详细内容或原文请订阅后点击阅览
信息和通信技术:国防部需要全面实施基础实践来管理供应链风险
GAO 的发现国防部 (DOD) 已完全实施了管理信息和通信技术 (ICT) 供应链风险的七项选定基础实践中的四项和部分实施了三项(见图)。这些风险包括造假者可能利用供应链中的漏洞造成的威胁。供应链风险管理是识别、评估和减轻与 ICT 产品和服务供应链的全球性和分布式性质相关的风险的过程。评估国防部 (DOD) 实施选定的基础信息和通信技术 (ICT) ) 供应链风险管理实践通过全面实施四项基本实践,国防部已采取措施减轻潜在威胁并确保其 ICT 供应链的安全。对于这三个部分实施的做法,该部门已经开始了一些尚未完成的工作。例如,该部门制定了风险管理策略,但尚未批准实施指南。国防部还试点使用多种工具来审查潜在供应商,但对结果的审查仍在进行中。然而,国防部没有具体说明这些行动何时完成。全面实施其余三项做法将增强国防部对供应链风险的理解和管理。国防部为政府范围内保护 ICT 供应链的多项努力提供领导和支持。例如,该部门提供课程并协助小企业保护其供应链。此外,该部门还制定了一项行动计划,以促进网络威胁共享,并向联邦采办界介绍了进行网络测试和评估的实践。作为联邦采购安全委员会的成员,国防部还分担了信息通信技术供应链的责任。此外,该委员会有权发布排除令,以防止从可能受到损害的供应商处采购。 GAO 为何进行这项研究联邦机构广泛依赖 ICT 产品和服务(例如计算系统、软件和网络)来开展业务。然而,各机构面临着众多 ICT 风险,这些风险可能会损害组织系统及其所包含信息的机密性、完整性或可用性。伴随《2022 财年国防授权法案》的参议院第 117-39 号报告包括一项由 GAO 提供评估的规定国防部为解决 ICT 供应链风险所做的努力。 GAO 报告的具体目标是 (1) 评估国防部实施基本 ICT 供应链风险管理实践的程度,以及 (2) 描述国防部领导或支持政府范围内保护 ICT 供应链的努力的程度.GAO 将该部门的政策、程序和相关文件与七项基本实践进行了比较。这些做法是 b
来源:美国政府问责局__信息技术信息美国政府问责署的发现
国防部 (DOD) 已全面实施了四项并部分实施了七项选定的基础实践中的三项,用于管理信息和通信技术 (ICT) 供应链风险(见图)。这些风险包括可能利用供应链漏洞的造假者所构成的威胁。供应链风险管理是识别、评估和减轻与 ICT 产品和服务供应链的全球性和分布式性质相关的风险的过程。
对国防部 (DOD) 实施选定的基础信息和通信技术 (ICT) 供应链风险管理实践的评估
通过全面实施四项基础实践,国防部已采取措施减轻潜在威胁并保护其 ICT 供应链。关于三项部分实施的实践,该部门已开始几项尚未完成的工作。例如,该部门已经制定了风险管理战略,但尚未批准实施该战略的指导。国防部还试行使用多种工具来审查潜在供应商,但结果审查仍在进行中。但是,国防部没有指定完成这些行动的时间表。全面实施其余三项做法将增强该部门对供应链风险的理解和管理。
为什么 GAO 进行这项研究
联邦机构广泛依赖 ICT 产品和服务(例如,计算系统、软件和网络)来开展业务。但是,机构面临着众多 ICT 风险,这些风险可能会损害组织系统及其所含信息的机密性、完整性或可用性。