根据一份监管机构的报告,负责审查联邦雇员的五角大楼机构在保护其IT系统及其存储的敏感个人数据方面做得不够努力。
报告称:“虽然[国防反情报和安全局]已采取措施准备管理[国家调查局服务系统]和遗留系统的安全风险,但该机构尚未完全解决国防部风险管理框架中的关键任务,主要原因是缺乏监督程序。”“这些关键任务包括识别信息生命周期的所有阶段,定义和优先考虑安全和隐私要求,在组织和系统级别执行风险评估,并将安全和隐私要求分配给适当的系统。”
2015年人事管理办公室被黑客攻击后,背景调查的责任转移到了DSCA。转移到五角大楼在很大程度上被视为提高联邦工作人员个人数据的网络安全,并取代旧IT系统的一种方式。但是,建立新的国家调查局服务系统的努力仍未完成,使DCSA依赖于新旧IT的混合。
政府问责局6月20日的一份报告发现,DCSA未能解决16个网络风险管理步骤中的5个。
例如,该机构没有完成整个组织或系统级别的风险评估。
此外,DCSA仅部分实现了隐私控制,例如为GAO评估的系统开发访问、事件跟踪和必要的安全意识培训方面的策略和程序。
“该机构缺乏一个监督程序来帮助确保适当的隐私控制得到充分实施,”报告指出。“在DCSA建立这样的监督程序并全面实施隐私控制之前,它会不必要地增加其背景调查系统中敏感信息泄露、修改或丢失的风险。”
据报道,DCSA计划在今年晚些时候取消所有旧的背景调查系统。
政府问责局发布了13项建议,包括加强监督,确保完成所有必要的任务和控制。
五角大楼同意了除一项建议外的所有建议:让国防部首席信息官更新其风险管理政策,将美国国家标准与技术研究院(National Institutes of standards and Technology)最新的安全和隐私控制IT标准纳入其中。
在回应中,五角大楼要求GAO删除该建议,因为“现有的部门政策强制执行NIST Pub 800-53,国防部CIO不在此次审计的范围之内。”
报告称,政府问责局坚持其所有建议。
