新闻是有分量的

HHS称Healthcare.gov符合白宫安全标准

星期三,我说联邦健康保险交易所网站Healthcare.gov似乎违反了白宫关于网络安全的指导。 但卫生和公共服务部已作出回应,事实并非如此。

根据2002年网络安全法,即“联邦信息安全管理法”,政府网站必须在投入使用之前获得“运营权”,监督该网站开发的官员证明其符合安全要求。

卫生和人类服务部部长上周在众议院能源和商务委员会上作证,在上线前几天,联邦交易所网站被授予临时权力,以便在安全测试正在进行时进行操作。

但2012年9月白宫管理和预算办公室关于网络安全的备忘录称“临时”认证是不可接受的。

这份备忘录是由杰夫·泽恩斯(Jeff Zients)撰写的,他是OMB的前任代理主任,负责监督为解决奥巴马医改网站推出问题而发起的“技术激增”。

在通过电子邮件发送给HHS官员的华盛顿审查员的回复中,该部门认为OMB指南不适用于Healthcare.gov,因为有一个计划来持续测试该网站。

“[A] ATO必须在FISMA指导下有终止日期,”HHS回应中写道。 “对于[联邦交易所],目前有六个月的授权.OMB对临时ATO的指导涉及没有风险缓解框架的情况。对于[联邦交换],安全测试是使用行业最佳实践持续进行,我们正在采取一系列策略来降低风险。“

OMB指南没有区分不同类型的临时授权。

2012年9月27日发布的OMB备忘录由Zients简单阅读:

OMB是否承认为安全授权进行操作的临时权限?

不需要。多年来一直需要安全授权流程,因此衡量此流程的实施情况非常重要,以提高整个政府的一致性和质量。 引入政府安全计划的额外不一致将违背FISMA的目标。

在参议院卫生,教育,劳工和养老金委员会举行的星期二上午听证会上,参议员Pat Roberts,R-Kan。向医疗保险和医疗补助服务管理中心Marilyn Tavenner询问了OMB指导。

由于CMS负责监督健康交流的推出,因此Tavenner签署了临时管理权限。

“OMB确实批准了短期授权,因此我们按照OMB的要求进行了大纲,并对其进行了双重检查,”Tavenner说。