详细内容或原文请订阅后点击阅览
网络安全:国家网络主管需要采取额外行动来实施有效的战略
GAO 的发现国家网络安全战略及其实施计划共同解决了 GAO 之前工作中确定的六个理想特征中的四个,并部分解决了其他两个特征(见图)。2023 年 3 月国家网络安全战略和 2023 年 7 月实施计划的程度阐述了政府问责局理想的国家战略特征 对于部分提及的特征,文件没有完全描述: 以结果为导向的绩效衡量标准。国家网络主任办公室(ONCD)工作人员表示,目前制定以结果为导向的措施并不现实。然而,政府问责局认为在适用的情况下制定此类措施是可行的。例如,对于破坏勒索软件企图的关键举措,财政部已经收集了有关勒索软件相关事件的数量和美元价值的信息——2021 年报告的总美元价值约为 8.86 亿美元。这表明制定此类措施是可行的,并且可以用于衡量有效性。资源和估计成本。虽然实施计划概述了需要行政可见性和机构间协调的举措,但它没有确定实施这些举措的成本是多少。 ONCD 工作人员表示,估计实施整个战略的成本是不现实的。然而,虽然某些举措可能无法保证具体的成本估算,但支持某些具有潜在重大成本的关键举措的其他活动证明了进行成本估算的合理性。这种成本估算对于有效管理项目至关重要。如果没有此类信息,项目投资可能会出现不确定性。如果不采取行动解决这些缺陷,ONCD 可能会缺乏有关计划结果的信息,并在活动资金方面遇到不确定性。GAO 为何进行这项研究 25 年来,GAO 一直将网络安全视为一项高度关注的问题。 - 风险区域。在此期间,恶意行为者对 IT 系统进行网络入侵和攻击的威胁持续增长。需要制定国家战略来指导政府的网络安全活动来应对这一威胁。国会认识到国家网络安全领导力的必要性,成立了 ONCD 来支持国家网络安全并领导国家战略的制定。 2023 年 3 月,白宫发布了《国家网络安全战略》,概述了政府将如何管理国家网络安全。 2023 年 7 月,ONCD 发布了一项实施计划,定义了如何执行该战略。GAO 的目标是审查国家网络安全战略和实施计划在多大程度上体现了国家战略的理想特征。为此,政府问责局根据国家战略的理想特征评估了相关文件和其他证据。 GAO 还采访了 ONCD 工作人员。
来源:美国政府问责局__信息安全信息快速事实
网络攻击威胁着联邦信息系统和国家关键基础设施。国家网络主管办公室负责领导国家网络政策和战略。
该办公室计划实施白宫的国家网络安全战略。截至 2024 年 1 月,该战略和计划奠定了良好的基础,但办公室仍需要在计划中包含更多细节,以确保该战略能够在整个政府范围内一致有效地实施。
国家网络安全战略具体而言,我们建议办公室制定绩效衡量标准并估算实施成本。
推荐亮点
GAO 的发现
国家网络安全战略及其实施计划共同解决了 GAO 先前工作中确定的六个理想特征中的四个,并部分解决了另外两个(见图)。
国家网络安全战略2023 年 3 月国家网络安全战略和 2023 年 7 月实施计划在多大程度上解决了 GAO 所期望的国家战略特征
国家网络安全战略对于部分解决的特征,文件没有完全描述: