Информационната сигурност остава преобладаваща загриженост за Държавния департамент въз основа на многобройни предишни препоръки относно фундаментални въпроси, свързани с информационните технологии, които все още изискват специално внимание, според неотдавнашен доклад на Службата на главния инспектор на агенцията (OIG).
Докладът оценява 107 некласифицирани, отворени препоръки на OIG от 19 доклада, адресирани до Бюрото за управление на информационните ресурси (IRM) към 30 юли 2021 г. OIG установи, че IRM е разгледал три от 107-те препоръки и е затворил една дублираща се препоръка, свързана за управление на риска, един, свързан със защитата на данните и поверителността, и един, свързан с общите ИТ политики. Освен това OIG затвори 14 препоръки през август 2021 г. като част от нормалния си процес на съответствие.
Въпреки това, останалите 90 препоръки – 57 процента от които датират от фискалната 2019 г. или по-рано – остават уместни и изискват „голямо внимание, за да бъдат затворени“, се казва в доклада.
По-голям брой от препоръките включват управление на конфигурацията на продукти и системи за осигуряване на информационна сигурност. Другите неадресирани препоръки се отнасят до няколко области, включително управление на риска, ИТ инвестиции, планиране при извънредни ситуации и споделени услуги.
За да улесни приключването на оставащите препоръки, отправени към IRM, OIG отправи две препоръки към Карол Перес, заместник-секретар по управлението на агенцията. OIG препоръча на нейния офис да разработи метод за периодичен преглед на усилията на IRM и посочи, че тази стъпка е предприета оттогава.
OIG също препоръча офисът на Перес да провери IRM плановете за действие и етапите (POA&M), документирани за всичките 90 препоръки. Въпреки това Перес не се съгласи с тази препоръка, обяснявайки, че ако крайната цел е IRM да разреши отворени препоръки, разработването на индивидуален план за действие за всяка препоръка е „прекалено тромаво“.
„Персоналът, времето и ресурсите на IRM са по-добре изразходвани за дейности, свързани със съответствието, поддържане на висок стандарт на ежедневните операции и комуникация директно с OIG“, пише Перес в отговора си на OIG.
OIG обаче твърди, че под ръководството на Националните институти по стандарти и технологии агенциите са длъжни да разработят POA&M и че Перес трябва да представи POA за препоръката.
