2022年3月31日，美國國會政府問責局（GAO）網(wǎng)站發(fā)布報告，題為《Cybersecurity: OMB Should Update Inspector General Reporting Guidance to Increase Rating Consistency and Precision》。報告要點如下：

我們審查了23個民用聯(lián)邦機構實施2014年《聯(lián)邦信息安全現(xiàn)代化法案》（FISMA）的情況。

在是否以及如何實施所需的安全計劃上，各機構的情況好壞參半。例如，大多數(shù)報告稱達到了檢測和預防事件的目標。然而，監(jiān)察長發(fā)現(xiàn)23個機構中只有7個在2020 財年制定了有效的安全計劃。

我們還發(fā)現(xiàn)，為監(jiān)察長審查提供的指南并不總是很清晰，導致效率評級不準確。我們的 兩條建議解決了這個問題。

確保國家的賽博安全是我們《高風險清單》上的一個主題。

研究目的

自1997年以來，GAO已將信息安全指定為政府范圍內(nèi)的高風險領域。為了保護聯(lián)邦信息和系統(tǒng)，F(xiàn)ISMA 要求聯(lián)邦機構制定、記載和實施信息安全計劃。國會在FISMA中有一項規(guī)定，要求GAO定期報告各機構對該法案的執(zhí)行情況。

GAO 在本報告中的目標是：（1）描述聯(lián)邦機構實施賽博安全政策和實踐的有效性報告，以及（2）評估聯(lián)邦機構相關官員所認為的FISMA在提高機構信息系統(tǒng)安全方面的有效性程度。

為此，GAO 審查了23個民用首席財務官（CFO）法案機構的FISMA報告、機構報告的績效數(shù)據(jù)、過去的GAO報告以及管理和預算辦公室（OMB）文件和指南。GAO還采訪了來自24個CFO法案機構（即23個民間CFO法案機構和國防部）、監(jiān)察長誠信與效率委員會和OMB的機構官員。

主要發(fā)現(xiàn)

2020財年，聯(lián)邦機構實施2014年FISMA規(guī)定要求的情況好壞參半。例如，越來越多的機構報告稱達到了管理其軟件資產(chǎn)安全性以及入侵檢測和預防的目標。然而，監(jiān)察長發(fā)現(xiàn)各機構在賽博安全實踐方面的表現(xiàn)參差不齊。2020 財年，監(jiān)察長確定23個1990年民用CFO法案機構中有7個擁有有效的信息安全計劃。2017-2020財年，獲得有效評級的機構百分比總體上保持一致，從22%到30%不等。

據(jù)所有24個CFO法案機構的官員稱，F(xiàn)ISMA及相關的報告流程使其機構能提高信息安全計劃的有效性。具體而言，14 個機構的首席信息官和首席信息安全官表示，F(xiàn)ISMA 在很大程度上提高了計劃的有效性，而10個機構的官員表示，它在一定程度上提高了有效性。

根據(jù)FISMA的要求，OMB與其它組織合作為監(jiān)察長提供有關開展和報告機構FISMA評估的指南。GAO發(fā)現(xiàn)該指南并不總是明晰的，導致監(jiān)察長的應用情況不一致。此外，GAO 發(fā)現(xiàn)OMB“有效”和“無效”的整體監(jiān)察長評級量表導致評級不準確，無法清楚地區(qū)分各機構實施賽博安全要求的不同程度。因此，監(jiān)察長評級對賽博安全監(jiān)督的用處可能較小。通過明確其未來的評級指南并改進其評級尺度，OMB可以幫助確保所作審查能提供更加一致的機構賽博安全績效圖景，使國會能夠更好地了解機構的相關賽博安全風險。

GAO建議

GAO 提出兩項建議，即OMB與其它機構協(xié)商，明確其對監(jiān)察長的指南，并制定更精確的整體評級量表。OMB不同意我們的建議，表示他們希望在某種程度上為監(jiān)察長提供調(diào)整其評審的靈活性。盡管如此，GAO 認為這些建議是有根據(jù)的，可以為機構的賽博安全績效提供更加一致和準確的圖景。heavy fuel engine