XiaoMi-AI文件搜索系统
World File Search SystemFISMA
联邦信息安全现代化法案2023财政年度
Cliftonlarsonallen LLP(CLA)对美国退伍军人事务部(VA)遵守2014年9月30日(FY)的2014年联邦信息安全现代化法案(FISMA)的绩效审核,该法案于2023年9月30日。本审核的目的是确定VA的信息安全计划和实践遵守FISMA要求,国土安全部(DHS)报告要求以及适用的管理与预算办公室(OMB)以及国家标准与技术研究所(NIST)信息安全指南。审核包括在NIST的特别出版物800-53,修订版5,信息系统和组织的安全和隐私控制中概述的选定管理,技术和运营控件的测试。
HUD财政年度2023年联邦信息安全现代化2014年评估报告
管理和预算办公室(0MB)在进行FISMA评估时建立了供IG申请的指标。与0MB指南一致,我们的评估对这些指标进行了评估,以确定该计划的成熟度和有效性。这些域由66个单独的指标组成,但是,2023财年0MB指示IG将评估集中在20个核心和20个补充指标上。使用旨在衡量代理机构Infosec计划的有效性的成熟度模型评估指标和域。使用具有成熟度1的5级成熟度模型来测量每个域,被描述为临时和5级被描述为优化。0MB和OIG FISMA指标指南指出,代理机构Infosec计划在成熟度4级有效,该计划是管理和可测量的成熟度级别。HUD的2023财年总体FISMA成熟度在2级,“定义”到期水平上进行了评估,该水平与其2022财年的成熟度相同。尽管HUD在40个指标中的10个指标中的成熟度增加,但在25个指标中保持相同的成熟度,并且在5个指标中的成熟度下降,这在统计学上与以前的财政年度一致。
备忘录日期: 收件人: 发件人: 主题
2025 年 2 月 4 日 美国核管理委员会监察长 Robert J. Feitel 阁下 尊敬的 Feitel 先生: Sikich CPA LLC(Sikich)1 很高兴提交附件报告,该报告详细说明了我们根据《2014 年联邦信息安全现代化法案》(FISMA)对美国核管理委员会(NRC)2024 财年(FY)第四区信息安全计划和实践进行绩效审计的结果。FISMA 要求包括 NRC 在内的联邦机构每年对其信息安全计划和实践进行一次独立评估。FISMA 规定评估将由机构的监察长(IG)或 IG 确定的独立外部审计师进行。NRC 监察长办公室(OIG)聘请了 Sikich 进行此次绩效审计。 NRC OIG 要求 Sikich 将 NRC 四个地区办事处中的两个和 NRC 技术培训中心纳入其对 NRC 2024 财年 FISMA 实施情况的独立评估。本报告介绍了 NRC 第四区的审计结果。我们从 2024 年 4 月到 10 月在弗吉尼亚州亚历山大市远程进行了审计实地工作,并在德克萨斯州阿灵顿的第四区设施现场进行了审计。我们根据美国审计长发布的《公认政府审计准则》进行了此次绩效审计。这些标准要求我们计划和执行审计以获得充分、适当的证据,为我们的审计目标和结论提供合理的基础。我们相信,获得的证据为我们的审计目标和结论提供了合理的基础。我们在附录 B:目标、范围和方法中描述了我们的目标、范围和方法。我们感谢 NRC 管理层和员工提供的协助。Sikich CPA LLC 弗吉尼亚州亚历山大市
HUD财政年度2024年联邦信息安全现代化2014年评估报告
Fisma评估。在OMB指导下,我们的评估评估了Depa Rtment的LNFOSEC计划AGA,以确定该计划的成熟度和效果。domai ns由66个单独的metr i cs组成,但是,对于2024财年的OMB仪表式IG,将评估集中在20个核心和17个补充指标上。使用旨在衡量代理机构LNFOSEC计划的有效性的成熟模型评估了指标和域。使用一个5级成熟度模型测量每个域,其成熟i Ty级别1被描述为临时,并被描述为优化的5级。OMB和OIG FISMA指标指南指出,机构LNFOSEC计划在成熟度4级有效,这是管理和可测量的成熟度级别。hu d的2024年整体Fisma成熟I Ty在第3级进行了评估,“始终实施”的成熟度,w hi h hi ch the ty ty ty ty ty ty水平增加了。hud在成熟度中增加了22个指标,并在剩余的15米I C中进行了同一垫子的维护。毫无疑问,HUD达到了成熟度4,是在14个大都会上首次进行管理和可测量的。
GAO-22-104364,网络安全
根据 FISMA 的要求,管理和预算办公室 (OMB) 与其他组织合作,为 IG 开展和报告机构 FISMA 评估提供指导。GAO 发现该指导并不总是很明确,导致 IG 应用不一致。此外,GAO 发现 OMB 的“有效”和“无效”总体 IG 评级量表导致评级不精确,无法明确区分机构实施网络安全要求的不同级别。因此,IG 评级对于网络安全监督的用处可能较小。通过澄清其未来的评级指导和改进其评级量表,OMB 可以帮助确保审查提供更一致的机构网络安全绩效图景,使国会能够更好地了解机构的相对网络安全风险。
在云安全评估,批准和监视过程中需要改进
政府范围的授权要求联邦机构扩大共享服务的使用,以更广泛地使用和采用云计算。1云计算定义为计算服务的交付,包括服务器,存储,数据库,网络,软件,分析和情报,通过Internet提供更快的创新,灵活的资源和规模经济。联邦风险和授权管理计划(FEDRAMP)是一项美国政府计划,标准化2014年《联邦信息安全现代化法》(FISMA)如何适用于云计算服务。2 FedRamp任务是通过提供标准化的安全和风险评估方法来促进政府通过安全云服务的采用。Fisma专注于改善对联邦信息安全计划的监督,并促进代理机构信息安全弱点的进展。当云中托管的应用程序具有未识别的内部控制缺陷或未经监控的安全弱点时,可能会导致敏感数据披露。
收敛程序更新 - 2024年1月
目标C:在Converge Go Live上充当高性能代理,FRTIB能够完全补救21个先前的审计结果。此外,汇聚环境大大提高了FRTIB的安全环境,从2022年至2023年提高了该机构在4个领域的FISMA评级。
代理主任詹姆斯·A·圣皮埃尔 (James A. St. Pierre) 的证词信息......
在网络安全领域,NIST 自 1972 年以来一直与联邦机构、行业、国际合作伙伴和学术界合作,当时它帮助开发和发布了数据加密标准,该标准提高了安全性,例如我们今天享受的电子银行。NIST 的作用是提供标准、指导、工具、数据参考和测试方法,以保护信息系统免受对信息和服务的机密性、完整性和可用性的威胁。1987 年《计算机安全法》(公法 100-235)加强了这一作用,2002 年《联邦信息安全管理法》(FISMA)(公法 107-347)1 扩大了这一作用,并在 2014 年《联邦信息安全现代化法案》(FISMA 2014)(公法 113-283)中得到重申。此外,2014 年《网络安全增强法案》(公法 113-274)授权 NIST 促进和支持关键基础设施自愿的、行业主导的网络安全标准和最佳实践的开发。
2023 年 12 月 4 日 M-24-04 备忘录...
衡量零信任实施情况:各机构必须在 2024 财年之前采取分步措施,以实现 EO 14028 和 M-22-09 的目标。OMB 已与机构首席信息官 (CIO) 和首席信息安全官 (CISO) 以及网络安全和基础设施安全局 (CISA) 合作,以确保 FISMA 数据收集中使用的指标与这些优先事项保持一致。OMB 将继续使 FISMA 下的绩效管理与国家标准与技术研究所 (NIST) 网络安全框架 (CSF) 和机构零信任实施策略的实施基准保持一致。除非有明确的数据证明这种信心是合理的,否则联邦政府不再认为任何联邦系统或网络是“可信的”;这意味着必须将内部流量和数据视为存在风险。由于现代网络威胁行为者继续成功突破边界,因此必须评估整个生态系统的网络安全措施。