详细内容或原文请订阅后点击阅览
网络安全:VA 需要应对隐私和安全挑战
GAO 的发现联邦法律和政策规定了保护个人身份信息 (PII) 以及确保联邦系统和信息安全的要求。联邦指南还包括建立隐私计划的关键做法。 GAO 在 2022 年报告称,包括退伍军人事务部 (VA) 在内的联邦机构在制定隐私政策和程序以及实施关键做法方面存在差异。虽然 VA 部分解决了隐私实践问题,但差距仍然存在。例如,它没有完全界定隐私官员在对包含 PII 的授权系统执行风险管理步骤时的作用。如果不完全纳入这些做法,VA 将无法保证其持续有效地实施隐私保护。此外,包括 VA 在内的所有 24 个《1990 年首席财务官法案》机构的隐私官员均报告在实施其隐私计划时遇到了挑战。GAO 和 VA 监察长办公室 (OIG) 强调了 VA 在保护其隐私计划方面所面临的安全挑战。信息和信息系统。例如,2019 年,GAO 报告称 VA 在建立网络风险管理计划时没有完全解决四项网络安全实践问题。此外,2022 年,VA OIG 报告称,该部门在实施其信息安全计划的组成部分时面临挑战。该报告提出了 26 项改进建议,包括实施所需的访问和配置管理控制。此外,管理和预算办公室向国会提交的一份总结 2021 财年机构网络安全绩效的报告指出,一项独立评估得出的结论是 VA 的计划无效。GAO 为何进行这项研究在为退伍军人及其家属提供医疗保健和其他福利方面, VA 依靠 IT 系统和网络来接收、处理和维护敏感数据,包括退伍军人的医疗记录和相关的 PII。 VA 在各种系统中维护这些数据,包括其遗留的电子健康记录系统。联邦系统和网络,包括 VA 的系统和网络,通常与其他内部和外部系统和网络互连。这增加了网络攻击的风险。自 1997 年以来,GAO 已将信息安全指定为政府范围内的高风险领域,这一指定一直保留至今。GAO 被要求审查 VA (1) 隐私实践和挑战,以及 (2) 安全挑战。为了实现这两个目标,GAO 总结了其先前发布的产品的成果和挑战。 GAO 还审查了 VA OIG 的网络安全报告。此外,政府问责局还纳入了该部门为实施先前的隐私和安全建议而采取的行动的信息。
来源:美国政府问责局__信息安全信息快速事实
退伍军人事务部依靠 IT 系统来接收和维护敏感数据,包括医疗记录。联邦法律制定了保护个人身份信息和保护 IT 系统的要求。
VA 部分实施了某些关键的隐私实践。例如,它仍然需要确保雇用和培训足够的员工来保护其数据的隐私。此外,VA 一直在努力保护其信息并保护其 IT 系统免受未经授权的访问。
我们之前向 VA 提出的 8 项建议可以帮助解决这些问题。截至 2023 年 2 月,VA 已实施了其中 5 项建议。
重点
GAO 发现了什么
联邦法律和政策制定了保护个人身份信息 (PII) 和保护联邦系统和信息的要求。联邦指导还包括建立隐私计划的关键实践。美国政府问责署 (GAO) 在 2022 年报告称,包括退伍军人事务部 (VA) 在内的联邦机构在制定隐私政策和程序以及实施关键实践的程度上有所不同。虽然 VA 部分解决了隐私实践问题,但仍存在差距。例如,它尚未完全定义隐私官员在执行授权包含 PII 的系统的风险管理步骤中的作用。如果不完全纳入这些做法,VA 将无法保证其始终如一地有效地实施隐私保护。此外,包括 VA 在内的所有 24 个 1990 年《首席财务官法案》机构的隐私官员都报告称,他们在实施隐私计划时遇到了挑战。
美国政府问责署进行这项研究的原因
在向退伍军人及其家属提供医疗保健和其他福利时,VA 依靠 IT 系统和网络来接收、处理和维护敏感数据,包括退伍军人的医疗记录和相关 PII。VA 在各种系统中维护这些数据,包括其传统的电子健康记录系统。