详细内容或原文请订阅后点击阅览
网络安全:国家需要迅速实施风险管理和其他关键实践
GAO 的发现国务院已记录了符合联邦要求的网络安全风险管理计划。具体来说,该部门确定了风险管理的角色和职责,并制定了风险管理策略。然而,国家尚未完全实施其识别和监控资产风险及其系统上维护的信息的计划,如下图所示。国家在实施网络安全风险管理计划方面取得的进展示例直到该部门实施所需的风险管理活动,它无法保证其安全控制措施按预期运行。此外,州政府可能没有充分意识到影响任务运行的信息安全漏洞和威胁。州政府用于检测、响应网络安全事件并从中恢复的事件响应流程通常与联邦指导一致,要求该部门为其所属部门建立事件处理能力。信息系统。例如,州政府的网络事件响应小组及其监控和事件响应部门内的其他单位提供了每周 7 天、每天 24 小时识别对该部门网络安全的主动和潜在威胁的能力。但是,该部门尚未完全实施支持其事件响应计划的流程。例如,纽约州没有完全更新和测试信息系统应急计划以确保运营的连续性,也没有配置其集中库存管理数据库以从所有可用数据源中识别资产库存信息。此外,纽约州没有充分保护其 IT 基础设施以支持其事件响应计划。这包括更换已达到使用寿命的 23,689 个硬件系统以及 3,102 个网络和服务器操作系统软件安装。某些安装的操作系统软件已在 13 年前终止生命
来源:美国政府问责局__信息安全信息美国政府问责署的发现
国务院已记录了符合联邦要求的网络安全风险管理计划。具体而言,该部门已确定了风险管理角色和职责,并制定了风险管理战略。但是,国务院尚未完全实施其计划,以识别和监控资产风险以及其系统上维护的信息,如下图所示。
国务院在实施其网络安全风险管理计划方面取得进展的示例
在该部门实施所需的风险管理活动之前,它无法保证其安全控制按预期运行。此外,国务院可能没有完全意识到影响任务行动的信息安全漏洞和威胁。
国务院用于检测、响应和从网络安全事件中恢复的事件响应流程通常与联邦指导一致,要求该部门为其信息系统建立事件处理能力。例如,国务院的网络事件响应小组及其监测和事件响应部门内的其他部门能够全天候、每周 7 天识别对该部门网络安全的活跃和潜在威胁。但是,该部门尚未完全实施支持其事件响应计划的流程。例如,国务院尚未完全更新和测试信息系统应急计划以确保业务的连续性,也没有配置其集中库存管理数据库以从所有可用数据源识别资产库存信息。
在过去几年中,国务院采取了许多措施来澄清和加强首席信息官 (CIO) 的作用。例如,2020 年 10 月,国务院发布了一份备忘录和矩阵,概述了国务院 CIO 和其他人员在网络安全方面的角色和职责。
国务院由于其 IT 结构和孤立文化而存在缺陷的示例