详细内容或原文请订阅后点击阅览
人员审查:国防部需要加强背景调查系统的网络安全
GAO 的发现为了进行背景调查,国防部 (DOD) 的国防反情报与安全局 (DCSA) 目前使用最近开发的国防部国家背景调查服务系统和以前由人事管理办公室 (OPM) 拥有的旧系统的组合。在考虑这些系统的网络安全风险时,DCSA 并未完全解决国防部风险管理框架的所有规划步骤(见图)。截至 2023 年 12 月,国防反情报与安全局在多大程度上解决了国防部针对选定背景调查系统的规划相关风险管理步骤注:国防部与实施相关的风险管理步骤是 (3) 建立实施方法、(4) 评估安全控制、(5) 授权系统和 (6) 监控安全控制。准备组织和系统:在国防部风险管理框架中这一步所需的 16 项任务中,DCSA 完全解决了 11 项,部分解决了 2 项,没有解决 3 项。例如,该机构尚未完全定义和确定安全和隐私要求的优先级,也没有执行组织和系统级风险评估。对系统进行分类:DCSA 适当地将六个审查过的系统归类为高影响风险。选择安全控制:DCSA 为这六个系统选择了基线安全控制,但使用了过时的政府范围指导版本作为控制选择的来源
来源:美国政府问责局__信息安全信息快速事实
国防部的国防反情报和安全局为大多数联邦机构开展背景调查行动。
它通过结合人事管理办公室以前拥有的旧 IT 系统和新的、尚未完全开发的国家背景调查服务 IT 系统来实现这一目标。
但是,该机构尚未完全遵循国防部的网络安全风险管理规划步骤,也没有为所涉及的任何 IT 系统完全实施隐私控制。
我们建议国防部建立监督流程,以帮助确保其 IT 系统受到保护。
推荐亮点
GAO 的发现
为了进行背景调查,国防部 (DOD) 国防反情报和安全局 (DCSA) 目前使用最近开发的国防部国家背景调查服务系统和以前由人事管理办公室 (OPM) 拥有的遗留系统的组合。在考虑这些系统的网络安全风险时,DCSA 并未完全解决国防部风险管理框架的所有规划步骤(见图)。
截至 2023 年 12 月,国防反情报和安全局在多大程度上解决了国防部针对选定背景调查系统的规划相关风险管理步骤
注意:国防部的实施相关风险管理步骤是 (3) 建立实施方法、(4) 评估安全控制、(5) 授权系统和 (6) 监控安全控制。
注意:国防部实施相关的风险管理步骤包括 (3) 建立实施方法、(4) 评估安全控制、(5) 授权系统和 (6) 监控安全控制。 准备组织和系统: