KTNN Hoa Kỳ (GAO): Chương trình bảo mật thông tin của Bộ Y tế & Dịch vụ nhân sinh Hoa Kỳ (HHS) không hiệu quả

19/04/2021
Xem cỡ chữ Đọc bài viết In trang Google

(HealthITSecurity) - Tạp chí về bảo mật thông tin Hoa Kỳ ngày 9/4/2021 đưa tin, cuộc kiểm toán gần đây nhất của KTNN Hoa Kỳ (GAO) đối với Chương trình bảo mật thông tin của Bộ Y tế & Dịch vụ nhân sinh Hoa Kỳ (HHS) theo các nguyên tắc của Đạo luật quản lý an ninh thông tin Liên bang năm 2014 (FISMA) đã phát hiện Chương trình này “không hiệu quả” do một số thiếu sót quan trọng. Theo FISMA, người đứng dầu các cơ quan cần phải thực hiện đánh giá độc lập hàng năm các thông lệ và chương trình bảo mật thông tin của cơ quan để xác định tính hiệu quả tổng thể.

Đối với cuộc kiểm toán HHS, Công ty kiểm toán Ernst & Young đã tiến hành đánh giá việc HHS tuân thủ các chỉ số báo cáo của FISMA kể từ ngày 30/9/2020. Các Kiểm toán viên đã rà soát chương trình này dựa trên các Luật, quy định và hướng dẫn áp dụng của Liên bang để tìm hiểu về chương trình bảo mật của HHS cũng như 05 đơn vị vận hành của HHS. Nhóm Kiểm toán viên cũng đánh giá các chuẩn mực và hướng dẫn do đội ngũ quản lý của HHS ban hành cũng như các chuẩn mực có được tuân thủ theo quy định. Đồng thời, các cuộc phỏng vấn với đội ngũ nhân sự cũng được tiến hành. Mục đích là để xác định xem chương trình và thông lệ bảo mật tổng thể của HHS có đáp ứng các yêu cầu về bảo mật thông tin của Liên bang không. Các Kiểm toán viên nhận thấy HHS đã tăng cường hiệu quả hoạt động của họ trong việc triển khai nhất quán các hệ thống lọc dữ liệu, quản lý cấu hình phần mềm nhằm đáp ứng các tiêu chuẩn của phần mềm đánh giá bảo mật. Tuy nhiên, HHS lại không đạt được sự tiến bộ trong các lĩnh vực khác do việc chưa triển khai cơ chế giám sát bảo mật thông tin liên tục (ISCM) đối với các đơn vị vận hành. Đây là những nỗ lực rất quan trọng để cung cấp cho cơ quan các dữ liệu và thước đo đáng tin cậy nhằm đưa ra các quyết định về quản lý rủi ro hiệu quả hơn.

Các Kiểm toán viên phát hiện chương trình này không hiệu quả, bởi: HHS không đáp ứng được mức độ phát triển của các chức năng nhận diện, bảo vệ, phát hiện, ứng phó và khôi phục thông tin; Vẫn còn nhiều thiếu sót trong các lĩnh vực bảo mật quan trọng này; Có nhiều sai sót trong việc thực hiện nhất quán một số chỉ số FISMA ở cả HHS và các đơn vị vận hành được lựa chọn.

GAO đã đưa ra một số kiến nghị để HHS tiếp tục tăng cường chương trình an ninh mạng và các biện pháp kiểm soát bảo mật thông tin. GAO cam kết đưa hoạt động thực hiện các kết quả trong bản đánh giá rủi ro của HHS trước đây vào trong chiến lược an ninh mạng chính thức của mình để hỗ trợ HHS tăng cường mức độ bảo mật một cách hiệu quả hơn. GAO cũng khuyến nghị HHS xác định các khoảng cách trong mức độ phát triển hiện tại của mình so với mức độ phát triển đã được xác định cho từng phạm vi chức năng trong khuôn khổ an ninh mạng. HHS cũng cần trình bày rõ ràng và thực hiện các vai trò cũng như trách nhiệm chung vì mức độ phát triển hiệu quả. Đồng thời, HHS cần xây dựng các quy trình và thủ tục giám sát tốt hơn đối với việc quản lý các cấu hình hệ thống CNTT nhằm đảm bảo các quy trình được xây dựng và phù hợp với môi trường của các đơn vị vận hành.Theo đó, HHS đồng tình và xác nhận các phát hiện, kiến nghị của GAO là chính xác, hợp lệ và HHS đã tìm cách khắc phục các kiến nghị của GAO chỉ ra trong báo cáo.

(Vụ HTQT dịch)

Xem thêm »