Introduction à la GISRA
La loi sur la réforme de la sécurité de l’information du gouvernement (GISRA) est une loi fédérale qui a été adoptée par le Congrès en 2002 et promulguée en 200
La GISRA exige que les agences mettent en œuvre un programme de sécurité de l’information à l’échelle du gouvernement pour protéger les informations et les actifs sensibles, ainsi que pour prévoir des mesures de sécurité appropriées pour chaque agence. Cela comprend la mise en œuvre d’un programme de gestion des risques, l’élaboration et la mise en œuvre de politiques de sécurité et la réalisation d’évaluations de la sécurité.
En vertu de la GISRA, chaque agence est tenue d’élaborer et de mettre en œuvre un programme de sécurité de l’information pour protéger les systèmes d’information de l’agence. Cela comprend l’élaboration et la mise en œuvre de politiques, de normes et de directives en matière de sécurité, la réalisation d’évaluations de la sécurité et la mise en place d’un programme de surveillance pour assurer la conformité aux exigences de sécurité.
La GISRA exige que les agences développent et mettent en œuvre un programme de gestion des risques pour identifier, évaluer et atténuer les risques associés aux systèmes d’information de l’agence. Cela comprend la réalisation d’évaluations des menaces et des vulnérabilités, la mise en œuvre de contre-mesures et de mesures de protection, et l’élaboration d’un plan d’urgence.
La GISRA exige que les agences effectuent régulièrement des évaluations de sécurité de leurs systèmes d’information afin de déterminer l’efficacité de leurs contrôles de sécurité. Cela comprend la réalisation d’une évaluation indépendante des systèmes d’information de l’agence, ainsi que des auto-évaluations et des évaluations indépendantes périodiques.
En vertu de GISRA, les agences sont tenues d’établir un programme de surveillance pour s’assurer que leurs programmes de sécurité sont mis en œuvre efficacement et en conformité avec les exigences de sécurité. Cela comprend la réalisation de révisions, d’inspections et d’audits périodiques du programme de sécurité de l’agence.
Le GISRA exige que les agences fassent un rapport annuel à l’Office of Management and Budget sur l’efficacité de leurs programmes de sécurité de l’information. Cela comprend la documentation des résultats des évaluations de sécurité, l’identification de toute déficience de sécurité et la description des mesures prises pour remédier à ces déficiences.
Le Government Information Security Reform Act (GISRA) est une loi fédérale qui a été adoptée en 2002 et promulguée en 2003 pour aider les agences à évaluer, améliorer et maintenir la sécurité de leurs systèmes d’information. Elle exige des agences qu’elles mettent en œuvre un programme de sécurité de l’information à l’échelle du gouvernement, qu’elles développent et mettent en œuvre un programme de gestion des risques, qu’elles procèdent à des évaluations de la sécurité et qu’elles établissent un programme de surveillance pour garantir la conformité aux exigences de sécurité. Elle exige également que les agences fassent un rapport annuel à l’Office of Management and Budget sur l’efficacité de leurs programmes de sécurité de l’information.
Le Federal Information Security Management Act de 2022 (FISMA) est une loi qui exige que toutes les agences fédérales développent, mettent en œuvre et maintiennent un programme de sécurité de l’information. La loi exige également que les agences effectuent des évaluations des risques, créent des plans de sécurité et établissent des contrôles de sécurité pour protéger leurs informations et leurs systèmes.
S. 2521, la loi de 2014 sur la modernisation de la sécurité des informations fédérales, a été introduite le 12 mars 2014 par les sénateurs Tom Carper (D-DE) et Roy Blunt (R-MO) et est coparrainée par les sénateurs Mark Warner (D-VA), Dianne Feinstein (D-CA), Saxby Chambliss (R-GA) et Marco Rubio (R-FL). Le projet de loi codifierait et renforcerait l’autorité du Département de la sécurité intérieure (DHS) pour protéger les réseaux et les informations du gouvernement fédéral civil. En outre, la législation exigerait que le DHS travaille avec les agences pour développer et mettre en œuvre des politiques et des pratiques de sécurité basées sur les risques, et donnerait au DHS le pouvoir de tenir les chefs d’agence responsables de la conformité. Le projet de loi exigerait également que le DHS fasse rapport au Congrès sur l’efficacité des efforts fédéraux en matière de sécurité de l’information et créerait un groupe de travail chargé de formuler des recommandations sur l’amélioration de la sécurité de l’information au sein du gouvernement fédéral.
La loi de 2002 sur la modernisation de la sécurité de l’information fédérale (FISMA) a été promulguée dans le cadre de la loi sur l’autorisation de la défense nationale pour l’année fiscale 2002. La FISMA a établi un cadre complet pour assurer l’efficacité des contrôles de sécurité de l’information sur les ressources d’information qui soutiennent les opérations et les biens fédéraux. Elle reconnaît également le pouvoir du directeur de l’Office of Management and Budget (OMB) d’émettre des politiques et des procédures à l’échelle du gouvernement pour soutenir le cadre statutaire.
En outre, la FISMA a modifié la loi fédérale sur la gestion de la sécurité de l’information de 2002 (FISMA) pour codifier les rôles et responsabilités clés des agences fédérales en matière de sécurité de l’information, et pour établir un programme de surveillance centralisé au sein de l’OMB. La loi a également créé un nouveau conseil national interagences sur la cybersécurité, présidé par le directeur de l’OMB, afin de coordonner et de guider les politiques et initiatives fédérales en matière de cybersécurité.