2月初,管理和预算执行办公室(“ OMB”)发布了 备忘录M-17-12 要求联邦机构制定准则和程序,以准备或应对涉及泄露个人身份信息(“ PII”)的违规行为。 OMB建议的框架专门旨在“ [评估]并减轻可能受到违规影响的个人受到伤害的风险”,并提供“关于是否以及如何向这些个人提供通知和服务的指南”。通用联邦机构标准和流程的实施不仅旨在简化机构处理PII释放的方式,而且还可以确保联邦政府有能力以有效和高效的方式处理数据泄露。

指南中最值得注意的要求是对收集或维护联邦信息或代表联邦机构使用或操作信息系统的联邦承包商的要求。 OMB概述了机构纳入联邦合同和合作协议的条款,包括要求承包商和分包商:

  • 与代理商交换信息并允许检查以确保符合合同要求,执行代理商的违规响应计划并协助应对数据泄露
  • 报告均已确认 并怀疑 发生对联邦机构的数据泄露 在任何媒介中,包括纸质,口头或电子披露
  • 对PII进行加密,以符合OMB A-130通告的规定,并采取机构特定政策中概述的其他任何PII保护措施
  • 培训承包商或分包商人员进行违规识别和报告
  • 维持确定哪些联邦信息曾经或可能被谁访问以及由谁访问的能力,以构建用户活动时间表,确定访问联邦信息的方法以及确定初始攻击媒介的能力

在发生违规事件时,这些机构有很大的酌处权指导承包商的行动,还可以要求承包商通知可能受到违规行为影响的个人,并采取措施减轻对受影响个人造成伤害的风险。

与联邦政府有业务往来的公司将希望查看其信息安全政策和事件响应计划,以与新的OMB准则兼容。重要的是,新准则在某些重要方面与针对数据泄露通知的州法律有所不同,后者通常反映在响应策略中。例如:

  • PII的定义:OMB指南将PII定义为“可单独或与其他链接到或链接到特定个人的信息结合使用来区分或追踪个人身份的信息。”它的范围要比州法律中普遍采用的PII定义的范围要广得多,在该州法律中,PII通常局限于个人姓名,并结合敏感的数据元素,例如社会安全号码,驾驶执照号码或金融帐号。
  • 披露媒介:OMB指南涵盖了任何形式的数据泄露,包括口头披露,而州法律通常适用于电子存储的信息,有时适用于纸质文件。员工培训和公司机密性政策可能需要更新,以阐明未经授权披露的报告要求范围。
  • 通知触发:根据OMB备忘录,机构负责人拥有最终决策权(根据其他法律和要求),可以向US-CERT,执法机构,国会或受影响的个人报告已确认或可疑的数据泄露。尽管应该考虑对个人造成伤害的可能性以及其他因素,但是OMB指南没有像州法律那样自动进行“触发”通知。这可能会给承建商报告事件带来压力,要求其迅速“向所有相关机构提供所有相关事实”,以便机构可以做出准确,及时且可辩护的通知决定。

OMB指示联邦采购监管(FAR)理事会制定合同条款,DHS指示更新US-CERT事件通知准则以实施备忘录中概述的措施。在接下来的几个月中,行业可能会有机会对这些指导方针进行评论,因为它们正在逐步进入监管流程。同时,与联邦政府有业务往来的企业应审查其信息安全和事件响应计划,以及面临的制定和/或续签联邦合同的时间表。技术与法度(Technology and law)将继续监控该地区联邦机构和承包商的数据安全和隐私发展。