Bezpečnost informací zůstává hlavním zájmem ministerstva zahraničí na základě četných předchozích doporučení týkajících se zásadních problémů souvisejících s informačními technologiemi, které stále vyžadují zvýšenou pozornost, uvádí nedávná zpráva úřadu Office of Inspector General (OIG).
Zpráva posuzuje 107 neutajovaných, otevřených doporučení OIG z 19 zpráv adresovaných Úřadu pro správu informačních zdrojů (IRM) k 30. červenci 2021. OIG zjistil, že IRM se zabýval třemi ze 107 doporučení a uzavřel jedno duplicitní doporučení související na řízení rizik, jeden se týká ochrany dat a soukromí a jeden se týká obecných zásad IT. OIG navíc v srpnu 2021 uzavřela 14 doporučení jako součást svého běžného procesu dodržování.
Zbývajících 90 doporučení – z nichž 57 procent pochází z fiskálního roku 2019 nebo dříve – však zůstává relevantních a vyžadují „důkladnou pozornost k jejich uzavření,“ uvádí zpráva.
Větší počet doporučení zahrnuje správu konfigurace produktů a systémů pro zajištění bezpečnosti informací. Další neadresná doporučení se týkají několika oblastí včetně řízení rizik, investic do IT, nouzového plánování a sdílených služeb.
Aby usnadnilo uzavření zbývajících doporučení adresovaných IRM, OIG učinila dvě doporučení Carol Perezové, tajemnici pro řízení agentury. OIG doporučila své kanceláři vyvinout metodu pro pravidelné hodnocení úsilí IRM – a uvedla, že od té doby byl krok podniknut.
OIG také doporučil, aby Perezova kancelář ověřila akční plány a milníky IRM (POA&M) zdokumentované pro všech 90 doporučení. Perez však s tímto doporučením nesouhlasil a vysvětlil, že pokud je konečným cílem IRM vyřešit otevřená doporučení, je vypracování individuálního akčního plánu pro každé doporučení „příliš těžkopádné“.
„Zaměstnanci, čas a zdroje IRM se lépe vynakládají na činnosti související s dodržováním předpisů, udržování vysokého standardu každodenních operací a přímou komunikaci s OIG,“ napsala Perezová ve své odpovědi pro OIG.
OIG však tvrdila, že podle pokynů Národního institutu pro standardy a technologie jsou agentury povinny vypracovat POA&M a že Perez musí pro doporučení předložit POA.
