美國政府問責局報告顯示，盡管新的風險管理指南已經開始實施，但負責關鍵基礎設施管理工作的各聯邦部門一直未就安全改進效果開展量化評估；

　　報告稱，16大關鍵基礎設施領域中，僅3個評估了NIST關基安全改進框架的采用情況，多數表現滯后；

　　有聯邦機構表示，持續的疫情和勒索軟件攻擊影響了對該工作的資源投入。

　　美國政府問責局（GAO）日前發布的最新報告顯示，隨著聯邦網絡安全指南在各關鍵基礎設施部門的落地，仍有不少負責網絡風險管理工作的聯邦部門尚未對指南實施帶來的安全改進做出衡量與評估。GAO建議相關部門抓緊推進該項工作。

　　《2021年國防授權法案》將2013年的一項總統行政令納入法律，要求將16大關鍵基礎設施領域的風險管理職責劃歸9個聯邦機構負責管理。但政府問責局的報告顯示，這些聯邦機構至今仍未對16大主要關鍵基礎設施領域中的13個采用網絡安全標準情況開展全面評估。

　　GAO報告封面

　　報告稱，從核反應堆到關鍵制造、再到醫療保健與應急服務，這9個肩負風險管理職責的聯邦機構，一直沒能確定美國國家標準與技術研究所（NIST）《關鍵基礎設施網絡安全改進框架》的實施情況。這套框架意在為整個行業提供全面的網絡安全規劃，涵蓋核心安全功能與技術保障手段，希望能緩解漏洞影響并預防入侵行為。

　　截至目前，各負責機構只評估了這套框架在國防工業基地、政府設施及自來水/廢水處理系統（3個領域）中的應用情況。

　　其他關鍵基礎設施領域的框架落地現狀則可謂好壞參半。

　　部分行業已經確定了框架的應用方式，比如能源部開始跟蹤各機構內的網絡安全工具包申請情況。但大多數機構仍然停滯在跟蹤并評估跨部門框架實施水平的階段。

　　NIST關基安全框架為自愿性質，除了與特定行業團體開展協同調查與信息共享之外，各機構其實無權從關鍵基礎設施運營者處直接獲取信息。

　　政府問責局在報告中還提到，國際社會的持續性危機也可能影響到各級機構的網絡安全框架實施進展。

　　在報告中，美國衛生與人類服務部（HHS）官員指出，“COVID-19疫情防控、抵御并恢復勒索軟件攻擊影響等事務已經嚴重侵占各部門資源，也迫使管理者將注意力從框架實施轉向更為迫切的現實問題。”

　　報告稱，目前有三家聯邦風險管理機構在衡量NIST框架實施方面取得了顯著成功。以環境保護署為例，其下轄的地下水與飲用水辦公室官員提到，在146家要求自愿接受技術評估的自來水公司之內，框架中所推薦安全控制措施的普及度提升了32%。