국내외 과학기술 정책에 대한 간략한 정보
단신동향
해외단신
민간 연방기관의 연방정보보안현대화법(FISMA) 이행 현황 검토 및 권장사항 제시 원문보기 1
- 국가 미국
- 생성기관 정부책임처(GAO)
- 주제분류 핵심R&D분야
- 원문발표일 2024-01-09
- 등록일 2024-01-15
- 권호 256
○ 23개 민간 연방기관(civilian federal agencies)이 2014년 연방정보보안현대화법(FISMA, Federal Information Security Modernization Act)을 어떻게 이행했는지 검토함*
* Cybersecurity : OMB Should Improve Information Security Performance Metrics
- 대부분 효과가 없었는데, 예를 들어 조사관들은 23개 기관 중 8개 기관만이 2022회계연도에 효과적인 보안 프로그램을 가지고 있는 것을 발견함
○ 연방기관의 FISMA 이행은 대체로 효과가 없었음
- 2021~2022년 사이에 일부 개선사항이 보고되었으나, 23개 기관 중 15개 기관의 감찰관(IG, inspectors general)은 정보보안 프로그램이 효과적이지 않은 것을 발견함
- 감찰관들은 관리 책임문제, 표준 및 품질관리의 격차 등 다양한 원인으로 인해 프로그램의 효과가 없다고 보고함
- 기관 관계자는 기관의 정보보안 프로그램의 효과를 높이는데 기여하는 다양한 관행을 제시했는데, 특히 내부 커뮤니케이션, 리더십 몰입과 같은 조직특성, 중앙화된 정책과 절차 등이 FISMA 이행에서 효과적이었다고 강조함
○ OMB(관리예산실)는 FISMA 이행과 연방 정보보안 프로그램의 효과를 측정하기 위한 측정항목(metrics)을 제공함
- 그러나 기관과 감찰관 등은 일부 FISMA 측정항목이 유용하지 않다고 주장하는데, 이는 정보보안 프로그램을 정확하게 평가하지 않기 때문임
- 이들은 측정항목이 성과목표와 명확하게 연계되어야 하고 인력문제와 기관 규모를 고려해야 하며, 위험을 포함해야 한다고 보고함
- 이런 방향으로 FISMA 측정항목을 수정함으로써, OMB는 측정이 기관의 정보보안 성과에 대해 더 정확한 그림을 제공할 수 있도록 도울 수 있을 것임
○ GAO는 OMB가 파트너와 협력하여 더 효과적인 프로그램과 성과를 유도할 수 있도록 FISMA 측정항목을 강화하기 위한 2가지 권고사항을 제시함
- OMB 책임자는 비효율적인 정보보안 프로그램의 원인과 관련된 FISMA 측정항목을 개발해야 함
- OMB 책임자는 CIO와 IG FISMA 측정항목을 개선하여 이를 성과목표와 명확하게 연계하고 인력문제를 해결하고 기관의 규모를 고려하며 위험을 해결해야 함
* Cybersecurity : OMB Should Improve Information Security Performance Metrics
- 대부분 효과가 없었는데, 예를 들어 조사관들은 23개 기관 중 8개 기관만이 2022회계연도에 효과적인 보안 프로그램을 가지고 있는 것을 발견함
○ 연방기관의 FISMA 이행은 대체로 효과가 없었음
- 2021~2022년 사이에 일부 개선사항이 보고되었으나, 23개 기관 중 15개 기관의 감찰관(IG, inspectors general)은 정보보안 프로그램이 효과적이지 않은 것을 발견함
- 감찰관들은 관리 책임문제, 표준 및 품질관리의 격차 등 다양한 원인으로 인해 프로그램의 효과가 없다고 보고함
- 기관 관계자는 기관의 정보보안 프로그램의 효과를 높이는데 기여하는 다양한 관행을 제시했는데, 특히 내부 커뮤니케이션, 리더십 몰입과 같은 조직특성, 중앙화된 정책과 절차 등이 FISMA 이행에서 효과적이었다고 강조함
○ OMB(관리예산실)는 FISMA 이행과 연방 정보보안 프로그램의 효과를 측정하기 위한 측정항목(metrics)을 제공함
- 그러나 기관과 감찰관 등은 일부 FISMA 측정항목이 유용하지 않다고 주장하는데, 이는 정보보안 프로그램을 정확하게 평가하지 않기 때문임
- 이들은 측정항목이 성과목표와 명확하게 연계되어야 하고 인력문제와 기관 규모를 고려해야 하며, 위험을 포함해야 한다고 보고함
- 이런 방향으로 FISMA 측정항목을 수정함으로써, OMB는 측정이 기관의 정보보안 성과에 대해 더 정확한 그림을 제공할 수 있도록 도울 수 있을 것임
○ GAO는 OMB가 파트너와 협력하여 더 효과적인 프로그램과 성과를 유도할 수 있도록 FISMA 측정항목을 강화하기 위한 2가지 권고사항을 제시함
- OMB 책임자는 비효율적인 정보보안 프로그램의 원인과 관련된 FISMA 측정항목을 개발해야 함
- OMB 책임자는 CIO와 IG FISMA 측정항목을 개선하여 이를 성과목표와 명확하게 연계하고 인력문제를 해결하고 기관의 규모를 고려하며 위험을 해결해야 함
