详细内容或原文请订阅后点击阅览
网络安全:DOT 定义了角色和职责,但需要额外的监督
GAO 的发现与联邦指导一致,美国交通部 (DOT) 的政策记录了高级官员的网络安全角色和职责。该政策还描述了九个以任务为导向的运营管理部门的高级管理人员的角色和职责(见图)。运输部 (DOT) 以任务为导向的运营管理部门 DOT 的首席信息官 (CIO) 办公室通过以下方式定期与各组成机构进行沟通:通过日常网络运营会议和定期信息电子邮件共享信息。此外,各组成机构经理表示,该办公室提供网络安全工具,用于事件和漏洞管理以及其他技术援助。 DOT 还通过提供基于角色的网络安全培训来为管理人员提供支持。然而,交通部监察长 (IG) 报告称,培训要求的明确性存在缺陷,例如所需的时数和培训完成情况的监控。 IG 的 2019 年和 2021 年解决这些缺陷的建议尚未实施。为了提供监督,DOT 政策要求对组成机构的网络安全计划进行年度审查。然而,审查并未有效地采取必要行动来实施 IG 在 2022 年 9 月的报告中报告的 63 项未解决的网络安全建议。利用审查来解决建议可以改进该部门的网络安全计划。为了评估经理的绩效,DOT 为其组成机构的高级 IT 经理制定了绩效计划。然而,虽然 DOT 的战略计划将网络安全确定为组织目标,但 18 名经理中有 15 名的绩效计划并未包括与网络安全相关的期望。此外,部门 CIO 并不总是参与评估组成机构 CIO 的绩效。这不符合部门规定,并且无法保证各组成机构在履行网络安全相关职责时与部门保持一致。 GAO 为何开展这项研究 DOT 的建立部分是为了建设、维护和监督庞大的国家交通系统。为了支持其使命,该部门依靠信息系统来保护敏感信息。《基础设施投资和就业法案》包括一项规定,要求 GAO 报告 DOT 及其组成部门运营管理部门高级 IT 官员的网络安全角色和职责。该报告审查了DOT (1) 在多大程度上定义了部门和组成机构高级官员和经理的网络安全角色和责任; (2) 为组件提供网络安全支持,(3) 为组件网络安全活动和管理人员提供监督。为此,GAO 分析了部门政策、流程和文档。它还审查了联邦指导意见以及政府问责局和监察长办公室的报告,并采访了相关官员。
来源:美国政府问责局__信息安全信息美国政府问责署的发现
与联邦指导方针一致,美国交通部 (DOT) 的政策记录了高级官员的网络安全角色和职责。该政策还描述了九个组成任务导向运营管理部门的高级管理人员的角色和职责(见图)。
交通部 (DOT) 任务导向运营管理部门
DOT 的首席信息官 (CIO) 办公室通过每日网络运营会议和定期信息电子邮件共享信息,定期与组成机构沟通。此外,组成机构经理表示,该办公室提供网络安全工具,用于事件和漏洞管理以及其他技术援助。DOT 还通过提供基于角色的网络安全培训来支持管理人员。但是,DOT 监察长 (IG) 报告称,培训要求的明确性存在不足,例如所需的小时数和对培训完成情况的监控。监察长 2019 年和 2021 年提出的解决这些不足的建议尚未实施。
为了提供监督,DOT 政策要求每年对组成机构的网络安全计划进行审查。但是,正如 IG 在 2022 年 9 月的一份报告中所报告的那样,这些审查并未有效采取必要行动来实施 63 项未解决的网络安全建议。利用审查来解决建议可以改善该部门的网络安全计划。
为什么 GAO 进行这项研究
DOT 成立的部分原因是建立、维护和监督庞大的国家交通系统。为了支持其使命,该部门依靠信息系统来保护敏感信息。
《基础设施投资与就业法案》包括一项规定,要求 GAO 报告 DOT 及其组成运营管理部门的高级 IT 官员的网络安全角色和职责。