XiaoMi-AI文件搜索系统
World File Search System行动计划和里程碑
内部检查行动计划和里程碑
该机构必须实施一个流程,以确保制定和监控行动计划和里程碑 (POA&M)。POA&M 必须包括在内部检查期间确定的纠正措施,并将确定该机构计划采取哪些行动来解决这些发现。
行动计划和里程碑流程指南
2014 年《联邦信息安全现代化法案》(FISMA)1 规定,每个联邦机构及其相关机构部门必须制定和实施 POA&M 流程,以记录和修复/缓解项目和系统级信息安全漏洞,并定期向 OMB 和国会报告修复进度。关于加强联邦网络和关键基础设施网络安全的总统行政命令 13800 指出:“已知但未得到缓解的漏洞是行政部门和机构面临的最高网络安全风险之一。”2 OMB 发布了各种备忘录,其中包含执行法规和行政命令的要求,并要求项目官员定期向机构首席信息官 (CIO) 汇报 POA&M 的进展情况,以便 CIO 可以监控修复工作并定期向 OMB 提供更新。因此,CMS 必须根据美国卫生与公众服务部 (HHS) 信息系统安全和隐私 (IS2P) 政策为每个系统和每个安全/隐私程序制定 POA&M,以跟踪已识别的风险和弱点,直至得到补救或缓解。
行动计划和里程碑流程指南
2014 年《联邦信息安全现代化法案》(FISMA)1 规定,每个联邦机构及其相关机构部门必须制定和实施 POA&M 流程,以记录和补救/缓解计划和系统级信息安全漏洞,并定期向 OMB 和国会报告补救进展。关于加强联邦网络和关键基础设施网络安全的总统行政命令 13800 指出,“已知但未缓解的漏洞是行政部门和机构面临的最高网络安全风险之一。” 2 OMB 发布了各种备忘录,其中包含实施法规和行政命令的要求,并要求计划官员定期向机构首席信息官 (CIO) 汇报 POA&M 的进展情况,以便 CIO 可以监控补救工作并定期向 OMB 提供更新。因此,CMS 必须根据美国卫生与公众服务部 (HHS) 信息系统安全和隐私 (IS2P) 政策为每个系统和每个安全/隐私程序制定 POA&M,以跟踪已识别的风险和弱点,直至得到补救或缓解。
FedRAMP 行动计划和里程碑 (POA&M) 模板...
说明误报 (FP) 偏差请求的状态。当发现系统中实际上不存在的漏洞时,就会发生 FP。众所周知,这种情况时常发生在扫描工具中。如果 CSP 认为某个发现是 FP,他们必须将此列设置为“待定”,并立即使用 FedRAMP 偏差请求表向其 AO 提交偏差请求,包括 FP 的证据。如果 AO 批准偏差请求,CSP 必须将其更改为“是”。如果 AO 拒绝偏差请求,或者如果 CSP 不认为该发现是 FP,CSP 必须将此条目设置为“否”。AO 批准的误报也可以关闭;有关关闭 POA&M 项目的指导,请参阅第 2.2 节。
行动计划和里程碑 (POA&M) CIO-IT 安全-09 ...
2 角色和职责 ................................................................................................................................ 4 2.1 GSA 首席信息官 (CIO) ................................................................................................................ 4 2.2 GSA 首席信息安全官 (CISO) ............................................................................................................ 4 2.3 授权官员 (AO) ............................................................................................................................. 5 2.4 首席信息安全官办公室 (OCISO) 主任 ............................................................................. 5 2.5 信息系统安全经理 (ISSM) ............................................................................................................. 5 2.6 信息系统安全官 (ISSO) ............................................................................................................. 6 2.7 系统所有者 ............................................................................................................................. 6
附件H-行动计划和里程碑计划(POAM)指南
本POA&M指南的目的是概述开发,维护,结束和报告计划的要求以及对支持DHS的所有信息系统和计划的DHS的系统级弱点和缺陷。本指南中提供的信息适用于所有DHS信息系统,包括承包商经营的DHS信息系统(即由DHS拥有但由承包商运营的系统)和外部操作或托管的信息系统(即,在DHS环境中管理或托管的系统,包括云系统,包括云系统,包括云系统),包括云系统,包括云系统,收集,商店,流程,流程或传输DHS。在本指南中,系统是指DHS FISMA系统清单中列出的任何系统,其中包括由承包商管理和 /或操作的系统以及代表DHS行动的第三方服务提供商,例如云服务提供商(CSP)。它还为正确管理并输入CSAM的所有POA和M信息提供了必要的要求和保护。
管理咨询:国防部应分析使用条码扫描仪对需要加强最终用途监控的国防物品进行盘点的情况
代理国防部政策副部长部分同意报告中的建议,但并未完全解决该建议。据代理国防部政策副部长称,国防部政策副部长办公室和国防安全合作局的官员每周都会与主要利益相关者会面,讨论条形码扫描仪的功效和改进,并正在努力寻求管理咨询中确定的解决方案。代理国防部副部长表示,在讨论更广泛地推广条形码扫描仪之前,需要对条形码扫描仪进行更广泛的测试和研究,届时将需要对计划的现状进行重新评估,以确定是否有必要制定行动计划和里程碑来纠正未解决的挑战。代理国防部副部长的评论不符合我们建议的意图,因此我们认为该建议尚未解决。当国防部政策副部长办公室 (OUSD[P]) 同意提供行动计划和里程碑,详细说明具体行动和时间表以解决本咨询中确定的使用手持式条形码扫描仪的挑战时,我们将认为该建议已得到解决。当 OUSD[P] 向我们提供文件证明行动计划和里程碑已经执行,且利益相关者已使用手持条形码扫描仪纠正了未解决的挑战时,我们将关闭此建议。请在 30 天内向我们提供有关正在进行或已完成的具体计划或行动的回复。如果是非机密的,请将您的回复发送至 SECRET,如果是机密的,请发送至 SECRET。
2024-22905.pdf
14 www.acquisition.gov/dfars/252.204-7012-safeguarding-cofeguarding-defense-nefense-information-enformation-cyber-Inciltion-Inciltion-Incifent-Incifent-Indifter-自2016年11月以来,NIST SP 800-171 R2安全要求3.12.4国家组织必须“开发系统的安全性,并在系统中进行系统的范围,并将系统范围内的安全性范围换成系统的安全性,并确定系统的安全性,并确定系统的安全性,并范围内的安全性界限与其他系统的连接或连接。” 16 www.sprs.csd.disa.mil/在OMB控制编号0750-0004下17 DFARS第252.204-7020条所述的行动计划要求与CMM中CMM中的行动计划和里程碑(POA&M)的要求不同。
GAO-23-105556,军事准备
国防部 (DOD) 于 2002 年发布了一项临时预测性维护政策,但直到最近,各军种才在实施该政策方面取得了有限的进展。2007 年,国防部指示各军种指定一个预测性维护的单一联络点,提供资金,并开始实施预测性维护,以在技术上可行且有益的情况下以最佳成本实现战备状态。虽然各军种已开始在某些武器系统上试行预测性维护计划,但他们不会根据预测性维护预测定期更换零件或组件。GAO 发现,各军种并未持续采用和跟踪预测性维护的实施情况。通过制定实施预测性维护的计划,包括武器系统的行动计划和里程碑,各军种将能够更好地确定在何处、何时以及如何有效地采用预测性维护。