(ได้รับความอนุเคราะห์จาก Kratos)ถึงเวลานั้นของปีอีกครั้ง และเจ้าหน้าที่หน่วยงานของรัฐบาลกลางก็ทราบการฝึกซ้อมการตรวจสอบของ Federal Information Security Management Actแต่ก็เช่นเดียวกับการสวดปัสกา “ทำไมคืนนี้จึงแตกต่างจากคืนอื่นๆ ทั้งหมด” เราถามว่าทำไมการตรวจสอบ FISMA ในปีนี้จึงแตกต่างจากปีอื่นๆคำตอบคือการวินิจฉัยและการลดผลกระทบอย่างต่อเนื่อง (CDM) มีบทบาทในตอนนี้ CDM ยึดมั่นในคำมั่นสัญญาที่จะเปลี่ยนจากการประเมินแบบกระดาษเป็นระยะเป็นการประเมินอัตโนมัติแบบเรียลไทม์ ดังนั้นรอบการประเมิน FISMA
ในปีนี้จึงไม่ควรถูกมองว่าเป็นเพียงแบบฝึกหัดช่องทำเครื่องหมายประจำปีแบบอื่น
Insight by Rancher Government Solutions: รัฐบาลกำลังต่อสู้กับกลไกในการพิจารณาว่าห่วงโซ่อุปทานซอฟต์แวร์ของตนมีความปลอดภัยหรือไม่ ดาวน์โหลด ebook เล่มใหม่ของเราเพื่อรับภาพรวมจากผู้นำที่ CISA, IT Industry Council และ DoD’s National Counterintelligence and Security Center ถึงความพยายามในปัจจุบัน
ประเด็นหลักที่เกิดขึ้นซ้ำๆ จากข้อค้นพบในรายงานปีงบประมาณ 2013 ไปจนถึงคำแนะนำในการประเมินต่อผู้ตรวจการทั่วไปสำหรับปี 2014 คือการเน้นที่การดำเนินการติดตามตรวจสอบอย่างต่อเนื่อง (CM) ซึ่งเป็นลำดับความสำคัญสำหรับการเปลี่ยนไปสู่การรักษาความปลอดภัยของรัฐบาลตามเวลาจริงที่มีประสิทธิภาพมากขึ้น
ขั้นแรก สถานะของการค้นพบ — ซึ่งบางคนเรียกว่าความคิดเห็นที่สร้างสรรค์ และบางคนเรียกว่า “ข่าวร้าย” แม้ว่าจะไม่ใช่รายการทั้งหมด แต่จุดอ่อนสำคัญที่ระบุในรายงานปี 2556 ได้แก่:
การขาดนโยบายและขั้นตอนที่เป็นเอกสารสำหรับ CM (เจ็ดจาก 24 แผนก);
ขาดกลยุทธ์และแผนการจัดทำเอกสารสำหรับ CM (แปดแผนก);
การประเมินอย่างต่อเนื่องของการควบคุมความปลอดภัย (เฉพาะระบบ ไฮบริด และทั่วไป) ไม่ได้ดำเนินการตามแผน CM ที่ได้รับอนุมัติ (10 แผนก)
เจ้าหน้าที่ระบบหลักที่ได้รับอนุญาตและเจ้าหน้าที่อื่น ๆ ที่มีสถานะความปลอดภัยไม่ได้จัดทำรายงานที่ครอบคลุมการอัปเดตแผนการรักษาความปลอดภัย รายงานการประเมินความปลอดภัย และแผนปฏิบัติการและเหตุการณ์สำคัญ (POA&M) ทั่วไปและสอดคล้องกันที่อัปเดตด้วยความถี่ที่กำหนดไว้ในกลยุทธ์และ/หรือแผน (เจ็ดแผนก ).
สิ่งที่ต้องทำอย่างรวดเร็วคือองค์ประกอบสำคัญสำหรับโปรแกรมการตรวจสอบอย่างต่อเนื่องไม่ได้อยู่ในสถานที่สำหรับหน่วยงานหลายแห่ง ไม่ใช่เรื่องบังเอิญที่คำแนะนำของ DHS ที่ให้ไว้กับ IG ของแผนก/หน่วยงานสำหรับการตรวจสอบในปี 2014 จะมุ่งเน้นไปที่:
ประเมินสถานะของความพยายามระดับหน่วยงานในการจัดตั้งโปรแกรม CM ทั่วทั้งองค์กร รวมถึงการจัดทำเอกสารนโยบายและขั้นตอน CM กลยุทธ์การจัดทำเอกสารสำหรับการตรวจสอบความปลอดภัยของข้อมูลอย่างต่อเนื่อง (ISCM); และการนำ ISCM ไปใช้ และการประเมินอย่างต่อเนื่องของการควบคุมความปลอดภัยที่ดำเนินการตามแผน CM ที่ได้รับอนุมัติ
เพื่อตอกย้ำประเด็นนี้ IGs ยังติดตามการปฏิบัติตามหน่วยงานด้วย Office of Management and Budget memo 14-03, Enhancing the Security of Federal Information and Information Systemsที่ออกเมื่อเดือนพฤศจิกายนปีที่แล้ว อีกครั้ง ในจังหวะกว้าง ๆ สิ่งนี้ต้องการกลยุทธ์ ISCM แผนสำหรับการอนุญาตระบบข้อมูลอย่างต่อเนื่อง การใช้ผลิตภัณฑ์และบริการ CM ทั่วทั้งหน่วยงาน และการฝึกอบรมพนักงานเพื่อดำเนินการโปรแกรม CM
Credit : สล็อตเว็บตรง / สล็อตแตกง่าย
