2022年3月31日，美國國會政府問責局（GAO）網站發布報告，題為《Cybersecurity: OMB Should Update Inspector General Reporting Guidance to Increase Rating Consistency and Precision》。報告要點如下：

我們審查了23個民用聯邦機構實施2014年《聯邦信息安全現代化法案》（FISMA）的情況。

在是否以及如何實施所需的安全計劃上，各機構的情況好壞參半。例如，大多數報告稱達到了檢測和預防事件的目標。然而，監察長發現23個機構中只有7個在2020 財年制定了有效的安全計劃。

我們還發現，為監察長審查提供的指南并不總是很清晰，導致效率評級不準確。我們的 兩條建議解決了這個問題。

確保國家的賽博安全是我們《高風險清單》上的一個主題。

研究目的

自1997年以來，GAO已將信息安全指定為政府范圍內的高風險領域。為了保護聯邦信息和系統，FISMA 要求聯邦機構制定、記載和實施信息安全計劃。國會在FISMA中有一項規定，要求GAO定期報告各機構對該法案的執行情況。

GAO 在本報告中的目標是：（1）描述聯邦機構實施賽博安全政策和實踐的有效性報告，以及（2）評估聯邦機構相關官員所認為的FISMA在提高機構信息系統安全方面的有效性程度。

為此，GAO 審查了23個民用首席財務官（CFO）法案機構的FISMA報告、機構報告的績效數據、過去的GAO報告以及管理和預算辦公室（OMB）文件和指南。GAO還采訪了來自24個CFO法案機構（即23個民間CFO法案機構和國防部）、監察長誠信與效率委員會和OMB的機構官員。

主要發現

2020財年，聯邦機構實施2014年FISMA規定要求的情況好壞參半。例如，越來越多的機構報告稱達到了管理其軟件資產安全性以及入侵檢測和預防的目標。然而，監察長發現各機構在賽博安全實踐方面的表現參差不齊。2020 財年，監察長確定23個1990年民用CFO法案機構中有7個擁有有效的信息安全計劃。2017-2020財年，獲得有效評級的機構百分比總體上保持一致，從22%到30%不等。

據所有24個CFO法案機構的官員稱，FISMA及相關的報告流程使其機構能提高信息安全計劃的有效性。具體而言，14 個機構的首席信息官和首席信息安全官表示，FISMA 在很大程度上提高了計劃的有效性，而10個機構的官員表示，它在一定程度上提高了有效性。

根據FISMA的要求，OMB與其它組織合作為監察長提供有關開展和報告機構FISMA評估的指南。GAO發現該指南并不總是明晰的，導致監察長的應用情況不一致。此外，GAO 發現OMB“有效”和“無效”的整體監察長評級量表導致評級不準確，無法清楚地區分各機構實施賽博安全要求的不同程度。因此，監察長評級對賽博安全監督的用處可能較小。通過明確其未來的評級指南并改進其評級尺度，OMB可以幫助確保所作審查能提供更加一致的機構賽博安全績效圖景，使國會能夠更好地了解機構的相關賽博安全風險。

GAO建議

GAO 提出兩項建議，即OMB與其它機構協商，明確其對監察長的指南，并制定更精確的整體評級量表。OMB不同意我們的建議，表示他們希望在某種程度上為監察長提供調整其評審的靈活性。盡管如此，GAO 認為這些建議是有根據的，可以為機構的賽博安全績效提供更加一致和準確的圖景。heavy fuel engine