关注我们
美国发布了FISMA2023年度报告。
OMB根据各机构首席信息官(CIOs)、 Inspectors General(IGs)和 Senior Agency Officials for Privacy(SAOPs)的报告,评估了机构的网络安全和隐私实践。
报告强调了保护个人信息(PII)的重要性,并提到了联邦政府在管理PII相关风险方面的努力。
报告详细介绍了国家网络安全保护系统(NCPS)的实施情况,包括EINSTEIN传感器套件的部署和保护。
介绍了网络安全和基础设施安全局(CISA)的 Cyber Analytic and Data System(CADS)的建立,这是一个用于支持CISA网络操作的现代化、可扩展的分析基础设施。
报告还提到了联邦政府在应对重大网络安全事件方面的努力,包括对 Medicare beneficiary 数据泄露、IRS 990-T form 泄露、Treasury 网络攻击等事件的处理。
文档中提供了详细的表格和统计数据,显示了各机构在实施网络安全和隐私措施方面的绩效。
报告还包括了对 Senior Agency Officials for Privacy(SAOPs)的绩效评估,包括对隐私计划、个人信息和Social Security numbers的管理、风险管理框架的实施等。
文档中还提到了联邦政府在IT系统投资和隐私影响评估方面的实践,以及对于 workforce management 和 contractors 的隐私意识培训和规则制定。
最后,报告强调了联邦机构在应对数据泄露和隐私事件方面的准备和响应能力。
关键结论是,美国政府在网络安全和隐私方面采取了一系列措施,包括技术部署、政策制定、员工培训等,以保护敏感数据并应对不断演变的网络安全威胁。然而,仍然存在挑战,需要持续的努力和改进。
政策与计划:联邦机构必须制定并实施网络安全和隐私政策,这些政策应包括明确的标准和程序,以保护联邦信息及信息系统的安全。
风险管理:机构必须建立并维护一个风险管理框架,该框架应指导和告知如何处理个人信息(PII),包括如何分类、选择、实施和评估隐私控制措施。
隐私影响评估(PIA):在开发、采购或使用IT系统时,机构必须进行隐私影响评估,以确定对个人隐私的影响,并采取必要措施以减轻潜在风险。
个人信息inventory:机构必须维护一个包含所有处理PII的IT系统的详细inventory。
隐私控制措施:机构必须确保在其信息系统中实施足够的隐私控制措施,这些措施应包括技术、管理和物理控制。
持续监测:机构必须建立并维护一个隐私持续监测策略和计划,以确保隐私控制措施的有效性。
员工培训:机构必须为所有员工和承包商提供隐私意识培训,并确保他们了解并遵守相关的隐私政策和规则。
承包商管理:机构必须确保与承包商签订的合同中包含隐私要求,并确保承包商遵守这些要求。
社会安全号码(SSN)管理:机构必须采取措施以减少不必要的SSN收集、维护和使用,并探索替代ID的方法。
事件响应:机构必须具备应对数据泄露和隐私事件的能力,包括及时检测、适当响应和有效恢复。
领导与责任:每个联邦机构必须指定一名高级官员作为SAOP(Senior Agency Official for Privacy),负责领导机构的隐私保护工作,并确保机构遵守隐私法律和政策。
这些要求旨在确保联邦机构采取必要措施,保护敏感数据并应对不断演变的网络安全和隐私威胁。
电话:010-84645772
网站:www.milthink.com
