环境保护局(EPA)督察办公室已将网络安全和数据管理问题标记为最高管理层的最高管理挑战,该问题在2019财年在2019财年需要解决。

在一个 最高管理挑战报告,OIG批评了环保署的网络安全计划,特别是对于其内部控制和承包商性能监测过程。

报告称,“环保署的当前事件跟踪系统缺乏所需的安全控制,以保护个人身份信息(PII)和实施密码管理要求的机密性。” “此外,EPA数据很容易受到未经授权的访问,因为没有程序确保为文件服务器和共享文件夹实现EPA安全控制要求。”

进一步表示,EPA并未以与联邦政策或指导一致的方式完全解决其CIO的作用,并且管理和预算风险管理评估评估评估评估评估评估为“危险”,这意味着它的含义一些政策到位,整体网络安全计划仍然存在显而易见的差距。

为了改善网络安全管理,OIG建议EPA制定和实施加强控制和运营的过程,实施持续监测评估建议,进入原子能机构的信息安全行动监测,并与国土安全部和国家标准研究所合作和技术了解数据违抗风险和重新评估信息分类。

此外,OIG表示,EPA应实施一种保护PII机密性的战略,解决CIO的作用,并采取行动与各自的关键基础设施部门合作伙伴咨询,以制定网络安全框架。最后,EPA应创建一个控制以验证和建立一系列关键过程。

“[EPA需要]建立一个控制,以验证代理人员为漏洞测试结果创建所需的行动和里程碑计划,建立一个定期审查该机构的跟踪系统安全设置,以验证每个设置符合原子能机构的标准,以及与跟踪系统的供应商合作以确定审计日志记录是否可以捕获所有数据更改,“OIG表示。

随着网络安全,OIG表示,EPA需要提高其数据质量,并应填补数据差距以改善计划性能和决策。

“数据质量和差距很重要,因为管理人员使用数据来管理EPA的程序来实现原子能机构的目标,”OIG说。 “EPA需要,并期望高质量,准确,完整的数据,以支持高质量的决策。”

环保局已表示已经开始迁移到电子报告,其中OIG表示应简化报告和简化代理机构的数据。但OIG还补充说,EPA仍然需要验证和验证电子报告的数据,以确保它准确,及时,格式化。

阅读更多信息