The Government Information Security Reform Act (formerly known as the Thompson-Liebermann Act) is a federal law that required U.S. government agencies to implement an information security program that includes planning, assessment and protection. Foi promulgada em 2000 e substituída pela Lei Federal de Gestão da Segurança da Informação (FISMA) em 2002.
Ato da Reforma da Segurança da Informação do Governo (GISRA), as agências eram obrigadas a realizar avaliações de risco de sistemas não classificados, desenvolver e implementar políticas e procedimentos de segurança de dados, desenvolver um processo para corrigir deficiências de segurança e fornecer treinamento de conscientização de segurança para os funcionários da agência. Além disso, os chefes das agências foram solicitados a garantir que o plano de segurança da informação fosse exercido durante todo o ciclo de vida de cada sistema, e que o programa e sua gestão, operacional e controles de TI fossem avaliados pelos funcionários apropriados da agência.
Os requisitos no GISRA não eram novos. A Lei reuniu os requisitos de outros regulamentos federais, incluindo a Lei de Segurança Informática de 1987, a Lei de Redução de Papelada de 1995 e a Lei Clinger-Cohen de 1996. No entanto, ao contrário de outros regulamentos, a GISRA responsabilizava as agências vinculando relatórios de conformidade ao ciclo do orçamento. Cada agência tinha de submeter anualmente o seu relatório de conformidade ao Gabinete de Gestão e Orçamento (OMB). As agências que não cumpriam com a GISRA corriam o risco de perder fundos. O GISRA não forneceu fundos para avaliações, no entanto, e isso causou problemas com os esforços das agências para cumprir a Lei.
A Lei também carecia de detalhes específicos sobre o tipo de controles de TI que as agências deveriam implementar. O National Institute of Standards and Technology (NIST) e o OMB simplesmente aconselharam que as medidas de proteção deveriam ser apropriadas para o nível de risco colocado às operações e ativos das agências. Nenhum conjunto único de controles seria apropriado para cada agência ou mesmo para cada sistema, mas normas mais específicas para níveis de risco definidos não só teriam ajudado as agências a garantir a conformidade, mas forneceriam uma estrutura padrão para avaliação, garantiriam a proteção adequada dos dados compartilhados e reduziriam o esforço - e os recursos - necessários para atingir a conformidade GISRA.
Ver também: Federal Information Security Management Act (FISMA)
b>Saiba mais:
O memorando original para promulgar o GISRA pode ser encontrado online.