政府问责办公室 成立 在2015年,人事管理办公室的网络安全姿势仍然缺乏在原子能机构的主要黑客之后。

自数据泄露以来,OPM已采取措施确保其最敏感的系统,但是:

  • opm.可以提出进一步的改进。
  • 原子能机构并未始终如一地更新完成日期以获得未偿还的建议。
  • opm没有验证采取的纠正措施,以确保有效地解决了这些建议。

opm.确定了其高价值资产,但它没有在一个所选系统上加密存储的数据,并未对另一个系统加密传输的数据。

9月20日在第六届网络安全头脑风暴中加入我们,在Newseum讨论了网络策略和机会,可以始终保持联邦政府的一步。 点击此处了解更多并注册。

“直到OPM完成实施政府范围的要求,它的系统比他们需要的风险更大,”高报告称。

opm.监督其承包商系统的安全性时,OPM无法全面测试其控制。 OPM在修订计划中记录承包商制度的安全评估调查结果,但原子能机构没有确保系统安全评估涉及全面测试。 OPM要求IT人员进行承包商运营系统的审查;但是,OPM没有关于如何进行审查的政策。

“直到这种过程明确定义和记录,OPM将不得保证,旨在保护维护在承包商操作系统上的OPM信息的安全控制得到充分实施,”高报告称。

高推荐opm应该:

  • 更新其政策,以反映国土安全部门部署和具体的24小时扫描要求。
  • 使用连续诊断和缓解工具,为员工制定和实施基于角色的培训要求。
  • 提供有关质量保证程序的详细指导,包括评估安全控制评估。
  • 更新行动计划和里程碑,以反映执行美国证书所作建议的预期完成日期。
  • 并改善验证与采取的行动相关的证据的及时性,以应对美国证监会提出建议。
阅读更多信息