详细内容或原文请订阅后点击阅览
云安全:选定的机构需要全面实施关键实践
GAO 的发现 选定的四个机构——农业部、国土安全部 (DHS)、劳工部和财政部——在实施 GAO 评估的六项关键云安全实践方面的努力各不相同。具体来说,三个机构为其大部分或全部选定的系统完全实施了三种实践,而另一个机构为其大部分或全部系统全面实施了四种实践。然而,各机构对其余系统部分实施或未实施其他实践(见图)。各机构对每个选定系统实施关键云安全实践例如,各机构对某些系统部分实施了有关持续监控的实践。或所有系统。尽管这些机构制定了持续监测计划,但他们并不总是执行计划。此外,各机构部分实施或没有实施有关某些系统的服务级别协议的做法。具体来说,各机构的服务水平协议并没有一致地定义绩效指标,包括如何衡量这些指标以及执行机制。机构官员列举了他们对关键实践的不同实施的几个原因,包括承认他们没有记录他们的努力解决要求。在这些机构完全实施联邦政策和指南中确定的云安全关键实践之前,这些云系统中包含的机构信息的机密性、完整性和可用性将面临更大的风险。为什么 GAO 进行这项研究云计算为机构提供了获得信息的潜在机会IT服务更高效;但如果得不到有效实施,也会带来网络安全风险。为了促进云服务的采用和使用,管理和预算办公室和其他联邦机构发布了有关各机构要实施的关键实践的政策和指南,以确保利用云服务的机构系统(即云系统)的安全该报告评估了选定机构有效实施关键云安全实践的程度。为此,GAO 在四个机构(农业、国土安全部、劳工和财政部)中选择了 15 个云系统,代表了广泛的服务。 GAO 根据多个因素选择这些机构,包括报告的利用云计算的 IT 投资数量。 GAO 将相关机构文件与联邦政策和指南中确定的六项关键做法进行了比较。 GAO 将每个机构评为已完全、部分或未实施所选系统的每项实践。
来源:美国政府问责局__信息安全信息开放 – 部分解决
开放 - 部分解决
农业部