详细内容或原文请订阅后点击阅览
网络安全:独立评估和 VA 响应总体满足要求
GAO 的发现根据 2022 年《加强 VA 网络安全法案》的要求,退伍军人事务部 (VA) 与 MITRE 签订了合同,以执行网络安全评估。随后的评估满足了该法案的要求并与联邦指导保持一致。例如,MITRE 适当地 (1) 选择了五个关键系统进行审查,这些系统如果受到损害,可能会严重损害 VA 执行其任务的能力,以及 (2) 评估 VA 信息安全计划的有效性。VA 提交了一份计划,以纠正评估中确定的结果,该计划总体上满足了法案中的要求。具体来说,修复计划包括成本估算和实施时间表,以解决系统和安全计划问题。补救计划还包括对 VA 安全计划的计划改进。虽然修复计划不包括对特定于系统的安全控制的改进,但 VA 在其他文件中提供了这些计划的详细信息。VA 报告了五个系统及其安全计划的修复结果的进展情况。具体而言,该部门报告称,到 2024 年 10 月,已修复 442 个系统特定问题中的 215 个;到 2025 年 7 月,已修复 379 个问题(见图)。此外,该部门还报告说,它已经完成了 55 项行动中的 20 项,以解决 11 项信息安全计划问题。VA 通常根据 fe 记录系统和计划问题的补救工作
来源:美国政府问责局__信息安全信息GAO 发现了什么
根据 2022 年《加强 VA 网络安全法案》的要求,退伍军人事务部 (VA) 与 MITRE 签订合同来进行网络安全评估。随后的评估满足了该法案的要求并与联邦指导保持一致。例如,MITRE 适当地 (1) 选择了五个关键系统进行审查,这些系统如果受到损害,可能会严重损害 VA 执行其任务的能力,以及 (2) 评估 VA 信息安全计划的有效性。
VA 提交了一份计划,以纠正评估中发现的问题,总体上符合该法案中的要求。具体来说,修复计划包括成本估算和实施时间表,以解决系统和安全计划问题。补救计划还包括对 VA 安全计划的计划改进。虽然修复计划不包括对系统特定安全控制的改进,但 VA 在其他文件中提供了这些计划的详细信息。
VA 报告了在修复五个系统及其安全计划中发现的问题方面取得的进展。具体而言,该部门报告称,到 2024 年 10 月,已修复 442 个系统特定问题中的 215 个;到 2025 年 7 月,已修复 379 个问题(见图)。此外,该部门报告称,它已完成 55 项行动中的 20 项,以解决 11 项信息安全计划调查结果。
VA 监察长此前曾向 VA 提出建议,以 (1) 确保该部门跟踪和更新计划的补救文件,以及 (2) 通过确保实施缓解控制措施来改进解决在政策期限内无法解决的漏洞的流程。截至 2025 年 7 月,VA 尚未实施这些建议。这样做将有助于确保采取必要的措施来保护系统。
GAO 为何进行这项研究
欲了解更多信息,请联系 Jennifer Franks:franksj@gao.gov。