Il Government Information Security Reform Act (precedentemente noto come Thompson-Liebermann Act) è una legge federale che richiedeva alle agenzie governative degli Stati Uniti di implementare un programma di sicurezza delle informazioni che include pianificazione, valutazione e protezione. È stato emanato nel 2000 e sostituito dal Federal Information Security Management Act (FISMA) nel 2002.
Ai sensi del Government Information Security Reform Act (GISRA), le agenzie erano tenute a eseguire valutazioni del rischio di sistemi non classificati, sviluppare e implementare politiche e procedure di sicurezza per i dati, sviluppare un processo per correggere i punti deboli della sicurezza e fornire formazione sulla consapevolezza della sicurezza per i dipendenti delle agenzie. Inoltre, i responsabili delle agenzie erano tenuti a garantire che il piano di sicurezza delle informazioni fosse applicato per tutto il ciclo di vita di ciascun sistema e che il programma e i relativi controlli di gestione, operativi e IT fossero valutati dai funzionari dell'agenzia competenti.
I requisiti del GISRA non erano nuovi. La legge ha riunito i requisiti di altri regolamenti federali, tra cui il Computer Security Act del 1987, il Paperwork Reduction Act del 1995 e il Clinger-Cohen Act del 1996. Tuttavia, a differenza degli altri regolamenti, GISRA ha ritenuto le agenzie responsabili legando il ciclo di bilancio. Ogni agenzia doveva presentare annualmente il proprio rapporto di conformità all'Office of Management and Budget (OMB). Le agenzie che non hanno aderito al GISRA hanno rischiato di perdere fondi. GISRA non ha fornito fondi per le valutazioni, tuttavia, e questo ha causato problemi con gli sforzi delle agenzie per conformarsi alla legge.
La legge mancava anche di specifiche per quanto riguarda il tipo di controlli IT che le agenzie dovrebbero implementare. Il National Institute of Standards and Technology (NIST) e l'OMB hanno semplicemente consigliato che le misure di protezione dovrebbero essere appropriate per il livello di rischio rappresentato per le attività e le attività dell'agenzia. Nessun singolo insieme di controlli sarebbe appropriato per ogni agenzia o anche per ogni sistema, ma standard più specifici per livelli di rischio definiti non solo avrebbero aiutato le agenzie a garantire la conformità, ma fornirebbero un quadro standard per la valutazione, garantire l'adeguata protezione dei dati condivisi e ridurre lo sforzo e le risorse necessarie per ottenere la conformità GISRA.
Vedi anche: Legge federale sulla gestione della sicurezza delle informazioni (FISMA)
Per saperne di più:
Il promemoria originale per l'emanazione del GISRA può essere trovato online.