《表3 美国联邦政府网络安全审计评估指标示例[14]》
联邦政府网络安全法律法规要求美国审计署定期进行网络安全审计,并向参议院和众议院相关委员会提交审计报告和证词。2017—2018年美国审计署网络安全相关的审计报告主要分为4个系列:关键基础设施、网络安全、信息安全、高风险。关键基础设施审计,评估关键基础设施部门应用美国国家标准与技术研究院网络安全框架的程度[10]。网络安全审计,不仅评估各联邦机构网络安全政策和方法的合法性、充足性和有效性(包括评估美国国家标准与技术研究院网络安全框架应用程度),还要评估管理与预算办公室、国土安全部、国家标准与技术研究院促进联邦机构信息和网络安全保护工作的有效性[11]。信息安全审计,依据《联邦信息系统控制审计手册》(FISCAM)(1)开展,对各联邦机构信息系统控制的有效性和安全性进行评估[12]。自20世纪90年代初以来,美国审计署开展了一个政府高风险项目,报告在政府运营中存在欺诈、浪费、滥用、管理不善等风险的领域,并报告政府在面临经济、效率挑战时应进行转型的领域。通常在每届新国会启动时,美国审计署向国会报告高风险领域的处理进展情况,并更新高风险清单。美国审计署于1997年首次将信息安全确定为政府范围内的高风险领域。随后,2003年将信息安全高风险领域扩展到保护网络关键基础设施[13],2015年将信息安全高风险领域扩展到保护个人身份信息隐私。高风险领域审计关注的是联邦政府所面临的整体、共性的高风险问题。
图表编号 | XD00205065700 严禁用于非法目的 |
---|---|
绘制时间 | 2020.10.30 |
作者 | 陈彦达、丁韦娜、王伟楠 |
绘制单位 | 审计署审计科研所、国家科技风险开发事业中心、中国科学技术发展战略研究院 |
更多格式 | 高清、无水印(增值服务) |