美国政府问责署一直在指出联邦政府在确保联邦信息系统和网络关键基础设施的安全性以及保护个人可识别信息（PII）隐私的方法方面的缺点。

虽然以前的主管部门和机构已采取行动改善对联邦和关键基础设施信息和信息系统的保护，但联邦政府需要采取以下行动加强美国网络安全：

·持续有效地实施基于风险的实体信息安全计划。其中，机构需要（1）实施可持续流程，以安全地配置操作系统、应用程序、工作站、服务器和网络设备；（2）修补易受攻击的系统并更换不支持的软件；（3）制定全面的安全测试和评价程序，定期进行考试；（4）加强对提供IT服务的承包商的监督。

·改进其网络事件检测、响应和缓解能力。国土安全部需要扩大其能力，并支持更广泛地采用其政府范围的入侵检测和预防系统。此外，联邦政府需要改进网络事件响应做法，更新关于报告数据泄露的指南，并针对违反PII的情况制定一致的响应。

·扩大其网络劳动力规划和培训工作。联邦政府需要（1）加强招聘和保留合格的网络安全人员队伍的努力，（2）改善网络安全人力规划活动。

·扩大努力，加强国家关键基础设施的网络安全。联邦政府需要制定指标，以（1）评估促进国家标准与技术研究院（NIST）改进关键基础设施网络安全框架的努力的有效性和（2）衡量和报告网络风险缓解活动的有效性和关键基础设施部门的网络安全状况。

·更好地监督个人可识别信息的保护。联邦政府需要（1）保护电子健康信息的安全和隐私，（2）在使用面部识别系统时确保隐私，（3）保护用户在国家健康保险市场上的数据的隐私。

加强国家网络安全委员会（网络安全委员会）和战略与国际研究中心（CSIS）提出的若干建议大体上符合或类似于政府问责署在若干领域的建议，包括：建立国际网络安全战略，保护网络关键基础设施，促进使用NIST网络安全框架，优先考虑网络安全研究和扩大网络安全工作人员。

政府问责署的建议

过去几年，政府问责署已向联邦机构提出了大约2,500条建议，以加强其信息安全计划和控制。截至2017年2月，大约1 000条建议尚未执行。