2022年3月31日,美國國會(huì)政府問責(zé)局(GAO)網(wǎng)站發(fā)布報(bào)告,題為《Cybersecurity: OMB Should Update Inspector General Reporting Guidance to Increase Rating Consistency and Precision》。報(bào)告要點(diǎn)如下:
我們審查了23個(gè)民用聯(lián)邦機(jī)構(gòu)實(shí)施2014年《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)的情況。
在是否以及如何實(shí)施所需的安全計(jì)劃上,各機(jī)構(gòu)的情況好壞參半。例如,大多數(shù)報(bào)告稱達(dá)到了檢測(cè)和預(yù)防事件的目標(biāo)。然而,監(jiān)察長發(fā)現(xiàn)23個(gè)機(jī)構(gòu)中只有7個(gè)在2020 財(cái)年制定了有效的安全計(jì)劃。
我們還發(fā)現(xiàn),為監(jiān)察長審查提供的指南并不總是很清晰,導(dǎo)致效率評(píng)級(jí)不準(zhǔn)確。我們的 兩條建議解決了這個(gè)問題。
確保國家的賽博安全是我們《高風(fēng)險(xiǎn)清單》上的一個(gè)主題。
研究目的
自1997年以來,GAO已將信息安全指定為政府范圍內(nèi)的高風(fēng)險(xiǎn)領(lǐng)域。為了保護(hù)聯(lián)邦信息和系統(tǒng),F(xiàn)ISMA 要求聯(lián)邦機(jī)構(gòu)制定、記載和實(shí)施信息安全計(jì)劃。國會(huì)在FISMA中有一項(xiàng)規(guī)定,要求GAO定期報(bào)告各機(jī)構(gòu)對(duì)該法案的執(zhí)行情況。
GAO 在本報(bào)告中的目標(biāo)是:(1)描述聯(lián)邦機(jī)構(gòu)實(shí)施賽博安全政策和實(shí)踐的有效性報(bào)告,以及(2)評(píng)估聯(lián)邦機(jī)構(gòu)相關(guān)官員所認(rèn)為的FISMA在提高機(jī)構(gòu)信息系統(tǒng)安全方面的有效性程度。
為此,GAO 審查了23個(gè)民用首席財(cái)務(wù)官(CFO)法案機(jī)構(gòu)的FISMA報(bào)告、機(jī)構(gòu)報(bào)告的績(jī)效數(shù)據(jù)、過去的GAO報(bào)告以及管理和預(yù)算辦公室(OMB)文件和指南。GAO還采訪了來自24個(gè)CFO法案機(jī)構(gòu)(即23個(gè)民間CFO法案機(jī)構(gòu)和國防部)、監(jiān)察長誠信與效率委員會(huì)和OMB的機(jī)構(gòu)官員。
主要發(fā)現(xiàn)
2020財(cái)年,聯(lián)邦機(jī)構(gòu)實(shí)施2014年FISMA規(guī)定要求的情況好壞參半。例如,越來越多的機(jī)構(gòu)報(bào)告稱達(dá)到了管理其軟件資產(chǎn)安全性以及入侵檢測(cè)和預(yù)防的目標(biāo)。然而,監(jiān)察長發(fā)現(xiàn)各機(jī)構(gòu)在賽博安全實(shí)踐方面的表現(xiàn)參差不齊。2020 財(cái)年,監(jiān)察長確定23個(gè)1990年民用CFO法案機(jī)構(gòu)中有7個(gè)擁有有效的信息安全計(jì)劃。2017-2020財(cái)年,獲得有效評(píng)級(jí)的機(jī)構(gòu)百分比總體上保持一致,從22%到30%不等。
據(jù)所有24個(gè)CFO法案機(jī)構(gòu)的官員稱,F(xiàn)ISMA及相關(guān)的報(bào)告流程使其機(jī)構(gòu)能提高信息安全計(jì)劃的有效性。具體而言,14 個(gè)機(jī)構(gòu)的首席信息官和首席信息安全官表示,F(xiàn)ISMA 在很大程度上提高了計(jì)劃的有效性,而10個(gè)機(jī)構(gòu)的官員表示,它在一定程度上提高了有效性。
根據(jù)FISMA的要求,OMB與其它組織合作為監(jiān)察長提供有關(guān)開展和報(bào)告機(jī)構(gòu)FISMA評(píng)估的指南。GAO發(fā)現(xiàn)該指南并不總是明晰的,導(dǎo)致監(jiān)察長的應(yīng)用情況不一致。此外,GAO 發(fā)現(xiàn)OMB“有效”和“無效”的整體監(jiān)察長評(píng)級(jí)量表導(dǎo)致評(píng)級(jí)不準(zhǔn)確,無法清楚地區(qū)分各機(jī)構(gòu)實(shí)施賽博安全要求的不同程度。因此,監(jiān)察長評(píng)級(jí)對(duì)賽博安全監(jiān)督的用處可能較小。通過明確其未來的評(píng)級(jí)指南并改進(jìn)其評(píng)級(jí)尺度,OMB可以幫助確保所作審查能提供更加一致的機(jī)構(gòu)賽博安全績(jī)效圖景,使國會(huì)能夠更好地了解機(jī)構(gòu)的相關(guān)賽博安全風(fēng)險(xiǎn)。
GAO建議
GAO 提出兩項(xiàng)建議,即OMB與其它機(jī)構(gòu)協(xié)商,明確其對(duì)監(jiān)察長的指南,并制定更精確的整體評(píng)級(jí)量表。OMB不同意我們的建議,表示他們希望在某種程度上為監(jiān)察長提供調(diào)整其評(píng)審的靈活性。盡管如此,GAO 認(rèn)為這些建議是有根據(jù)的,可以為機(jī)構(gòu)的賽博安全績(jī)效提供更加一致和準(zhǔn)確的圖景。heavy fuel engine