XiaoMi-AI文件搜索系统
World File Search SystemFISMA
附件H-行动计划和里程碑计划(POAM)指南
本POA&M指南的目的是概述开发,维护,结束和报告计划的要求以及对支持DHS的所有信息系统和计划的DHS的系统级弱点和缺陷。本指南中提供的信息适用于所有DHS信息系统,包括承包商经营的DHS信息系统(即由DHS拥有但由承包商运营的系统)和外部操作或托管的信息系统(即,在DHS环境中管理或托管的系统,包括云系统,包括云系统,包括云系统),包括云系统,包括云系统,收集,商店,流程,流程或传输DHS。在本指南中,系统是指DHS FISMA系统清单中列出的任何系统,其中包括由承包商管理和 /或操作的系统以及代表DHS行动的第三方服务提供商,例如云服务提供商(CSP)。它还为正确管理并输入CSAM的所有POA和M信息提供了必要的要求和保护。
生成式人工智能和双重用途基础模型的安全软件开发实践
权力 本出版物由 NIST 根据其在 2014 年《联邦信息安全现代化法案》(FISMA)、44 USC § 3551 等、公法(PL)113-283 下的法定职责制定。NIST 负责制定信息安全标准和指南,包括联邦信息系统的最低要求,但未经对此类系统行使政策权力的适当联邦官员明确批准,此类标准和指南不适用于国家安全系统。本指南符合管理和预算办公室 (OMB) 通告 A-130 的要求。本出版物中的任何内容均不得与商务部长根据法定权力强制执行并约束联邦机构的标准和指南相抵触。这些指南也不得解释为改变或取代商务部长、OMB 主任或任何其他联邦官员的现有权力。非政府组织可以自愿使用本出版物,并且在美国不受版权保护。但如果您注明来源,NIST 将不胜感激。
高性能计算 (HPC) 安全
权力 本出版物由 NIST 根据其在 2014 年《联邦信息安全现代化法案》(FISMA)、44 USC § 3551 等、公法(PL)113-283 下的法定职责制定。NIST 负责制定信息安全标准和指南,包括联邦信息系统的最低要求,但未经对此类系统行使政策权力的适当联邦官员明确批准,此类标准和指南不适用于国家安全系统。本指南符合管理和预算办公室 (OMB) 通告 A-130 的要求。本出版物中的任何内容均不得与商务部长根据法定权力强制联邦机构遵守的标准和指南相抵触。这些指南也不得解释为改变或取代商务部长、OMB 主任或任何其他联邦官员的现有权力。非政府组织可以自愿使用本出版物,并且在美国不受版权保护。但如果您注明来源,NIST 将不胜感激。
安全企业网络环境指南
权力 本出版物由 NIST 根据其在 2014 年《联邦信息安全现代化法案》(FISMA)、44 USC § 3551 等、公法(PL)113-283 下的法定职责制定。NIST 负责制定信息安全标准和指南,包括联邦信息系统的最低要求,但未经对此类系统行使政策权力的适当联邦官员明确批准,此类标准和指南不适用于国家安全系统。本指南符合管理和预算办公室 (OMB) 通告 A-130 的要求。本出版物中的任何内容均不得与商务部长根据法定权力强制执行并约束联邦机构的标准和指南相抵触。这些指南也不得解释为改变或取代商务部长、OMB 主任或任何其他联邦官员的现有权力。非政府组织可以自愿使用本出版物,并且在美国不受版权保护。但如果您注明来源,NIST 将不胜感激。
NIST.IR.8401.pdf
权力 本出版物由 NIST 根据其在 2014 年《联邦信息安全现代化法案》(FISMA)、44 USC § 3551 等、公法(PL)113-283 下的法定职责制定。NIST 负责制定信息安全标准和指南,包括联邦信息系统的最低要求,但未经对此类系统行使政策权力的适当联邦官员明确批准,此类标准和指南不适用于国家安全系统。本指南符合管理和预算办公室 (OMB) 通告 A-130 的要求。本出版物中的任何内容均不得与商务部长根据法定权力强制执行并约束联邦机构的标准和指南相抵触。这些指南也不得解释为改变或取代商务部长、OMB 主任或任何其他联邦官员的现有权力。非政府组织可以自愿使用本出版物,并且在美国不受版权保护。但如果您注明来源,NIST 将不胜感激。
监察长佩吉·E·古斯塔夫森 (Peggy E. Gustafson) 的证词
6 DOC OIG,2022 年 6 月 15 日。该部门在实施国家安全系统的 IT 安全要求方面管理不善、忽视和浪费资金,OIG-22-023-I。华盛顿特区:DOC OIG。7 DOC OIG,2022 年 7 月 20 日。USPTO 需要改进其成本估算、调度和敏捷实践,以便及时淘汰专利遗留系统,OIG-22-026-A。华盛顿特区:DOC OIG。8 DOC OIG,2021 年 8 月 16 日。美国人口普查局对 2020 年 1 月网络安全事件的处理不当表明存在改进机会,OIG-21-034-A。华盛顿特区:DOC OIG。9 DOC OIG,2022 年 11 月 22 日。模拟内部网络攻击获得对关键人口普查局系统的控制权,OIG-23-004-I。华盛顿特区:DOC OIG。10 FISMA 有五个功能领域:识别、保护、检测、响应和恢复。该部门从 2020 财年到 2021 财年提高了识别和响应的成熟度。
GAO-24-105658,网络安全:联邦机构取得了进步,但需要充分执行事件响应要求
Abbreviations Agriculture Department of Agriculture AIS Automated Indicator Sharing CDM continuous diagnostics and mitigation CFO Chief Financial Officers CIO Chief Information Officer CISA Cybersecurity and Infrastructure Security Agency COOP continuity of operations plan DHS Department of Homeland Security DOD Department of Defense EDR endpoint detection and response FBI Federal Bureau of Investigation FDA Food and Drug Administration FISMA Federal Information Security Modernization Act of 2014 HIRT Hunt and Incident Response Team ICOAST Intelligence Community Analysis and Signature Tool IG Inspector General IT information technology MOA memoranda of agreement NIST National Institute of Standards and Technology NSF National Science Foundation ODNI Office of the Director of National Intelligence OMB Office of Management and Budget SBA Small Business Administration USAID U.S. Agency for International Development US-CERT United States Computer Emergency Readiness Team
行动计划和里程碑流程指南
2014 年《联邦信息安全现代化法案》(FISMA)1 规定,每个联邦机构及其相关机构部门必须制定和实施 POA&M 流程,以记录和修复/缓解项目和系统级信息安全漏洞,并定期向 OMB 和国会报告修复进度。关于加强联邦网络和关键基础设施网络安全的总统行政命令 13800 指出:“已知但未得到缓解的漏洞是行政部门和机构面临的最高网络安全风险之一。”2 OMB 发布了各种备忘录,其中包含执行法规和行政命令的要求,并要求项目官员定期向机构首席信息官 (CIO) 汇报 POA&M 的进展情况,以便 CIO 可以监控修复工作并定期向 OMB 提供更新。因此,CMS 必须根据美国卫生与公众服务部 (HHS) 信息系统安全和隐私 (IS2P) 政策为每个系统和每个安全/隐私程序制定 POA&M,以跟踪已识别的风险和弱点,直至得到补救或缓解。
行动计划和里程碑流程指南
2014 年《联邦信息安全现代化法案》(FISMA)1 规定,每个联邦机构及其相关机构部门必须制定和实施 POA&M 流程,以记录和补救/缓解计划和系统级信息安全漏洞,并定期向 OMB 和国会报告补救进展。关于加强联邦网络和关键基础设施网络安全的总统行政命令 13800 指出,“已知但未缓解的漏洞是行政部门和机构面临的最高网络安全风险之一。” 2 OMB 发布了各种备忘录,其中包含实施法规和行政命令的要求,并要求计划官员定期向机构首席信息官 (CIO) 汇报 POA&M 的进展情况,以便 CIO 可以监控补救工作并定期向 OMB 提供更新。因此,CMS 必须根据美国卫生与公众服务部 (HHS) 信息系统安全和隐私 (IS2P) 政策为每个系统和每个安全/隐私程序制定 POA&M,以跟踪已识别的风险和弱点,直至得到补救或缓解。
将可同步的身份验证器纳入NIST SP 800-63B
权威本出版物是由NIST根据其法定责任根据《联邦信息安全现代化法》(FISMA)制定的,2014年44年4月44日。§3551et Seq。,公法(P.L.)113-283。 nist负责制定信息安全标准和准则,包括对联邦信息系统的最低要求,但是如果未经适当的联邦官员对此类系统行使政策权限的适当批准,此类标准和准则不适用于国家安全系统。 本指南与管理和预算办公室(OMB)通函A-130的要求一致。 本出版物中的任何内容都不应与法定当局根据商业部长对联邦机构的强制性和约束力的标准和指南相矛盾。 也不应将这些准则解释为改变或取代商务部长,OMB董事或任何其他联邦官员的现有当局。 非政府组织可以自愿使用本出版物,在美国不受版权。 但是,归因将受到NIST的赞赏。113-283。nist负责制定信息安全标准和准则,包括对联邦信息系统的最低要求,但是如果未经适当的联邦官员对此类系统行使政策权限的适当批准,此类标准和准则不适用于国家安全系统。本指南与管理和预算办公室(OMB)通函A-130的要求一致。本出版物中的任何内容都不应与法定当局根据商业部长对联邦机构的强制性和约束力的标准和指南相矛盾。也不应将这些准则解释为改变或取代商务部长,OMB董事或任何其他联邦官员的现有当局。非政府组织可以自愿使用本出版物,在美国不受版权。归因将受到NIST的赞赏。