« 経済産業省 デジタルガバナンス・コード 2.0 (2022.09.13) | Main | ドイツ BSI標準200-4 BCM第2次コミュニティドラフト(CD 2.0) »

2022.09.29

米国 中小企業庁監察官室 COVID-19と災害支援情報システムセキュリティコントロール

こんにちは、丸山満彦です。

米国中小企業庁監察官室が「COVID-19と災害支援情報システムセキュリティコントロール」についての内部監査報告書を公表しています。勧告が10もありますが、興味深いのは経営陣が2つの勧告(勧告6, 勧告7)に同意しなかったことですね。。。また、1つの勧告(勧告3)については、同意とも不同意とも意見を言っていないです。。。あまり、お目にかからないです。。。また、1つは、パンデミックに特有な問題なので、繰り返されることはない、、、という感じです。

日本の省庁には内部監査部門がないので、こういう報告がないのが残念です。。。

 

Oversight.Gov

・2022.09.27 COVID-19 and Disaster Assistance Information Systems Security Controls

COVID-19 and Disaster Assistance Information Systems Security Controls
COVID-19と災害支援情報システムセキュリティコントロール
This report presents the results of our audit to determine whether the U.S. Small Business Administration (SBA) maintained effective management control activities and monitoring of the design and implementation of third-party operated SBA systems. SBA needed information technology systems from third-party service providers that could improve the system efficiency and productivity to process high transaction volumes, transmit data between other information systems, and safeguard the integrity and confidentiality of the personally identifiable information processed by the programs. We found the agency’s entity-level control environment was not designed in accordance with federal guidance at the beginning of the COVID-19 assistance programs. The agency allowed the third-party systems to be put into service without conducting the baseline assessments. With no baseline, the agency could not perform effective continuous monitoring. Also, we found that control processes did not identify, communicate, and capture privacy and identity risks on an enterprise-wide basis. We made 10 recommendations to strengthen the agency’s entity-level IT control environment. The areas addressed included cybersecurity risk and privacy controls, system development life cycle, continuous monitoring, and the supply chain risk management processes. SBA management fully agreed with seven recommendations, disagreed with two recommendations, and stated one recommendation was specific to the pandemic and will not likely be repeated. While the agency agreed to implement seven recommendations, management’s planned corrective actions did not fully address identified control issues. 本報告書は、米国中小企業庁(SBA)が、第三者が運営するSBAシステムの設計および実装について、効果的な管理統制活動および監視を維持していたかどうかについて、我々の監査結果を提示するものである。SBAは、大量のトランザクションを処理し、他の情報システム間でデータを伝送し、プログラムによって処理される個人識別情報の整合性と機密性を保護するために、システムの効率性と生産性を向上できる第三者サービスプロバイダーからの情報技術システムを必要としていた。我々は、COVID-19支援プログラム開始当初、同機関の事業体レベルの統制環境が連邦政府のガイダンスに従って設計されていないことを発見した。同機関は、ベースライン評価を実施することなく、第三者機関のシステムの稼働を許可した。ベースラインがないため、効果的な継続的監視を行うことができなかった。また、管理プロセスが、プライバシーとアイデンティティのリスクをエンタープライズ規模で特定、伝達、把握できていないことも分かった。我々は、同庁の事業体レベルのIT統制環境を強化するため、10の勧告を行った。対象となった分野は、サイバーセキュリティリスクとプライバシーコントロール、システム開発ライフサイクル、継続的モニタリング、サプライチェーンリスクマネジメントプロセスなどである。SBAの経営陣は、7つの勧告に全面的に同意し、2つの勧告に同意せず、1つの勧告はパンデミックに特有であり、繰り返されることはないだろうと述べている。7 つの勧告の実施には同意したが、経営陣の計画した是正措置は、特定された管理上の問題に完全には対処できていなかった。
1. Ensure the existing SBA System Development Methodology is updated to include supply chain risk-management practices as required by OMB Circular A-130 and high-value asset system designation guidance. Also, ensure high-value asset system risks are incorporated into the enterprise risk management framework, as recommended by OMB M-19-03 and SBA SOP 90 47 6. 1. OMB Circular A-130および高価値資産システム指定ガイダンスで要求されるサプライチェーンリスクマネジメントを含むように、既存のSBAシステム開発方法論を更新することを確実にする。また、OMB M-19-03 および SBA SOP 90 47 6 が推奨するように、高価値資産システムリスクがエンタープライズのリスクマネジメントの枠組みに組み込まれるよう確認する。
2. Communicate and enforce the SBA System Development Methodology in which a traceability matrix is used to ensure that system requirements can be tested and demonstrated in the operational system. Ensure all requirements are aligned with the contractual acceptance criteria. 2. システム要件が運用システムでテストされ実証されることを保証するためにトレーサビリティマトリクスが使用されるSBAシステム開発方法論を伝え、実施する。すべての要件が契約上の受け入れ基準と整合していることを確認する。
3. Implement in updated agency guidance, the requirements of OMB Circular No. A-123 that stipulate a SOC 1 Type 2 report is needed for all new and existing financial systems. This guidance should also require confirmation at least annually that the controls are functioning as designed. 3. OMB Circular No.A-123の要件である、すべての新規および既存の財務システムにSOC 1 Type 2レポートが必要であることを規定する、更新された機関ガイダンスで実施する。また、このガイダンスでは、統制が設計通りに機能していることを少なくとも年1回確認することを義務付けるべきである。
4. Enforce the requirement to establish and implement internal controls to ensure appropriate program officials perform and document contract reviews to ensure that information security is appropriately addressed in the contracting language, as required by OMB Circular A-130 and SBA SOP 90 47 6. 4. OMB Circular A-130及びSBA SOP 90 47 6で要求されているように、情報セキュリティが契約文言に適切に対処されていることを確認するため、適切なプログラム担当者が契約レビューを実施し、文書化するよう内部統制を確立し、実施する要件を実施する。
5. In conjunction with the Enterprise Risk Management Board, implement enterprise-wide privacy risk mitigation practices that can be assimilated into new and existing system program designs. 5. 企業リスクマネジメント委員会と連携し、新規及び既存のシステムプログラムの設計に組み込むことができる、企業全体のプライバシーリスク緩和策を実施する。
6. Complete an initial assessment and authorization for each information system and all agency-designated common controls before operation. 6. 運用開始前に、各情報システム及び機関指定の共通管理の初期評価と認可を完了させる。
7. Transition information systems and common controls to an ongoing authorization process (when eligible for such a process) with the formal approval of the respective authorizing officials or reauthorize information systems and common controls as needed, on a time or event-driven basis in accordance with agency risk tolerance, as required by OMB Circular No. A-130 and SOP 90 47 6. 7. OMB Circular No. A-130 及び SOP 90 47 6 の要求に従い、各権限者の正式な承認を得て、情報システム及び共通制御を 継続的な承認プロセスに移行するか(そのプロセスの対象となる場合)、または情報システム 及び共通制御を必要に応じて、機関のリスク許容度に応じて時間またはイベント駆動型に再承認する。
8. Review and update POA&Ms at least quarterly as required by SOP 90 47 6. 8. SOP 90 47 6 の要求に従い、少なくとも四半期毎に POA&M を見直し、更新する。
9. Ensure data-sharing agreements are reviewed annually as required by SBA SOP 90 47 6. 9. SBA SOP 90 47 6 の要求に従い、データ共有契約が毎年見直されるようにする。
10. Implement an automated process to document and monitor system changes as recommended by NIST SP 800-53 Rev. 5. 10. NIST SP 800-53 Rev. 5 で推奨される、システム変更を文書化し監視する自動化されたプロセスを導入する。

 

・[PDF] SBA-OIG-Report-22-19.pdf

20220928-234323

 

 

|

« 経済産業省 デジタルガバナンス・コード 2.0 (2022.09.13) | Main | ドイツ BSI標準200-4 BCM第2次コミュニティドラフト(CD 2.0) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 経済産業省 デジタルガバナンス・コード 2.0 (2022.09.13) | Main | ドイツ BSI標準200-4 BCM第2次コミュニティドラフト(CD 2.0) »