首页
下载应用
提交文章
关于我们
🔥 热搜 🔥
1
上海
2
习近平
3
新疆
4
鄂州父女瓜
5
乌鲁木齐
6
疫情
7
H工口小学生赛高
8
习明泽
9
芊川一笑图包
10
印尼排华
分类
社会
娱乐
国际
人权
科技
经济
其它
首页
下载应用
提交文章
关于我们
🔥
热搜
🔥
1
上海
2
习近平
3
新疆
4
鄂州父女瓜
5
乌鲁木齐
6
疫情
7
H工口小学生赛高
8
习明泽
9
芊川一笑图包
10
印尼排华
分类
社会
娱乐
国际
人权
科技
经济
其它
高三女生醉酒后被强奸致死?检方回应
常德悲剧:让谴责无差别杀戮之声更加响亮一点
2024【公共营养师】培训报名通道已开启,不限学历,23岁及以上可报!还能领2000补贴
【惊】"以为要写遗书"! 飞温哥华航班遇炸弹气旋 华人崩溃大哭 连空姐都吐了; 客机颠簸盘旋3小时
女人最偏爱的十种男人
生成图片,分享到微信朋友圈
查看原文
其他
美国政府是如何管控供应商数据安全的?
数据安全域
2024-01-09
6月26日消息,美国国土安全部(DHS)发布了一项最终规定,对《国土安全采购规章》(HSAR)进行修改,删除一条现有条款,保留该条款编号,并更新了一条现有条款。该机构还将新增两条合同条款,
提出对受控非机密信息(Controlled Unclassified Information,简称CUI)的保护要求
。
最终规定旨在确保受控非机密信息的安全和隐私保护,改进向国土安全部报告事件的流程
。这些措施十分有必要,因为国土安全部承包商遇到涉及该部门信息的事件时,亟需保护受控非机密信息,并做出适当响应。
供应商需满足新的处理要求
和安全流程与程序
根据国土安全部6月21日在《联邦公报》上发布的通知,“持续且普遍的联邦信息高调泄露事件不断证明,必须在合同中明确、有效和一致地解决信息安全保护问题。因此,这些措施十分有必要。最终规定将在《联邦公报》上发布之日起30天后生效。”
2017年1月19日,国土安全部在《联邦公报》上发布过一条拟议规定制定通知(NPRM),表示该部门正在制定一项规定,
要求落实充分的安全和隐私措施,以保护受控非机密信息免受未经授权的访问和披露,并改进向国土安全部报告事件的流程
。
最终规定加强和扩展了《国土安全采购规章》现有措辞,
以确保承包商和(或)分包商员工能足够安全地访问受控非机密信息
。受控非机密信息将由承包商代表机构收集或维护,或由联邦信息系统(包括代表机构运行的承包商信息系统)收集、处理、存储或传输。
具体而言,最终规定确定了适用于联邦信息系统(包括代表机构运行的承包商信息系统)的受控非机密信息处理要求和安全流程与程序。它还确定了事件报告要求,包括报告时间表和必需数据元素、检查规定和事件后活动,并要求对政府和与政府活动相关的文件和信息进行清除认证。
最后,最终规定
要求承包商制定相关程序并具备相关能力,保证在事件发生时,向那些个人身份信息(PII)或敏感个人身份信息(简称SPII、敏感PII)由承包商控制或驻留在信息系统中的任何个人发出通知
。
合规成本与效益如何?
此次发布的通知称,最终规定将适用于有下列需求的国土安全部承包商:需访问CUI;需代表政府收集或维护CUI;需运行联邦信息系统(包括代表机构运行的承包商信息系统),收集、处理、存储或传输CUI。
“国土安全部估算,在折现率为7%的情况下,最终规定的年化成本为1532万美元至1728万美元;在同一折现率下,十年总成本为1.0762亿美元至1.2137亿美元。”这些成本的主要来自独立评估、报告和记录保存。
此外,熟悉最终规定、安全审查也会产生额外的小额、可量化成本
。
国土安全部无法量化事件报告、PII和敏感PII通知、信用监控等要求的相关成本。所以,这些成本仅做定性讨论
。
此次发布的通知称:“
预计最终规定将缩短操作授权(ATO)时间、减少国土安全部审核和重新发布提案时间(因为承包商资质会得到提升)、减少数据泄露识别时间,从而节约成本
。”
最终规定的效益不止于此。
根据最终规定,一旦公众数据被泄露,将更好地通知受害者,并提供信用监控服务,帮助受害者有效监控数据泄露、规避数据泄露带来的高昂后果;及时报告也能降低事件的严重程度
。
近日,网络威胁黑客利用MOVEit传输漏洞攻击了美国多个地方、州和联邦机构。国土安全部发布最终规定,正是对这些攻击的回应。
上周五,美国国家网络安全和基础设施安全局(CISA)更新了一份早期的网络安全建议,称Clop勒索软件团伙正在利用Progress Software的托管文件传输解决方案MOVEit Transfer中的SQL注入零日漏洞(CVE-2023-34362)。CISA在文件更新中,删除了旧的Fortra GoAnywhere Campaign IP地址,并添加了新的IP地址。
来源:安全内参
END
往期推荐
0
1
附下载 |2023年中国网络安全产业六大发展趋势
0
2
国家金融监管总局出手!医保与商业健康险信息共享细则拟定!
0
3
衡阳一医院因数据保护不力造成泄露,当地网信办开出罚单!
继续滑动看下一个
轻触阅读原文
数据安全域
您可能也对以下帖子感兴趣
{{{title}}}
文章有问题?点此查看未经处理的缓存