详细内容或原文请订阅后点击阅览
网络安全:OMB 应改进信息安全绩效指标
GAO 的发现联邦机构对 2014 年联邦信息安全现代化法案 (FISMA) 的实施仍然大多无效。尽管报告称 2021 年至 2022 年有所改善,但 23 个民事机构中 15 个的监察长 (IG) 发现信息安全计划无效(见图)。 IG 报告了计划无效的各种原因,包括管理问责问题以及标准和质量控制方面的差距。解决原因可以改善联邦政府的网络安全状况。23 根据 2017 财年至 2022 财年监察长的报告,《1990 年首席财务官法案》中已实施或未实施有效信息安全计划的机构。机构官员指出了各种有助于提高信息安全水平的做法。提高其机构信息安全计划的有效性。具体来说,官员们最常强调内部沟通;组织特征,例如领导承诺;管理和预算办公室 (OMB) 与其他监督小组合作,提供衡量联邦信息安全计划和 FISMA 实施有效性的指标。然而,各机构和 IG 表示,某些 FISMA 指标没有用,因为它们并不总是准确评估信息安全计划。各机构和 IG 报告称,指标应与绩效目标明确挂钩,考虑劳动力问题和机构规模,并纳入风险。此外,制定解决无效计划的关键原因的指标可以提高其有效性。通过以这些方式修改 FISMA 指标,OMB 可以帮助确保这些措施能够准确描述机构的信息安全绩效。GAO 为何进行这项研究为了保护联邦信息和系统,FISMA 要求联邦机构制定
来源:美国政府问责局__信息安全信息美国政府问责署的发现
联邦机构对《2014 年联邦信息安全现代化法案》(FISMA)的实施仍然大多无效。尽管报告称 2021 年至 2022 年有所改善,但 23 个民事机构中的 15 个监察长 (IG) 发现信息安全计划无效(见图)。监察长报告了导致计划无效的各种原因,包括管理问责问题以及标准和质量控制方面的差距。解决这些原因可以改善联邦政府的网络安全态势。
23 个《1990 年首席财务官法案》规定的拥有或没有有效信息安全计划的机构,由监察长报告,2017 年至 2022 财年。
机构官员确定了有助于提高其机构信息安全计划有效性的各种做法。具体而言,官员最常强调内部沟通;组织特征,例如领导承诺;和集中政策和程序对于有效实施 FISMA 至关重要。
管理和预算办公室 (OMB) 与其他监督机构合作,提供指标来评估联邦信息安全计划和 FISMA 实施的有效性。但是,机构和 IG 表示,一些 FISMA 指标没有用,因为它们并不总是准确地评估信息安全计划。机构和 IG 报告称,指标应明确与绩效目标挂钩,考虑劳动力问题和机构规模,并纳入风险。此外,制定解决无效计划主要原因的指标可以提高其有效性。通过以这些方式修改 FISMA 指标,OMB 可以帮助确保这些措施准确反映机构的信息安全绩效。