2014 年《联邦信息安全现代化法案》（FISMA）1 规定，每个联邦机构及其相关机构部门必须制定和实施 POA&M 流程，以记录和补救/缓解计划和系统级信息安全漏洞，并定期向 OMB 和国会报告补救进展。关于加强联邦网络和关键基础设施网络安全的总统行政命令 13800 指出，“已知但未缓解的漏洞是行政部门和机构面临的最高网络安全风险之一。” 2 OMB 发布了各种备忘录，其中包含实施法规和行政命令的要求，并要求计划官员定期向机构首席信息官 (CIO) 汇报 POA&M 的进展情况，以便 CIO 可以监控补救工作并定期向 OMB 提供更新。因此，CMS 必须根据美国卫生与公众服务部 (HHS) 信息系统安全和隐私 (IS2P) 政策为每个系统和每个安全/隐私程序制定 POA&M，以跟踪已识别的风险和弱点，直至得到补救或缓解。