Federal Information Security Management Act(FISMA)报告
此报告显示在您站点上发现的 FISMA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规,并且可能会被视为违反法律规定。
它为什么重要
Federal Information Security Management Act(FISMA)已由国会通过并经总统签署立法成为 2002 年 Electronic Government Act 的一部分。它提供框架以确保采取全面的措施来保护联邦信息和资产。FISMA 一致性是一项国家安全事务,因此会经政府最高级别仔细审查。由于此法案适用于机构、承包商及其他组织所使用的信息和信息系统,因此它具有比以前的安全法律更广泛的适用性。机构 IT 安全计划适用于拥有或使用联邦信息的所有组织,或是代表联邦机构操作、使用联邦信息系统或对其具有访问权的组织,包括承包商、受让人、州政府和地方政府以及行业合作伙伴。因此,联邦安全要求继续适用,从而使机构负责确保适当的安全控制。联邦机构必须在每年 10 月以前向行政管理和预算办公室(Office of Management and Budget,OMB)递交 IT 安全要求一致性的年度报告。OMB 使用这些报告帮助评估政府范围的安全表现,向国会呈递其年度安全报告,协助改善和维持适当的机构安全表现以及根据 President's Management Agenda,报告 E-Government Scorecard 的开发情况。报告必须总结系统和计划的年度 IT 安全复查结果,以及机构在完成其 FISMA 目标和里程碑方面所取得的进度。
FISMA 一致性要求对于机构计算机安全的现有风险以及修复计划,提供详细的报告和估量。验证组织内每个 IT 系统的一致性,需要通过协调的报告和信息流,进行全面的验证测试和修复规划,使机构主管能准确报告其当前的 FISMA 一致性状态。
缺少测试和报告各种 IT 系统所需的集中 IT 功能以及基本流程和过程的组织,必须从头开始构建此基础结构,并且会承担巨大的时间压力,而几乎没有犯错的余地。大多数政府机构都拥有数百至数千个组成 IT/IS 基础结构的系统。这些数字加重了合规性报告要求并最终导致 FISMA 一致性失败。在有限的资金和对要求的曲解这样双重压力下,许多机构一致性状况极差。