国防部(DoD)监察长(IG)发布了国防部在2022财年面临的最高管理和绩效挑战清单,包括加强国防部网络空间运营。为了加强国防部的网络空间运营并保护该部门的系统、网络和数据,政府实施了四份单独的审计报告。以下是审计内容及其建议。
国防部学术和研究承包商开发的军事研究信息和技术保护的审计
此次审计确定,国防部OIG评估的10家学术和研究承包商没有始终如一地实施所需的网络安全控制,以保护存储在其网络上的受控非机密信息免受内部和外部网络威胁。在其他调查结果中,审计发现学术和研究承包商没有强制使用多因素认证,也没有配置他们的系统来强制使用强密码访问他们的网络和系统。审核亦发现,承建商未能及时发现网络及系统漏洞,并将其减至最低限度;此外,承建商亦未能利用自动控制装置限制使用可移动介质,以保护储存在可移动介质上的受控非机密资料。如果没有评估现有承包商网络安全需求的框架,这份报告中确定的网络安全问题将无法在国防部承包商网络和系统上发现,这会增加恶意行为者针对脆弱承包商网络和系统的风险,并窃取与国防部技术发展和进步相关的信息。国防部OIG提出了10项建议,包括国防定价和合同首席主任直接要求国防部合同官员评估承包商是否符合联邦网络安全要求,以保护受控的非机密信息,并要求核实核实学术和研究承包商是否按要求实施各种安全控制。
审计国防部在风险管理框架过程中对网络安全互惠的使用
这次审计确定,美国运输司令部和DHA在通过风险管理框架程序授权他们的系统时,利用了互惠原则;但是,国防后勤局和国防人力资源活动并未使用这一原则。在其他调查结果中,审计得出的结论是,国防后勤局网络安全官员没有将其系统和授权文件提供给国防部风险管理框架合规工具“企业任务保障支持服务”(eMASS),以实现整个国防部的互惠,并且没有指定eMASS互惠用户获取和审查现有系统和授权文件。因此,国防后勤局网络安全官员错误地认为他们的系统不受国防部互惠要求的约束。此外,国防人力资源活动网络安全官员没有指定互惠用户获取和审查现有系统和授权文件,或识别和授权国防人力资源活动系统使用的所有二级通用控制。此外,国防部首席信息官没有实施必要的流程来监督国防部组件是否符合国防部互惠指导。取而代之的是,国防部首席信息官依靠国防部组件来管理系统授权过程,并利用互惠原则来最大限度地重用先前系统授权期间开发的测试和评估结果。国防部对互惠的要求使国防部能够快速向国防部组件交付安全系统,同时降低流程效率和系统授权成本。除非国防部各部门充分利用风险管理框架互惠性,否则国防部可能无法充分实现相关利益,包括节约成本。国防部OIG提出了三项建议,包括国防部首席信息官更新eMASS系统注册流程,并发布新的指南,要求系统项目经理在授权或重新授权系统之前证明他们考虑了互惠性。
2014年美国陆军工程兵团遵守《数字问责与透明度法案》的审计
此次审计确定,USACE在提交2020财年第四季度报告时,没有遵守《2014年数字问责与透明度法案》(DATA Act)的所有要求。虽然USACE使用了政府范围内的数据标准,并由高级问责官员及时认证了USACE数据法案的提交,但该提交并不准确或完整。此外,USACE在2020财年第四季度C文件中本应报告的105项COVID-19支出中没有报告任何一项。因此,USACE在USAspending.gov上提交的数据法案并不完全可靠。USACE的数据质量越好,纳税人和政策制定者就能越有效地跟踪联邦支出,USACE也就越接近数据法案的目标,即在USAspending.gov网站上提供透明的联邦支出数据。国防部OIG提出了两项建议,包括USACE总工程师和总指挥提供文件,以支持纠正COVID-19编码错误,并根据联邦指导修订和实施USACE数据质量计划。
国防部对2014年《数字问责与透明度法案》遵守情况的审计
这次审计确定国防部不符合所有数据法案的要求。尽管国防部实施并使用了政府范围内的数据标准,并且国防部高级问责官员在国防部截止日期前认证了国防部第四季度财政2020年数据法案提交,但提交文件中包含的一些数据元素并不准确、完整或及时。此外,在国防部OIG审查的21项报告的COVID-19支出中,没有一项使用了COVID-19补充资金。此外,国防部没有在2020年第四季度财政年度提交前更新国防部数据质量计划,以满足提交文件C中与报告《灾害应急基金规则》支出相关的新报告要求。尽管与国防部2019年第一季度提交的数据法案相比,国防部提交的2020年第四季度财政年度的财务和奖励数据的质量有所提高,但国防部在USAspending.gov上提交的数据法案仍然不可靠。中等质量的数据提交不允许纳税人和政策制定者有效地跟踪联邦支出,并破坏了《数据法案》在USAspending.gov上提供高质量和透明的联邦支出数据的目标。国防部OIG提出了两项建议,包括国防部副部长(审计长)或国防部首席财务官更新国防部《数据法案》质量计划,包括记录和披露任何国防部法案提交变更的过程。国防部OIG还建议国防定价和合同主管确定控制,以提高数据元素的准确性和完整性。
文章来源:美国国防部官网
译者:吴宇昂
原文链接:
名词解释:
DoD OIG:The Department of Defense Office of Inspector General 国防部检察长办公室
eMASS:Enterprise Mission Assurance Support Service 企业任务保障支持服务
USACE:United States Army Corps of Engineers 美国陆军工程兵团
DHA:Defense Health Agency 国防部卫生局
