INFORMATION SECURITY: IRS Needs to Further Improve Controls over Financial and Taxpayer Data
GAOは内国歳入庁の情報セキュリティに関して、以下のような勧告を行いました。
---
内国歳入庁は包括的な情報セキュリティプログラムを備えているにもかかわらず、それが効果的に実行されていない。
例えば、同庁では以下が必ずしも実施されていない。
(1)利用者の認証・特定のためのコントロールの実行、例えば適切なパスワードの設定
(2)サーバーへのアクセスが適切な制限
(3)センシティブなユーザー認証データの暗号化の確保
(4)同庁ポリシーのコンプライアンス確保のためのシステムの監査・監視
(5)アクセス制限領域の適切な制限
また、以前内国歳入庁が対応するとGAOに通知してきた、28項目の改善点のうち、9つの弱点は効果的に修正されていない。
---
上記の勧告に加えて、GAOは内国歳入庁に対し、情報セキュリティ関連の政策や計画をより効果的に実施するための追加的な行動をとるよう勧告しています。
また、別のレポートで、新たに特定された統制上の弱点に取り組むための43項目の行動をとるよう勧告しています。
内国歳入庁は上記のGAOの勧告に同意しています。
http://www.gao.gov/products/GAO-16-398
