Votre feuille de route vers la réduction des risques !

Services complets d'audit IRS 1075 et 4812

La publication 1075, Tax Information Security Guidelines for Federal, State, and Local Agencies and Entities, fournit des exigences d'audit très détaillées. La publication 1075 décrit les contrôles de sécurité managériaux, opérationnels et techniques qui doivent être mis en œuvre comme condition de réception de l'IFT. L'IRS a mis en correspondance les exigences de contrôle de la publication 1075 de l'IRS avec les exigences de contrôle du National Institute of Standards and Technology (NIST) (NIST SP 800-53).

Les modules comprennent:

• Chapitre 1.0, Introduction
• Section 2.0, Renseignements et avis sur l'impôt fédéral
• Section 3.0, Exigences en matière de tenue de registres
• Section 4.0, Stockage sécurisé
• Section 5.0, Restriction de l'accès
• Section 6.0, Autres mesures de protection
• Section 7.0, Exigences en matière de rapports
• Section 8.0, Élimination des FTI
• Section 9.0, Sécurité du système informatique

IRS 4812

La publication 4812 est une nouvelle publication conçue pour identifier les exigences de sécurité pour les entrepreneurs et les sous-traitants soutenant le contrat principal. Elle identifie les contrôles de sécurité et les exigences pour les entrepreneurs (et leurs sous-traitants) qui manipulent ou gèrent les informations sensibles mais non classifiées (SBU) de l'Internal Revenue Service (IRS) sur ou à partir de leurs propres systèmes ou ressources d'information. Le niveau des contrôles de sécurité requis peut varier en fonction de la durée, de la taille et de la complexité du contrat.

Les modules comprennent:

• Contrôle d'accès et autorisation d'approbation des actifs informatiques (AC)
• Sensibilisation et formation (AT)
• Audit et Responsabilité (AU)
• Évaluation et autorisation de sécurité (CA)
• Gestion des configurations (CM)
• Planification d'urgence (PC)
• Identification et authentification (IA)
• Réponse aux incidents (IR)
• Entretien (MA)
• Protection des médias (MP)
• Protection physique et environnementale (EP)
• Planification (PL)
• Gestion de programme (PM)
• Sécurité du personnel (SP)
• Évaluation des risques (RA)
• Acquisition de systèmes et de services (AS)
• Protection des systèmes et des communications (SC)
• Intégrité des systèmes et de l'information (SI)

QFP 

Qu'attendez-vous?

Vous n’êtes qu’à une conversation de mettre la puissance de Continuum GRC à votre service. 

Contactez-nous en utilisant le formulaire ci-dessous ou en nous appelant au 1-888-896-6207 pour une assistance immédiate.

À propos de la norme

Publication IRS 1075 Publication IRS 4812 Il s'agit de documents d'orientation essentiels publiés par l'Internal Revenue Service (IRS) pour garantir la protection des informations fiscales sensibles et la sécurité des sous-traitants aux États-Unis. La publication 1075 de l'IRS fournit des directives de sécurité détaillées à l'intention des agences fédérales, étatiques et locales chargées de la gestion des données. Informations sur l'impôt fédéral (FTI), tandis que la publication 4812 de l'IRS décrit les exigences de sécurité pour les entrepreneurs et les sous-traitants gérant Sensible mais non classifié (SBU) Informations. Vous trouverez ci-dessous un aperçu de la conformité des deux publications, détaillant leur objectif, leur portée, leurs exigences et leurs principales considérations.

Publication 1075 de l'IRS : Directives relatives à la sécurité des informations fiscales pour les agences fédérales, étatiques et locales

Interet

La publication 1075 de l'IRS fournit des conseils complets pour garantir que les agences fédérales, étatiques et locales, leurs agents et leurs sous-traitants protègent adéquatement les confidentialité of Informations sur l'impôt fédéral (FTI). FTI comprend toute déclaration de revenus ou information de déclaration reçue de l'IRS ou de sources secondaires, telles que définies dans Code des impôts (IRC), article 6103L’objectif est de maintenir la confiance du public dans le système fiscal en protégeant les données sensibles des contribuables contre tout accès, utilisation ou divulgation non autorisés.

Portée et applicabilité

• Entités couvertes: S'applique aux agences fédérales, étatiques et locales, ainsi qu'à leurs agents, entrepreneurs et sous-traitants qui reçoivent, traitent, stockent ou transmettent des FTI. Exemples :
  • Services fiscaux des États.
  • Organismes d’exécution des pensions alimentaires pour enfants.
  • Des agences fédérales comme le ministère de l’Éducation.
  • Entrepreneurs ou centres de données gérant des FTI.
• Données couvertes:FTI comprend les déclarations de revenus, les informations sur les déclarations et toutes les données dérivées de sources de l'IRS, telles que les numéros de sécurité sociale, les détails sur les revenus ou les obligations fiscales.

Exigences clés de conformité

La publication 1075 de l'IRS est alignée sur NISTSP 800-53 Les contrôles de sécurité et les garanties managériales, opérationnelles et techniques sont décrits dans neuf sections clés. La conformité est assurée par l'IRS. Bureau des garanties via des audits et des rapports annuels.

1. Sections clés:
   • Section 1.0: Introduction:Décrit l’objectif et la base juridique (IRC 6103).
   • Section 2.0 : Informations et avis sur la fiscalité fédérale:Définit le FTI et le programme de garanties de l'IRS, y compris les examens périodiques.
   • Section 3.0 : Exigences en matière de tenue de registres:Exige la tenue de registres sur l’accès et l’utilisation de l’IFT.
   • Section 4.0 : Stockage sécurisé:Nécessite une sécurité physique (par exemple, des salles verrouillées, des installations sécurisées) pour le stockage des FTI.
   • Section 5.0 : Restriction de l'accès:Limitez l'accès à FTI en fonction du besoin de savoir avec des identifiants utilisateur uniques et une authentification forte.
   • Section 6.0 : Autres garanties: Inclut des contrôles supplémentaires tels que le cryptage et la réponse aux incidents.
   • Section 7.0 : Obligations en matière de rapports: Nécessite la soumission annuelle d'un Rapport de sécurité de sauvegarde (SSR) et le signalement immédiat des incidents.
   • Section 8.0 : Élimination des FTI:Spécifie les méthodes d'élimination sécurisées (par exemple, déchiquetage croisé, démagnétisation).
   • Section 9.0 : Sécurité du système informatique:Détails des contrôles techniques tels que le contrôle d'accès, la journalisation d'audit et le cryptage.
2. Contrôles de sécurité:
   • Séc. & Surveillance:Zones sécurisées abritant FTI avec serrures, registres de visiteurs et accès restreint.
   • Contrôles d'accès logiques:Identifiants utilisateur uniques, mots de passe et principes de moindre privilège ; interdire les comptes partagés.
   • Chiffrement:FTI doit être chiffré en transit (par exemple, TLS) et au repos (par exemple, modules validés FIPS 140-2) sur des appareils portables ou des réseaux.
   • Enregistrement d'audit: Enregistrez et examinez les activités des utilisateurs (par exemple, les connexions, l'accès FTI, les modifications de sécurité).
   • Élimination sécurisée: Déchiquetez le papier FTI avec des déchiqueteuses à coupe croisée ou pulvérisez-le ; utilisez un logiciel d'essuyage approuvé ou un logiciel de démagnétisation pour les supports électroniques.
   • Formation:Formation annuelle de sensibilisation à la sécurité pour tout le personnel ayant accès à FTI, avec des dossiers documentés.
3. Gestion des risques et audits:
   • Conduire régulièrement évaluations des risques pour identifier et atténuer les menaces qui pèsent sur l’IFT.
   • Soumettre un rapport annuel Rapport de sécurité de sauvegarde (SSR) détaillant la conformité, la posture de sécurité et tout changement via l'IRS Transfert sécurisé de données (SDT) .
   • Maintenir un Plan de sécurité du système (PSS) documenter la manière dont les contrôles répondent aux exigences de la publication 1075.
   • Mettre en place un Plan d'action et jalons (POA&M) pour remédier aux faiblesses de sécurité avec des délais de correction.
   • Subir Avis de sécurité (audits) par le Bureau des garanties de l'IRS, généralement tous les trois ans ou de manière aléatoire, impliquant des examens de documents, des inspections sur place et des entretiens.
4. Réponse aux incidents:
   • Développer une approche formelle Plan de réponse aux incidents (IRP) décrivant les procédures de préparation, de détection, de confinement et de récupération.
   • Signalez les violations suspectées ou confirmées de la FTI au Bureau des garanties de l'IRS et au Inspecteur général du Trésor pour l'administration fiscale (TIGTA) dans les 24 heures .
5. Gestion des risques de la chaîne d'approvisionnement (SCRM):
   • Les mises à jour récentes de la publication 1075 (Rév. 11-2021) ont introduit une nouvelle famille de contrôles SCRM pour protéger les composants système, les produits et les services gérant le FTI.
6. Processus d'examen des mesures de protection:
   • Notification:L'IRS publie une lettre décrivant la portée et le calendrier de l'audit.
   • Pré-audit: Soumettre les SSP, POA&M, IRP, les diagrammes de réseau et les dossiers de formation.
   • Examen sur place:Les auditeurs inspectent les installations, examinent les systèmes et interrogent le personnel.
   • Quitter la conférence:Discuter des résultats préliminaires.
   • Rapport officiel:Recevez un rapport d’examen des mesures de protection contenant des conclusions et des recommandations.
   • Plan d'action correctif (PAC): Soumettre un plan d’action dans un délai de 30 à 45 jours pour remédier à la non-conformité, avec des mises à jour régulières des progrès.

Application et sanctions

• Bureau des garanties de l'IRS: Effectue des audits et examine les SSR pour garantir la conformité.
• Pénalités en Cas de non-Conformité:
  • Perte d'accès au FTI.
  • Sanctions financières ou contractuelles.
  • Atteinte à la réputation ou conséquences juridiques en vertu de l’IRC 6103.
• Des vérifications:Des audits internes annuels sont requis, tandis que des audits externes de l'IRS ont lieu périodiquement ou de manière aléatoire.

Développements récents (en août 2025):

• Publication révisée 1075:En vigueur à compter du 10 juin 2022, la révision de novembre 2021 a remplacé la version 2016, ajoutant des contrôles SCRM et s'alignant sur NIST SP 800-53 Rév. 5.
• Des exigences plus strictes pour 2025:À compter du 1er janvier 2025, les organisations doivent se conformer à des exigences renforcées en matière de cybersécurité, notamment en matière de formation basée sur les rôles, de sensibilisation aux menaces internes et de plans de réponse aux incidents.

Publication 4812 de l'IRS : Évaluations de la sécurité des entrepreneurs

Interet

La publication 4812 de l'IRS est une norme relativement nouvelle conçue pour garantir que entrepreneurs sous-traitants soutenir les contrats liés à l'IRS mettre en œuvre des contrôles de sécurité pour protéger Sensible mais non classifié (SBU) informations. Elle complète la publication 1075 en se concentrant sur les exigences spécifiques aux entrepreneurs et les évaluations de sécurité pour maintenir la confiance dans les opérations de l'IRS et les données des contribuables.

Portée et applicabilité

• Entités couvertes: S'applique aux entrepreneurs et sous-traitants qui traitent les informations SBU de l'IRS, que ce soit sur leurs propres systèmes ou dans le cadre de contrats fédéraux. Cela inclut les fournisseurs informatiques, les fournisseurs de services cloud et autres tiers.
• Données couvertes:Les informations SBU comprennent des données sensibles non classées comme FTI mais nécessitant néanmoins une protection, telles que les données opérationnelles de l'IRS, les dossiers des employés ou les informations exclusives.

Exigences clés de conformité

La publication 4812 décrit les contrôles et processus de sécurité pour Évaluations de la sécurité des entrepreneurs (CSA) évaluer l'efficacité des mesures de protection. Le niveau de contrôle varie en fonction de la durée, de la taille et de la complexité du contrat.

1. Familles de contrôle de sécurité (aligné sur NIST SP 800-53) :
   • Contrôle d'accès (CA):Restreindre l'accès aux données SBU avec des mécanismes d'authentification et d'autorisation.
   • Sensibilisation et formation (AT):Fournir une formation en matière de sécurité au personnel de l’entrepreneur.
   • Audit et Responsabilité (AU): Mettre en œuvre la journalisation d'audit et la surveillance de l'accès SBU.
   • Évaluation et autorisation de sécurité (CA):Effectuer des évaluations régulières pour vérifier la conformité.
   • Gestion des configurations (CM): Maintenir des configurations système sécurisées.
   • Planification d'urgence (PC):Élaborer des plans de récupération des données et de continuité des opérations.
   • Identification et authentification (IA):Vérifiez les identités des utilisateurs accédant à SBU.
   • Réponse aux incidents (IR):Établir des procédures pour détecter, répondre et signaler les incidents.
   • Entretien (MA):Assurez-vous que les systèmes sont maintenus en toute sécurité.
   • Protection des médias (MP): Manipulez et éliminez en toute sécurité les supports contenant du SBU.
   • Protection physique et environnementale (EP):Protéger les installations et les systèmes abritant l'unité SBU.
   • Planification (PL):Élaborer des plans de sécurité pour les systèmes des entrepreneurs.
   • Gestion de programme (PM):Établir une surveillance des programmes de sécurité.
   • Sécurité du personnel (SP): Contrôler et former le personnel manipulant le SBU.
   • Évaluation des risques (RA): Identifier et atténuer les risques pour l’unité SBU.
   • Acquisition de systèmes et de services (AS):Assurer la sécurité dans les processus d’approvisionnement.
   • Protection des systèmes et des communications (SC):Transmission sécurisée des données (par exemple, cryptage).
   • Intégrité des systèmes et de l'information (SI):Protégez SBU contre les modifications non autorisées ou la corruption.
2. Évaluations de la sécurité des entrepreneurs (CSA):
   • Les CSA sont menées pour surveiller la conformité et évaluer l’efficacité des contrôles de sécurité.
   • Les entrepreneurs doivent fournir de la documentation (par exemple, des plans de sécurité, des évaluations des risques) et permettre aux auditeurs de l'IRS ou à des tiers d'examiner les systèmes et les processus.
   • Les évaluations peuvent inclure des tests de pénétration, des analyses de vulnérabilité ou des inspections sur site.
3. Documentation et rapports:
   • Maintenir un Plan de sécurité du système (PSS) détaillant comment les contrôles sont mis en œuvre.
   • Soumettre des rapports périodiques à l’IRS sur la posture de sécurité et les incidents.
   • Mettre en place un Plan d'action et jalons (POA&M) pour remédier aux faiblesses identifiées.
4. Réponse aux incidents:
   • Les entrepreneurs doivent avoir un Plan d'intervention en cas d'incident pour remédier aux violations ou aux accès non autorisés à SBU.
   • Les incidents doivent être signalés à l'IRS rapidement, généralement dans les 24 heures, comme pour les violations FTI.

Application et sanctions

• Surveillance de l'IRS:L'IRS surveille la conformité des entrepreneurs par le biais d'accords de partenariat communautaire et d'examens de contrats.
• Pénalités en Cas de non-Conformité:
  • Résiliation des contrats.
  • Sanctions financières ou responsabilité en cas de manquement.
  • Atteinte à la réputation ou exclusion des futurs contrats de l’IRS.
• Défis en matière de ressources:Les entrepreneurs de petite et moyenne taille peuvent avoir du mal à gérer les coûts des audits, du suivi et de la documentation.

Développements récents (en août 2025):

• Publication 4812 Révision:La dernière révision (Rev. 12-2024) clarifie les processus CSA et met l'accent sur l'alignement avec les contrôles NIST SP 800-53 Rev. 5.
• Accent accru sur la chaîne d'approvisionnement:Un contrôle renforcé des sous-traitants pour garantir la protection des SBU tout au long de la chaîne d’approvisionnement.

Principales différences entre l'IRS 1075 et l'IRS 4812

Défis de conformité

• Complexité:Les deux publications sont conformes à la norme NIST SP 800-53, qui nécessite une expertise technique pour mettre en œuvre des contrôles tels que le cryptage, le contrôle d'accès et la journalisation d'audit.
• Intensité des ressources:Les petites organisations et les sous-traitants peuvent avoir du mal à faire face aux coûts des audits, de la formation et des mises à niveau du système.
• Gestion de tiers: Pour garantir que les sous-traitants se conforment aux normes 1075 ou 4812, il faut une surveillance et des contrats rigoureux.
• Exigences en évolution:Se tenir au courant des mises à jour (par exemple, les améliorations de la cybersécurité d’ici 2025) exige une surveillance continue.
• Rapports d'incidents:L’obligation de signaler les violations dans les 24 heures est stricte et nécessite des processus de réponse aux incidents efficaces.

Avantages de la conformité

• Confiance publique:Protège les données sensibles des contribuables, préservant ainsi la confiance dans le système fiscal.
• Atténuation des risques:Réduit la probabilité et l’impact des violations de données ou des divulgations non autorisées.
• Conformité réglementaire:Évite les pénalités, la perte d’accès au FTI ou la résiliation du contrat.
• Continuité opérationnelle:Garantit que les agences et les entrepreneurs peuvent continuer à accéder aux données FTI ou SBU.

How to Get Started

1. Guide de révision:
   • Accéder Publication 1075 (Rév. 11-2021) Publication 4812 (Rév. 12-2024) sur irs.gov.
   • Consultez le site Web Programme de protection de l'IRS page Web pour les modèles et les ressources.
2. Effectuer des évaluations des risques:Utilisez la norme NIST SP 800-30 pour identifier les risques pour FTI ou SBU.
3. Élaborer des politiques:
   • Créez un SSP, un IRP et un POA&M pour la conformité 1075 et 4812.
   • Mettre en œuvre un WISP pour la sécurité des entrepreneurs en vertu de la norme 4812.
4. Commandes d'outil:Déployez le chiffrement, l’authentification multifacteur, les contrôles d’accès et les méthodes d’élimination sécurisées.
5. Former le personnel:Fournir une formation annuelle sur la protection FTI/SBU et la complétion des documents.
6. Engager les fournisseurs:Assurez-vous que les associés commerciaux ou les sous-traitants signent des accords conformes aux normes 1075 ou 4812.
7. Préparez-vous aux audits: Tenir à jour la documentation et effectuer des audits internes pour se préparer aux examens de protection de l'IRS ou aux CSA.

Conclusion

Les publications 1075 et 4812 de l'IRS établissent des cadres rigoureux pour la protection des données FTI et SBU, respectivement. La publication 1075 cible les agences et les sous-traitants qui traitent des informations fiscales et exige des contrôles conformes aux normes du NIST, des rapports annuels sur les services fiscaux (SSR) et des examens de sécurité. La publication 4812 cible les sous-traitants qui gèrent des SBU et met l'accent sur les accords de sécurité fiscale (CSA) et autres contrôles similaires basés sur le NIST. Le respect de ces deux normes implique des évaluations des risques, des mesures de protection rigoureuses et une surveillance continue, assorties de sanctions importantes en cas de non-conformité.

Des avantages incroyables