Lindsey Intrieri| 2017年8月18日
管理和预算办公室(OMB)提议,美国教育部需要一个新的审计目标,保护学生信息,测试遵守保障学生信息的规则。拟议的保障规则要求审计师评估信息安全计划和相关保障措施。许多教育领导者,专业人士和金融人员的协会涉及该拟议要求提供的负担。国家大学和大学商业人员协会(Nacubo),政府关系(COGR)理事会的组织,以及国家学生财政援助管理员(NASFAA)与OBB的国家协会要求删除新目标在进一步的讨论和调整方面与高等教育界进行,或重新编写,以便它包含客观标准,并延迟到2018财年(FY)单次审计,以便机构可以开始规划可能影响审计的额外费用费用。
审计目标如下:确定高等教育研究所(IHE)是否根据保障策略制定,实施并维护了全面的信息安全计划(合规资金弗顿5-3-53,2017年4月)。保障措施规则有几个要求,包括指定一名员工来监督机构的信息安全计划,内部和外部客户信息风险识别,实施风险控制(定期测试),员工培训,以及第三方服务提供商的保障验证。这个目标现在为执行单一审核的审核员提出了新的测试计划和程序。
所提出的关切如下:
审计目标过于宽泛
这些组织认为,新的审计目标(按照书面)过于广泛的范围,缺乏特殊性,这使得审计员挑战评估(和献给合规性)并难以遵守的高等教育机构。他们认为,他们认为是客观的标准,使高等教育机构的不同安全计划/计划可以确保他们充分满足拟议审计目标的要求。根据“保障规则”(格拉姆浸出Bliley Act),允许机构自行决定,他们如何进行风险评估并制定风险计划。因此,每个高等教育机构都有自由和灵活性,制定一个满足其独特需求,使命,运营和学生人口的计划。但拟议的审计目标确保学生信息是根据不同的审计师可以根据情况的事实结论的方式编写。例如,审计师对构成“全面”信息安全计划的解释可能有所不同,因此,审计结果也可能不同。
增加成本
持反对意见的机构亦声称,拟议的审计目标范围太广,将迫使审计人员聘请资讯科技审计专家来满足这一要求,而这又可能增加高等教育机构的审计工作成本。增加的测试需要审计员额外的计划和程序时间。人们担心这些成本将被转嫁给IHE,而IHE很可能没有在2017财年预算中增加审计成本。
结论
美国教育部听到了高等教育机构的担忧,目前计划将网络要求加入2018年补充。一些关键的外卖:
- 审计SFA集群实体的机构被敦促提醒其客户遵守格莱美-里奇-比利利法案的合规责任,并在今年(2017年)做好准备。
- 高等教育机构(以及审计机构)应该开始评估它们对保障措施规则的遵守情况,以确保它们的信息安全项目正在“积累”,并将在2018年做好准备。
您的组织可以选择寻求咨询专业知识,以对信息安全计划和保障规则进行差距分析。想要查询更多的信息,联系我们。
