机构名称:
¥ 20.0
1.0 背景 2002 年电子政务法案(公法 107-347)第三章《2002 年联邦信息安全管理法案》(FISMA)经 2014 年联邦信息安全现代化法案(公法 113-283)修订,要求各机构为“支持机构运营和资产的信息和信息系统,包括由其他机构、承包商或其他来源提供或管理的信息和信息系统”提供安全和隐私保护。FISMA 要求联邦机构制定并实施承包商和其他有权访问联邦信息和信息系统的用户的信息安全和隐私监督政策。为确保遵守 FISMA,美国国家标准与技术研究所 (NIST) 在 NIST 特别出版物 (SP) 800-53 修订版 5《联邦信息系统和组织的安全和隐私控制》中确定了具体的安全和隐私控制/标准。 NIST 提供了一系列建议的安全和隐私控制措施,供机构和服务提供商使用,以确保联邦信息和信息系统的机密性、完整性和可用性,并提供了支持联邦运营和资产的有效安全控制指南。由于 IRS 任务目标的特定要求以及具体法律或裁决,例如 26 USC § 6103、格雷姆—里奇—比利雷法案 (GLB)、联邦贸易委员会 (FTC) 金融隐私规则和安全保护规则和萨班斯—奥克斯利法案,IRS 承包商、其附属机构、分包商和服务提供商在适当或适用时还受保护信息和信息系统的额外要求的约束。在与 IRS 签订合同时,承包商同意允许 IRS 在收到合同官员代表 (COR) 或合同官员 (CO) 通知后的 24 小时内访问其站点。不允许访问被视为违反合同条款和条件,这可能导致合同终止或根据 FAR 条款 52.211-11 - 违约金 - 供应、服务或研发(2000 年 9 月)中的约定评估违约金。在签订合同时,承包商同意向 COR 提供更新的行动和里程碑计划 (POA&M),以解决 IRS 每月进行的现场或虚拟评估中发现的任何未决问题。未能提供 POA&M 来证明承包商如何应对风险是违反合同条款和条件的行为,这将导致 COR 拒绝批准发票,直到提供 POA&M。有关 POA&M 和漏洞扫描报告要求的更多详细信息,请参阅 CA-5(行动和里程碑计划)和 RA-5(漏洞监控和扫描)。
出版物 4812
主要关键词
相关文件推荐
