美國政府問責署一直在指出聯邦政府在確保聯邦信息系統和網絡關鍵基礎設施的安全性以及保護個人可識別信息（PII）隱私的方法方面的缺點。

雖然以前的主管部門和機構已采取行動改善對聯邦和關鍵基礎設施信息和信息系統的保護，但聯邦政府需要采取以下行動加強美國網絡安全：

·持續有效地實施基于風險的實體信息安全計劃。其中，機構需要（1）實施可持續流程，以安全地配置操作系統、應用程序、工作站、服務器和網絡設備；（2）修補易受攻擊的系統并更換不支持的軟件；（3）制定全面的安全測試和評價程序，定期進行考試；（4）加強對提供IT服務的承包商的監督。

·改進其網絡事件檢測、響應和緩解能力。國土安全部需要擴大其能力，并支持更廣泛地采用其政府范圍的入侵檢測和預防系統。此外，聯邦政府需要改進網絡事件響應做法，更新關于報告數據泄露的指南，并針對違反PII的情況制定一致的響應。

·擴大其網絡勞動力規劃和培訓工作。聯邦政府需要（1）加強招聘和保留合格的網絡安全人員隊伍的努力，（2）改善網絡安全人力規劃活動。

·擴大努力，加強國家關鍵基礎設施的網絡安全。聯邦政府需要制定指標，以（1）評估促進國家標準與技術研究院（NIST）改進關鍵基礎設施網絡安全框架的努力的有效性和（2）衡量和報告網絡風險緩解活動的有效性和關鍵基礎設施部門的網絡安全狀況。

·更好地監督個人可識別信息的保護。聯邦政府需要（1）保護電子健康信息的安全和隱私，（2）在使用面部識別系統時確保隱私，（3）保護用戶在國家健康保險市場上的數據的隱私。

加強國家網絡安全委員會（網絡安全委員會）和戰略與國際研究中心（CSIS）提出的若干建議大體上符合或類似于政府問責署在若干領域的建議，包括：建立國際網絡安全戰略，保護網絡關鍵基礎設施，促進使用NIST網絡安全框架，優先考慮網絡安全研究和擴大網絡安全工作人員。

政府問責署的建議

過去幾年，政府問責署已向聯邦機構提出了大約2,500條建議，以加強其信息安全計劃和控制。截至2017年2月，大約1 000條建議尚未執行。