《联邦信息安全现代化法案II》：强化机构信息安全的新网络世界框架

作为奥巴马政府保障政府机构信息安全的立法举措之一，《2014年联邦信息安全现代化法案》（FISMA II）近期正式颁布。该法案旨在强化并更新2002年版本，调整应对程序以适应当今日益复杂的网络威胁现实。该法案致力于实施广泛的安全计划，协调并加速机构流程，同时针对网络威胁及事件建立更严格的管控、监督及预案机制。

《联邦信息安全管理法案》第二阶段的目标是全面的：简化并加强全机构范围内的信息控制程序，使其更高效、更有效。 其立法指令同样广泛：强化联邦信息安全管控；完善管理与监督机制；在与管理和预算办公室（OMB）协商后，增强美国国土安全部（DHS）的管理职能；并规定各机构向美国国会报告安全事件的新时限要求。该法案同时设立联邦信息安全事件中心，并要求各机构定期对其政策与实践进行风险评估。

私营部门的相关性与机遇

《联邦信息安全管理法案II》（FISMA II）主要针对内部机构程序与监督机制，但制造企业、国防供应商及其他承接联邦合同的私营企业——尤其是从事诊断技术及相关业务的企业——有必要关注该法案，同时留意其下将实施与监控的数据及其他信息系统、管控措施和操作规程。 在联邦机构项目中提供、接收或交换数据及其他信息，极可能触发《联邦信息安全管理法案II》的适用，并给政府承包商带来后果——尤其在发生数据安全漏洞或其他系统事件时。事实上，该法案在阐述信息系统安全计划时明确指出，不仅政府机构，"承包商"和"其他来源"也应纳入监管范围。 该法案的法定目标是通过信息安全计划保护政府机构与承包商的运营及资产。除信息保护问题外，该法律还为独立外部审计机构提供了更多开展系统评估的机会——既适用于未设立监察长的机构，也适用于监察长选择不进行评估的情况。

信息安全是新法案的基石。为此，《联邦信息安全管理法II》规定每年必须对各机构的信息系统及其政策、实践和程序进行有效性评估。此外，作为提升政府能力的承诺之一，《联邦信息安全管理法II》重申政府机构将依托商业"持续诊断技术"来执行这一扩展且强化的网络防御体系。 这些技术涵盖通过国土安全部"持续诊断与缓解计划"提供的"保障信息安全的工具"及其他产品。其中日益精进的"商用现成工具（COTS）"被国土安全部定义为"具备强大技术现代化条款以应对威胁演变"的产品。 根据《联邦信息安全管理法案》第二版规定，行政管理和预算局局长须在两年内协同国土安全部部长评估各机构采用这些技术的情况。因此，拥有顶级诊断技术（专为测试政府机构信息系统设计）的商业供应商，将持续获得政府机构的市场需求。

升级机构信息安全计划

《联邦信息安全管理法》要求政府机构制定并实施有效信息安全计划，以保护全机构范围内的运营。 这些计划应部分基于以下要素：(i) 对安全漏洞、机构信息或系统中断或破坏所导致的风险及危害程度进行定期评估；(ii) 实施适当补救措施的流程；(iii) 检测、报告和应对安全事件的程序；以及 (iv) 维持业务连续性的程序。

如上所述，新计划将针对特定机构的运营和资产信息系统，以及"由其他机构、承包商或其他来源提供或管理的信息系统"。国土安全部部长将负责管理信息安全政策和实践，并确保其得到妥善执行。 根据该法案规定，部长职责包括：协调政府内部工作、召集高级官员会议、提供技术支持以及监督政策与实践的执行情况。

此外，管理与预算办公室主任还负责监督合规标准的执行程序，并实施相应的信息安全保护措施。在某些人看来，这或许是该机构在进行权力运作（尽管力度有限），《联邦信息安全现代化法案》第二版要求管理与预算办公室主任"确保国土安全部部长履行该法案规定的职权与职能"。 这些职能包括监督各机构落实新信息系统政策与标准的指令，以及及时报告安全事件。国土安全部部长还需参考美国国家标准与技术研究院及美国商务部提供的相关信息。

根据美国管理和预算办公室主任的授权，数据泄露事件须在机构发现后30天内向指定国会委员会通报。通报内容应包括泄露原因、受影响人数、风险及危害评估、延迟通知的理由，以及机构是否将进行通知及预计时间。 根据政策和指导方针，主任应要求"受影响机构向受影响个人发出通知……在可行的情况下尽快且不存在不合理延误……"。然而，当有理由相信发生重大事件时，各机构除其他义务外，还必须在七天内通知指定国会委员会。

信息安全事件中心

根据《联邦信息安全现代化法案》第二阶段，将建立一个中央安全事件中心，由国土安全部负责运营。该中心将作为资源运营枢纽，为各机构提供实时安全事件技术支持与指导：在事件发生时进行检测与处置；向各机构通报当前或潜在威胁及系统弱点；并提供网络威胁、漏洞及事件情报，协助开展风险评估工作。

年度独立评估

根据《联邦信息安全管理法》第二版规定，各机构必须安排独立审计机构对其信息安全计划和实践进行年度评估，以确认其有效性。设有监察长的机构，该评估可由该机构监察长或独立外部审计机构实施，具体由监察长决定。其他机构则须由机构负责人"聘请独立外部审计机构执行评估"。

年度报告

每年，各机构负责人必须向管理和预算办公室主任、国土安全部部长、审计长及多个国会委员会提交报告，说明信息安全政策、程序和实践的充分性与有效性。最重要的是，该报告需汇总机构风险评估、威胁信息及合规表现，同时识别重大及其他信息安全事件，包括信息安全遭受重大损害的情况。 每年3月1日前，管理与预算办公室主任须与国土安全部部长协商后，向国会提交报告说明上年度信息安全政策与实践的有效性，并包含事件摘要、机构标准合规情况及数据泄露通知程序。 在前两年内，行政管理和预算局局长需评估各机构执行数据泄露通知政策与指南的情况，国土安全部部长须将该评估纳入其向国会提交的年度报告中。

结论

持续的网络世界挑战以及《联邦信息安全管理法案》第二阶段的项目，带来了合规与防护方面的难题。但这也为独立外部审计机构提供了机遇，使其能够完善并拓展对政府机构项目的评估，以衡量其有效性。诊断技术开发商同样处于有利地位，可进一步开发并展示其最先进的工具，协助政府为应对网络战战术做好准备并实施防御。 时间紧迫，新技术正加速部署，国土安全部与管理和预算办公室必须在两年内完成对各机构技术采用情况的评估。

---

福莱律师事务所法律新闻快讯旨在提供重要新立法或法律动态的相关信息（而非法律建议）。鉴于法律动态数量庞大，本刊无法针对每项动态发布更新，亦无法对后续所有发展进行追踪报道。

乔纳森·N·哈尔彭
纽约州纽约市
212.338.3650
[email protected]