「聯邦資訊安全管理法案 (FISMA)」報告
這份報告顯示在您的網站上找到的 FISMA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全,並可能會被視為違反法規。
重要性
美國國會已通過「美國聯邦資訊安全管理法案 (FISMA)」,並由美國總統簽署完成立法,成為 2002 年「電子化政府法案」的一環。它提供一個架構來確保會採取綜合性措施,以維護聯邦資訊和資產的安全。FISMA 標準關乎國家安全,因此,在政府最高層次進行了詳細的檢查。由於這個法案適用於政府機構、承包人及其他組織所用的資訊和資訊系統,因此,適用範圍超出先前的安全法律。政府機構 IT 安全計劃適用於代表美國聯邦政府機構的下列所有組織:持有或使用美國聯邦資訊的組織;或操作、使用,或有權存取美國聯邦資訊系統的組織;其中包括承包人、被授權者、州政府或地方政府,以及產業夥伴。因此,美國聯邦安全需求仍繼續適用,令政府機構負責確保適當的安全控制。美國聯邦政府機構必須就其遵循 IT 安全需求狀況,在每年 10 月,向「預算管理局 (OMB)」遞交一份年度報告。OMB 利用這些報告來協助評估政府層面的安全績效、擬訂年度安全報告以提交國會、輔助改進及維護適當的政府機構安全績效,以及通告在「總統管理議程」之下,「E 政府計分卡」之發展。這份報告必須彙總系統與計劃的年度 IT 安全審查結果,以及政府機構針對履行其 FISMA 目標及里程碑所完成之任何進度。
FISMA 標準需要政府機構在虛擬安全方面,關於現有風險及補救計劃兩者的詳細報告與測量。驗證組織內各 IT 系統是否符合標準,需要綜和性的驗證測試及補救規劃,以及協調的報告和資訊流程,讓政府機構得以邁向對於現行 FISMA 標準狀態進行精確報告。
缺乏集中式 IT 功能以及各種 IT 系統的測試與報告所需要之基礎流程和程序的組織,必須從頭開始建置這個基礎架構,且在重大時間壓力之下,如此一來幾乎毫無容錯空間。大部分政府機構都起碼有數百(或甚至上千)個系統所組成的 IT/IS 基礎設施。這些數字惡化了符合標準的報告需求,最終會導致無法符合 FISMA 標準。再加上資金有限以及可能誤解需求,許多政府機構便陷入極不符合標準的情況。