วิธีที่กระบวนการนี้อาจทำงานคือช่องโหว่จะได้รับคะแนนความเสี่ยง DHS สามารถดูสถานะของคะแนนหน่วยงานทั่วทั้งภาครัฐ จากนั้นทำงานร่วมกับหน่วยงานต่างๆ เพื่อแก้ไขช่องโหว่“จะมีคะแนนเป็นตัวเลขที่มีความแม่นยำและมีเหตุผลรองรับว่าทำไมคุณถึงไปถึงจุดนั้น มันจะเป็นคะแนนสัมพัทธ์ที่เอเจนซี่ต้องการลดจำนวนลงเพื่อแสดงให้เห็นว่าพวกเขากำลังดีขึ้น ไม่มีอัลกอริทึมที่สมบูรณ์แบบที่คุณสามารถพูดได้ว่าทุกคนอยู่ใน ‘สีแดง’ ต้องใช้ความเข้าใจในตัวเลือกความเสี่ยงต่างๆ และสิ่งที่เราเชื่อว่าเป็นตัวบ่งชี้ความเสี่ยง”
คำแนะนำ FISMA ใหม่ OMB
นอกเหนือจากการมุ่งเน้นไปที่การจัดการช่องโหว่แล้ว OMB กำลังทำการเปลี่ยนแปลงอื่น ๆ กับ CDM ในคำแนะนำของ FISMAฝ่ายบริหารกำลังเปิดประตูให้หน่วยงานได้รับเครื่องมือและความสามารถในการตรวจสอบอย่างต่อเนื่องนอกเหนือจาก CDM
“[H] อย่างไรก็ตาม พวกเขาจำเป็นต้องให้เหตุผลที่เพียงพอหากพวกเขาแสวงหาเครื่องมือที่มีความสามารถในการตรวจสอบอย่างต่อเนื่องซึ่งไม่สอดคล้องกับเครื่องมือการจัดหา CDM ในปัจจุบันหรืออนาคต (รวมถึง CDM Dynamic และ Evolving Federal Enterprise Network Defense [DEFEND], GSA IT ตาราง 70 หมายเลขรายการพิเศษของเครื่องมือ CDM เป็นต้น) ก่อนที่จะซื้อเครื่องมือเหล่านี้ จะต้องส่งบันทึกเหตุผลจากหน่วยงาน CISO ไปยัง CDM PMO, สำนักงานจัดการทรัพยากร OMB (RMO) ที่เกี่ยวข้อง และสำนักงานเจ้าหน้าที่ข้อมูลกลางแห่งสหพันธรัฐ (OFCIO) ทีมรักษาความปลอดภัยทางไซเบอร์” คำแนะนำระบุ .
นอกจากนี้ OMB กำลังบอกหน่วยงานว่าพวกเขาสามารถใช้เครื่องมือ
หรือความสามารถที่มีอยู่ซึ่งตรงตามข้อกำหนดของ CDM ต่อไปได้ แต่ซื้อนอกเหนือสัญญาที่ดำเนินการโดย General Services Administration
“หน่วยงานได้รับการสนับสนุนให้แสดงความคิดเห็น CDM PMO เกี่ยวกับเครื่องมือที่มีอยู่และป้อนข้อมูลเกี่ยวกับเครื่องมือเพิ่มเติมที่อาจพิสูจน์ได้ว่ามีค่าสำหรับยานพาหนะการซื้อ CDM ในปัจจุบันหรืออนาคต เมื่อหน่วยงานแลกเปลี่ยนข้อมูลกับ Federal Dashboard หน่วยงานจะมีหน้าที่รับผิดชอบแต่เพียงผู้เดียวในการตอบสนองต่อความเสี่ยงที่ระบุผ่านโปรแกรม CDM และ/หรือแดชบอร์ดของหน่วยงาน” บันทึกดังกล่าว
ในที่สุดการเปลี่ยนแปลงอื่นสำหรับ CDM คือเมื่อหน่วยงานคาดว่าจะจ่ายค่าบริการ
OMB กล่าวว่า DHS จะยังคงรับต้นทุนของความสามารถใหม่ทั้งหมดในช่วงสองปีแรก แต่หน่วยงานควรทำงานร่วมกับเจ้าหน้าที่งบประมาณเพื่อเตรียมแผนการใช้จ่ายโดยระบุรายละเอียดจำนวนเงินและเวลาของพนักงานที่หน่วยงานจะอุทิศให้กับ CDM ตั้งแต่ปี 2018 ถึง 2021 และข้อกำหนดด้านงบประมาณใด ๆ ที่เกินจากปี 2021 หน่วยงานจะต้องส่งรายการโฆษณาเฉพาะ CDM แยกต่างหากในคำของบประมาณทั้งหมดที่เริ่มต้นในปีงบประมาณ 2020