战略与政策

美国众议院修订联邦信息安全管理要求

日期:2022-02-16

|  来源:【字号:

MeriTalk网2022111日消息,美国众议院监督和改革委员会公示其对《联邦信息安全管理法案》(FISMA)的修改草案。该法案旨在为联邦机构设定网络安全要求,期望更新相关法规,为联邦网络安全制定明晰协调的整体型政府方案。该提案主要内容包括:

由白宫管理和预算办公室(OMB)直接负责联邦网络安全政策的制定和监督;网络安全与基础设施安全局(CISA)履行协调运行职责;国家网络总监履行“总体网络安全战略”职责;

要求CISA通过共享服务和技术援助,为联邦机构网络安全工作排除障碍;

将联邦首席信息安全官(CISO)职位合法化,并归入OMB管理;

采用基于风险的网络安全处理方式,通过持续的风险评估,为各机构划分网络安全风险优先级提供实时、准确的信息;

促进网络安全现代化和新一代安全原则,包括基于风险的范式、零信任原则、端点检测和响应、云迁移、自动化、渗透测试和漏洞披露程序等;

减少对联邦机构的FISMA年度评估次数,允许各机构根据自身态势和威胁情况自行划分网络安全风险优先级;

要求持续监测系统,并使用自动化技术缓解合规负担;

要求联邦机构盘存全部互联网信息系统和资产及软件材料清单,提高态势感知力;

改善联邦机构和各监察机构间的网络事件信息共享能力。

美国政府问责局(GAO)正在就联邦机构执行FISMA要求的情况进行持续审查,初步结果并不乐观。各联邦机构执行效力不同,大多数机构在识别、保护、检测、恢复信息安全等方面遭遇困难。

信息来源:

https://www.meritalk.com/articles/house-leaders-emphasize-bipartisan-push-for-fisma-law-update

附件: