美国财政部税务监察长 (TIGTA) 在最近的一份报告中发现,由于人员短缺等原因,美国国税局 (IRS) 近年来未能及时审查近 75% 的 IT 安全漏洞。
“及时识别和解决信息安全弱点是健全信息安全计划的主要基石,”TIGTA 8 月 9 日的报告称。“2014 年联邦信息安全现代化法案 (FISMA) 要求所有联邦机构制定并实施纠正行动计划,称为行动计划和里程碑 (POA&M),以识别和记录信息技术安全弱点的解决方案。”
2005 年 1 月 1 日至 2022 年 8 月 26 日期间,IRS 创建了 12,089 个 POA&M。其中 2,555 个仍保持开放状态,并仍在继续努力。
TIGTA 选择了 401 个 POA&M 的判断样本进行分析。监管机构发现,IRS 没有对 TIGTA 分析的 401 POA&M 样本中的 73% 进行及时审查。
TIGTA 发现,在整个机构范围内,有超过 500 个 POA&M 被归类为晚期,其中 23 个 POA&M 的风险严重程度评级为严重或高。在这 23 个中,有 4 个 POA&M 于 2017 年首次发现了安全漏洞。
“国税局必须报告已发现的信息安全漏洞并记录补救措施。如果未能及时审查、跟踪和关闭 POA&M 来解决信息安全漏洞,国税局将面临被威胁行为者利用的风险,”该监管机构表示。“此外,跟踪解决 POA&M 所需的相关资源有助于做出明智的决策。”
该报告指出了国税局未能及时识别并应对其安全弱点的三个原因:人员短缺;未能一致报告所需的 POA&M 信息;未能准确识别和跟踪解决信息安全弱点所需的资源。
TIGTA 建议 IRS 首席信息官 (CIO):
美国国税局同意所有四项建议。
“美国国税局致力于全面有效地解决信息技术安全弱点。我们同意报告草案中的建议和成果措施。我们计划在 2024 年 5 月 15 日之前完成所有纠正措施的实施,”IRS 代理首席信息官 Kaschit Pandya 在回应 TIGTA 的报告时写道。
“我们正在采取一系列步骤,包括但不限于优先考虑与此流程相关的人员配置和其他资源分配,并加强与所有机构 POA&M 利益相关者的沟通,以明确补救措施的期望和最佳实践,”Pandya 继续说道。“我们希望这些努力将有助于降低风险,确保系统完整性,并最大限度地提高纳税人的系统可用性。
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
