GAO報告：賽博安全——OMB 應(yīng)更新監(jiān)察長報告指南以提高評級一致性和準確性

2022年3月31日，美國國會政府問責(zé)局（GAO）網(wǎng)站發(fā)布報告，題為《Cybersecurity: OMB Should Update Inspector General Reporting Guidance to Increase Rating Consistency and Precision》。報告要點如下：

我們審查了23個民用聯(lián)邦機構(gòu)實施2014年《聯(lián)邦信息安全現(xiàn)代化法案》（FISMA）的情況。

在是否以及如何實施所需的安全計劃上，各機構(gòu)的情況好壞參半。例如，大多數(shù)報告稱達到了檢測和預(yù)防事件的目標。然而，監(jiān)察長發(fā)現(xiàn)23個機構(gòu)中只有7個在2020 財年制定了有效的安全計劃。

我們還發(fā)現(xiàn)，為監(jiān)察長審查提供的指南并不總是很清晰，導(dǎo)致效率評級不準確。我們的 兩條建議解決了這個問題。

確保國家的賽博安全是我們《高風(fēng)險清單》上的一個主題。

研究目的

自1997年以來，GAO已將信息安全指定為政府范圍內(nèi)的高風(fēng)險領(lǐng)域。為了保護聯(lián)邦信息和系統(tǒng)，F(xiàn)ISMA 要求聯(lián)邦機構(gòu)制定、記載和實施信息安全計劃。國會在FISMA中有一項規(guī)定，要求GAO定期報告各機構(gòu)對該法案的執(zhí)行情況。

GAO 在本報告中的目標是：（1）描述聯(lián)邦機構(gòu)實施賽博安全政策和實踐的有效性報告，以及（2）評估聯(lián)邦機構(gòu)相關(guān)官員所認為的FISMA在提高機構(gòu)信息系統(tǒng)安全方面的有效性程度。

為此，GAO 審查了23個民用首席財務(wù)官（CFO）法案機構(gòu)的FISMA報告、機構(gòu)報告的績效數(shù)據(jù)、過去的GAO報告以及管理和預(yù)算辦公室（OMB）文件和指南。GAO還采訪了來自24個CFO法案機構(gòu)（即23個民間CFO法案機構(gòu)和國防部）、監(jiān)察長誠信與效率委員會和OMB的機構(gòu)官員。

主要發(fā)現(xiàn)

2020財年，聯(lián)邦機構(gòu)實施2014年FISMA規(guī)定要求的情況好壞參半。例如，越來越多的機構(gòu)報告稱達到了管理其軟件資產(chǎn)安全性以及入侵檢測和預(yù)防的目標。然而，監(jiān)察長發(fā)現(xiàn)各機構(gòu)在賽博安全實踐方面的表現(xiàn)參差不齊。2020 財年，監(jiān)察長確定23個1990年民用CFO法案機構(gòu)中有7個擁有有效的信息安全計劃。2017-2020財年，獲得有效評級的機構(gòu)百分比總體上保持一致，從22%到30%不等。

據(jù)所有24個CFO法案機構(gòu)的官員稱，F(xiàn)ISMA及相關(guān)的報告流程使其機構(gòu)能提高信息安全計劃的有效性。具體而言，14 個機構(gòu)的首席信息官和首席信息安全官表示，F(xiàn)ISMA 在很大程度上提高了計劃的有效性，而10個機構(gòu)的官員表示，它在一定程度上提高了有效性。

根據(jù)FISMA的要求，OMB與其它組織合作為監(jiān)察長提供有關(guān)開展和報告機構(gòu)FISMA評估的指南。GAO發(fā)現(xiàn)該指南并不總是明晰的，導(dǎo)致監(jiān)察長的應(yīng)用情況不一致。此外，GAO 發(fā)現(xiàn)OMB“有效”和“無效”的整體監(jiān)察長評級量表導(dǎo)致評級不準確，無法清楚地區(qū)分各機構(gòu)實施賽博安全要求的不同程度。因此，監(jiān)察長評級對賽博安全監(jiān)督的用處可能較小。通過明確其未來的評級指南并改進其評級尺度，OMB可以幫助確保所作審查能提供更加一致的機構(gòu)賽博安全績效圖景，使國會能夠更好地了解機構(gòu)的相關(guān)賽博安全風(fēng)險。

GAO建議

GAO 提出兩項建議，即OMB與其它機構(gòu)協(xié)商，明確其對監(jiān)察長的指南，并制定更精確的整體評級量表。OMB不同意我們的建議，表示他們希望在某種程度上為監(jiān)察長提供調(diào)整其評審的靈活性。盡管如此，GAO 認為這些建議是有根據(jù)的，可以為機構(gòu)的賽博安全績效提供更加一致和準確的圖景。heavy fuel engine