机构名称:
¥ 2.0
国土安全部各部门未能始终如一地应用信息技术 (IT) 访问控制来确保只有授权人员才能访问系统、网络和信息。本报告总结了过去 12 个月中三个部门(美国公民及移民服务局 (USCIS)、联邦紧急事务管理局 (FEMA) 和美国移民和海关执法局 (ICE))报告的访问控制实践和缺陷。我们确定,当人员离职或职位变动时,USCIS、FEMA 和 ICE 未能始终如一地管理或删除访问权限。此外,USCIS、FEMA 和 ICE 未采取所有必要措施来确保特权用户访问适当,并且服务帐户得到充分保护。这些缺陷源于内部控制和监督不足,无法确保访问控制得到适当管理。除了访问控制缺陷之外,我们还发现 USCIS、FEMA 和 ICE 没有为其 IT 系统实施所有必需的安全设置和更新。发生这种情况的原因是各部门担心这些 IT 控制可能会对运营产生负面影响。我们还发现,国土安全部的信息安全框架没有包括最新的联邦访问控制要求。国土安全部的整体安全态势依赖于所有组件来实施有效的 IT 访问控制。因此,USCIS、FEMA 和 ICE 必须完成必要的纠正措施,以全面解决缺陷和我们之前三份报告中提出的其余 24 项未决建议。部门回应
OIG-24-11 2024 年 1 月 11 日 - DHS OIG
主要关键词
相关文件推荐
