在一个 报告 今天发布的政府问责办公室(高)表示,人事管理办公室(OPM)尚未实施高于高于高于高于OPM的高新信息安全建议。

2015年2月至2017年8月,高发签署了有关OPM信息安全惯例的四份报告,其中包括80项建议,以提高原子能机构的安全态度。为了遵守2018年综合拨款法案的一部分的解释性陈述,高房屋和参议院拨款小组委员会关于OPM如何应对高的信息安全建议的金融服务和一般政府。通过这一要求,高于今年9月开始审计OPM回应。

“OPM在实施提升安全姿势的建议方面取得了进展,但高级信息安全问题总监Gregory C.Wilshusen董事致函董事会和参议院成员的一封信申请金融服务的小组委员会,Sens。詹姆斯兰福德,R-Tokas和Chris Coons,D-Conn。和Reps。汤姆坟墓,R-Ga。和Mike Quigley,D-Ill。

“截至2018年9月20日,原子能机构实施了80项建议的51(约64%),但没有提供任何证据,或提供不足的证据,以证明剩余建议的执行情况,”Wilshusen告诉法律制作者。

GAO通过报告驳回了哪些建议尚未实施:

  • GAO-16-501.-OPM尚未实施任何报告的四项建议,其中包括提高安全计划的建议,执行全面的安全控制评估,更新两个选定的高影响系统的补救措施计划,并为所有人提供和跟踪包括承包商的专业培训,谁拥有巨大的安全责任。 GAO指出,它将前三项建议指定为“优先建议”。
  • 高16-687楼 - 对于本报告,OPM已经实施了大多数GAO的建议-46,其中62名。未实现的建议包括“避免使用多人使用同一管理员账户,实施关于关键计算机上使用特权的程序,加密使用特殊权限的程序在网络上存储或传输时的密码,并在支持高冲击系统的网络设备上安装最新版本的操作系统软件。“
  • GAO-17-459SU-OPM仍然有七个剩下的九个建议,以便为第三次报告实施。在报告中,GAO建议OPM重置所有密码 opm.的2015年数据泄露“以”及时“安装关键修补程序,定期评估帐户以确保有保证特权访问,并在其持续监控计划中定义的所选系统进行评估。”
  • GAO-17-614 - 在上一份报告审计后,OPM已实施五项五项建议。仍然存在OPM的待办事项列表是“改善验证纠正措施的及时性以及为使用特殊工具制定和实施员工培训要求的建议。”这两项建议被高位被称为“优先建议”。

在致立法者的信中,Wilshusen表示,OPM的官员首席信息官员表示,该代理机构计划于2018年底执行25项剩余的29项建议,并将在2019财年末执行另外三项建议。然而,原子能机构不计划在承包商工作站上实施关于部署安全工具的GAO的建议。

“原子能机构断言它有补偿控制该建议的意图,但没有向我们提供这些控件的证据,”Wilshusen写道。 “迅速实施所有剩余的公开建议对于确保适当的控制来保护原子能机构的制度和信息至关重要,”他说。

阅读更多信息
关于
凯特PORIT.
凯特PORIT.
凯特PORIT.是Meritalk的助手副本&生产编辑涵盖政府和技术的交汇处。
标签