、采购、人力资源、拨款、公民服务）组织
• 技术要求：指定集成要求、数据量要求、性能要求、安全要求（FISMA 级别）和互操作性标准
• 评估标准：在发出招标之前定义评估提案的标准，并指定权重

需求文件成为公共记录的一部分，并且如果不成功的供应商似乎偏爱特定产品，则会受到采购抗议。要求必须尽可能基于性能且技术中立。

竞争性采购

政府 ERP 采购通常通过以下两种方式之一进行：

• 全面和公开的竞争：完整的征求建议书 (RFP)，包括公共广告、供应商回应、技术评估和最佳价值奖项决定
• 现有政府合同工具：许多政府机构通过已完成竞争性授予流程的既定多重奖励合同工具（GSA Schedules、SEWP、BPA 持有者）采购 ERP

与全面竞争相比，使用现有合同车辆可将采购时间缩短 12-18 个月。然而，该机构必须确保合同工具包含所需的产品和服务，并且工具内的任务订单竞争具有适当的竞争力。

预算和立法授权

主要政府 IT 投资（通常是超过规定阈值的投资）需要单独的立法授权。在某些司法管辖区，超过阈值金额的资本 IT 项目需要特定的预算项目授权，与机构的运营拨款分开。获得此授权将给预实施时间表又增加一个周期。

各机构应为主要 ERP 规划 24-36 个月的预实施期（从最初规划到合同授予和立法授权），并将此时间表纳入总体项目进度表中。

---

FISMA 合规性和运营授权

《联邦信息安全管理法案》(FISMA) 要求每个联邦信息系统在处理、存储或传输政府信息之前必须获得正式的操作授权 (ATO)。 ATO 流程涉及全面的安全评估，必须在生产部署之前完成。

FISMA 安全类别

FISMA 要求根据安全漏洞对机密性、完整性和可用性的潜在影响对信息系统进行分类——每个维度为低、中或高。整体系统分类决定了 NIST 特别出版物 800-53 中所需的安全控制。

大多数政府金融系统在所有三个维度上都被归类为“中等影响”，需要实施 NIST 800-53 目录中的大约 300 项安全控制措施。高影响力系统（对于财务 ERP 来说不常见）需要额外的控制。

系统安全计划

主要的 FISMA 文件是系统安全计划 (SSP)，其中记录了：

• 系统边界（授权边界包含哪些组件）
• 系统处理的数据类型及其敏感级别
• 实施的安全控制以及它们如何满足 NIST 800-53 要求
• 从托管环境继承的控件（公共控件）
• 系统所有者负责的控制（系统特定控制）

为复杂的 ERP 实施准备 SSP 本身就是一个重要的项目，通常需要经验丰富的安全专业人员进行 3-6 个月的文档工作。

安全评估与授权

SSP 完成后，独立的评估团队（授权的第三方或独立于实施团队的内部评估团队）测试安全控制，以验证它们是否按记录运行。评估会生成记录调查结果的安全评估报告 (SAR)。

授权官员 (AO) 审查 SSP 和 SAR 并做出授权决定 — 授予 ATO、颁发带有所需补救措施的有条件 ATO 或拒绝授权。 ATO 通常签发三年，之后需要重新评估。

---

云 ERP 的 FedRAMP 授权

对于使用云托管 ERP 的联邦机构，云服务提供商必须将 FedRAMP 授权维持在适当的影响级别（低、中或高）。 FedRAMP 授权是由 FedRAMP 计划认可的第三方评估组织 (3PAO) 对云平台安全控制进行的正式评估。

对供应商选择的影响

FedRAMP 授权要求极大地限制了云 ERP 供应商的选择。并非所有商业 ERP 供应商都获得了 FedRAMP 授权，特别是在高影响级别。各机构必须在采购过程中验证 FedRAMP 授权状态——位于marketplace.fedramp.gov 的 FedRAMP Marketplace 是权威来源。

继承的控件

使用 FedRAMP 授权的云平台的一个显着好处是继承云环境中的常见安全控制。与物理安全、环境控制和一些身份管理功能相关的控制记录在云提供商的 FedRAMP 授权包中，并且可以由使用该平台的机构系统继承。这减少了该机构 ATO 的安全文档负担。

---

安全许可要求

涉及机密系统或高影响级别的敏感但非机密信息的政府 ERP 实施可能需要实施人员的安全许可。此要求可能会显着影响实施团队的组成和时间表。

人员安全调查流程

安全许可所需的背景调查通常需要 3-18 个月才能完成，具体取决于许可级别和个人背景的复杂程度。如果实施供应商没有或无法获得所需的许可，那么他们可能无法指派最有经验的顾问。

减轻间隙限制

各机构可以通过以下方式减轻清关限制：

• 在计划早期确定许可要求，并在合同授予前开始关键实施人员的许可流程
• 设计实施方案以最大程度地减少清理人员参与需要访问敏感数据的 ERP 配置工作的风险
• 使用政府提供的经批准的技术顾问来管理对许可敏感的配置工作，并由实施供应商提供较低分类级别的功能专业知识

---

数据分类和处理

政府数据分为多个类别，这些类别影响着 ERP 中的处理方式：

受控非机密信息 (CUI)

CUI 是一个广泛的政府信息类别，需要根据法律、法规或政府政策进行保护，但不上升到机密级别。财务 ERP 通常包含 CUI，包括：员工和承包商的个人身份信息 (PII)、有关政府计划的财务信息以及采购敏感信息。

CUI 处理要求包括：系统访问控制、审核日志记录、传输限制和处置要求。 ERP 配置必须在数据元素级别对指定为 CUI 的信息强制实施 CUI 控制。

隐私法记录

政府雇员和承包商的记录须遵守《隐私法》的要求，该法规定：维护描述记录的记录系统通知 (SORN)、将披露限制在授权目的、允许个人访问有关自己的记录以及维护准确的记录。 ERP 实施必须包括《隐私法》影响分析以及对维护隐私法涵盖记录的所有系统的适当控制。

---

政府实施阶段

政府 ERP 实施需要分阶段考虑财政年度预算周期、立法监督和机构的运营日历。

第一阶段：基础和财务（第一年）

财务实现建立了所有后续模块所依赖的基金会计结构。这一阶段包括：

• 会计科目表设计与 GASB 基金结构一致
• 期初余额迁移和调节
• 预算整合和保留会计配置
• GAAP 和 GASB 财务报表模板开发
• 年终关闭流程设计和测试

财政年度是政府财政的自然执行单位——新系统在上线之前应该准备好从头到尾处理一个完整的财政年度。

第 2 阶段：采购和合同管理（第 2 年，第 1 季度至第 2 季度）

采购实施遵循财务，因为采购交易会过帐到总账。这一阶段包括：

• 供应商数据库迁移和 SAM.gov 集成
• 出价阈值配置和工作流程
• 采购订单和请购单工作流程
• 合同管理设置
• MWBE跟踪配置

第 3 阶段：人力资源和薪资（第 2 年，第 3 季度至第 4 季度）

由于职位分类系统、工会合同和养老金整合，政府人力资源和工资管理是最复杂的模块之一。此阶段需要：

• 职位分类时间表配置
• 薪资等级和晋升规则
• 谈判单位执行联盟合同条款
• 福利管理配置
• 养老金缴款计算设置

第 4 阶段：赠款管理（第 3 年）

GL基金会成立后即可实施赠款管理。这一阶段包括：

• 联邦奖励设置和跟踪配置
• 按程序允许的成本规则配置
• 成本分配方法设置
• 子受资助人管理工作流程
• 联邦报告模板配置（SF-425、SF-270等）

---

公务员环境中的变革管理

政府机构的变革管理面临着商业环境中不存在的几个限制：

工会咨询要求

在拥有工会劳动力的机构中，工作流程的重大变化（包括 ERP 实施）可能会引发集体谈判协议下的谈判义务。工会合同通常要求该机构在实施前通知工会并就技术变革对谈判单位员工的影响进行谈判。

与工会代表的早期接触——解释实施时间表、预期的工作流程变化以及该机构对劳动力过渡支持的承诺——建立成功变革管理所需的合作关系。 ERP 实施过程中的敌对工会关系与较低的采用率和更多的不满有关。

职位分类影响

ERP 实施可能会改变特定职位的性质 - 降低某些角色的复杂性（由于自动化）并增加其他角色的复杂性（由于新的系统管理职责）。职位分类系统可能需要对受影响的职位进行正式的重新分类，这本身就需要文件、主管审查以及可能的工会咨询。

政府学习环境中的培训

政府培

---

监察长和监督参与

大型政府 IT 项目（尤其是预算超过 1000 万美元的项目）通常会引起监察长办公室、立法审计机构（GAO、州立法审计员）和立法监督委员会的监督关注。积极主动地与监督机构接触可以降低出现不利调查结果的风险。

项目章程和治理文件

维护项目治理的全面文件：项目章程、指导委员会章程、记录关键决策的会议纪要以及正式的风险登记册。监督机构评估项目治理的质量，将其作为实施成功的主要指标。

季度状态报告

建立向监督机构定期报告状态的节奏——每季度书面报告并辅以主要里程碑的简报。状态报告应包括：成本绩效（实际与计划）、进度绩效（实际与计划）、主要风险和缓解措施以及即将到来的里程碑。准确、及时的状态报告可以建立监督机构的可信度，并降低意外发现的风险。

独立验证和确认

许多政府机构委托独立第三方（IV&V 承包商）持续审查实施项目，并对进度、成本和技术风险提供客观评估。 IV&V 参与体现了对问责制的承诺，并在实施问题演变为危机之前提供早期预警。

---

实施后：持续合规

上线后，政府机构必须持续遵守 FISMA、隐私和拨款管理要求。

年度安全评估

FISMA 要求对授权系统进行年度安全审查。这些审查验证了安全控制是否继续有效运行，新的漏洞已被识别并修复，并且系统边界文档仍然准确。

持续监控

NIST 关于持续监控的指南期望各机构持续监控安全控制，而不仅仅是在三年重新评估点。 ERP 应生成自动安全监控报告（系统访问报告、配置更改日志和异常检测警报），并将其馈送到该机构的持续监控计划中。

---

常见问题

FedRAMP 授权过程需要多长时间？

新云服务的 FedRAMP 授权从最初参与该计划到获得授权通常需要 12-24 个月的时间。机构可以通过选择已经获得 FedRAMP Moderate 授权的云 ERP 供应商来缩短这一时间，这意味着安全评估已经完成。 FedRAMP Marketplace 列出了当前授权级别的所有授权云服务。

政府 ERP 的操作授权 (ATO) 流程时间表是怎样的？

ATO 流程从开始提供安全文件到颁发授权通常需要 6-12 个月的时间。其中包括3-6个月的系统安全计划准备时间、2-4个月的安全评估时间、1-2个月的授权官员审查和决定时间。使用具有现有 FedRAMP 授权的云 ERP 的机构可以利用继承的控制文档来显着加快自己的 ATO 流程。

实施过程中我们如何处理会计年度之间的过渡？

最常见的方法是在新会计年度开始时实施新的 ERP，将上一年的期末余额迁移为新系统的期初余额。这与自然会计边界彻底决裂。另一种选择是在年中实施，需要将当年的财务数据拆分到两个系统之间，并协调年度报告的合并结果，这要复杂得多。

政府 IT 项目的 GAO 高风险因素有哪些？

GAO 根据对失败实施的分析，确定了政府 IT 项目的几个高风险因素：业务需求不明确、项目治理薄弱、项目管理人员配备不足、过度依赖政府监管不足的承包商、政治而非技术限制驱动的工期压缩以及测试时间不足。明确解决这些风险因素的实施计划向监督机构表明了实施准备情况。

我们如何管理有未决诉讼的机构的遗留系统过渡？

政府机构经常有未决的诉讼或行政程序，需要访问遗留系统记录。在退役遗留系统之前，该机构必须确保所有受法律保留的记录都以合法的格式保存。这可能需要在活跃诉讼期间保持对遗留系统的只读访问，或者将诉讼相关记录迁移到具有监管链文档的单独管理的档案中。

---

后续步骤

准备开始 ERP 现代化的政府机构应首先对当前系统功能、FISMA 分类要求和采购时间表限制进行全面评估。 ECOSIRE 的公共部门实践为公共部门 ERP 部署带来了政府采购要求、FISMA 合规性和基金会计实施方面的经验。

探索 ECOSIRE 的 Odoo ERP 实施服务，了解我们的结构化方法和公共部门专业知识如何指导您机构的现代化之旅。