这算是美国美国能源部门几年前的一些内容，现在看来其实还是有一定参考价值的。

能源部门的网络安全准备是 CESER 网络安全计划支持活动的三个关键领域之一。准备活动涉及态势感知和信息共享以及风险分析。

阅读原文移步知识星球

态势感知和信息共享

CESER 与能源部门所有者和运营商密切合作，通过培养行业评估能力、开发运营威胁分析工具以及与情报界合作更好地共享可操作的威胁和情报信息，更好地检测风险并更快地缓解风险。CESER 与政府和私营部门合作伙伴合作开发技术、工具、演习和其他资源，以协助能源部门评估和改进其安全态势、实践和准备情况。

由于高度动态的技术和威胁环境，有效的网络安全实践需要对威胁进行持续和全面的评估，识别系统漏洞，加强和共享公认的安全实践，以及分析网络事件对能源基础设施的影响。能源部门和政府之间及时双向共享网络威胁信息有助于确定威胁的严重程度、范围和性质，并快速制定所需的缓解措施。 

双向网络风险信息共享

网络安全风险信息共享计划

网络安全风险信息共享计划( CRISP)是一个公私合作伙伴关系，由美国能源部和行业共同出资，由电力信息共享和分析中心 (E-ISAC) 管理。CRISP 的目的是与能源部门合作伙伴合作，促进非机密和机密威胁信息的及时双向共享，并开发态势感知工具，以增强该部门识别、优先排序和协调保护关键基础设施和关键设施的能力。资源。CRISP 利用 DOE 开发的先进传感器和威胁分析技术以及 DOE 作为国家情报界一部分的专业知识，更好地向能源部门通报高级网络风险。目前的 CRISP 参与者为超过 75% 的美国大陆电力行业客户提供电力。

风险分析工具、实践和指南

网络安全能力成熟度模型（C2M2）

作为联邦政府提高电力分部门网络安全能力努力的一部分，CESER 和行业合作伙伴开发了电力分部门网络安全能力成熟度模型 (C2M2)，以帮助私营部门所有者和运营商更好地评估其网络安全能力。C2M2 评估帮助组织优先考虑和改进网络安全活动。这是一种全面且可靠的方法，所有能源行业的公司都可以使用它来改善其网络安全态势。CESER 还发布了适用于石油和天然气子行业以及整个行业的 C2M2 版本。

认识到美国的国家和经济安全取决于关键基础设施的可靠运行，总统根据行政命令 (EO) 13636“改善关键基础设施网络安全”指示美国国家标准与技术研究院 (NIST) 与利益相关者合作制定一个自愿框架，以减少关键基础设施的网络风险。2015 年，CESER 发布了指南，帮助能源部门建立或调整现有的网络安全风险管理计划，以满足 NIST 于 2014 年 2 月发布的网络安全框架的目标。能源部门网络安全框架实施指南详细讨论了 C2M2 如何映射到自愿框架。 

网络安全风险管理流程 (RMP)

网络安全风险是整体业务风险环境的组成部分之一，并纳入组织的企业风险管理战略和计划。与所有风险一样，网络安全风险无法完全消除，而必须通过知情的决策过程进行管理。

电力部门网络安全风险管理流程 (RMP) 指南由能源部 (DOE) 与美国国家标准与技术研究院 (NIST) 和北美电力可靠性公司 (NERC) 合作制定。RMP 建立在这样的前提下，即管理网络安全风险对于组织成功实现其业务目标和目的至关重要，特别是可靠的发电和输送电力。RMP 的实施将促进整个组织做出更明智的决策，从而实现更有效的资源分配、运营效率以及减轻和快速响应网络安全风险的能力。

往期推荐

>>>等级保护<<<

1. 开启等级保护之路：GB 17859网络安全等级保护上位标准
2. 网络安全等级保护：等级保护测评过程及各方责任
3. 网络安全等级保护：政务计算机终端核心配置规范思维导图
4. 网络安全等级保护：什么是等级保护？
   
5. 网络安全等级保护：信息技术服务过程一般要求
6. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
7. 闲话等级保护：什么是网络安全等级保护工作的内涵？
8. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
   
9. 闲话等级保护：测评师能力要求思维导图
   
10. 闲话等级保护：应急响应计划规范思维导图
    
11. 闲话等级保护：浅谈应急响应与保障
    
12. 闲话等级保护：如何做好网络总体安全规划
    
13. 闲话等级保护：如何做好网络安全设计与实施
    
14. 闲话等级保护：要做好网络安全运行与维护
    
15. 闲话等级保护：人员离岗管理的参考实践
16. 信息安全服务与信息系统生命周期的对应关系
17. >>>工控安全<<<
18. 工业控制系统安全：信息安全防护指南
19. 工业控制系统安全：工控系统信息安全分级规范思维导图
20. 工业控制系统安全：DCS防护要求思维导图
21. 工业控制系统安全：DCS管理要求思维导图
22. 工业控制系统安全：DCS评估指南思维导图
23. 工业控制安全：工业控制系统风险评估实施指南思维导图
24. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
25. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
26. >>>数据安全<<<

27. 数据安全风险评估清单

28. 成功执行数据安全风险评估的3个步骤

29. 美国关键信息基础设施数据泄露的成本

30. VMware 发布9.8分高危漏洞补丁

31. 备份：网络和数据安全的最后一道防线

32. 数据安全：数据安全能力成熟度模型

33. 数据安全知识：什么是数据保护以及数据保护为何重要？

34. 信息安全技术：健康医疗数据安全指南思维导图

35. >>>供应链安全<<<

36. 美国政府为客户发布软件供应链安全指南
    

37. OpenSSF 采用微软内置的供应链安全框架
    

38. 供应链安全指南：了解组织为何应关注供应链网络安全
    

39. 供应链安全指南：确定组织中的关键参与者和评估风险
    

40. 供应链安全指南：了解关心的内容并确定其优先级

41. 供应链安全指南：为方法创建关键组件

42. 供应链安全指南：将方法整合到现有供应商合同中

43. 供应链安全指南：将方法应用于新的供应商关系

44. 供应链安全指南：建立基础，持续改进。
45. 思维导图：ICT供应链安全风险管理指南思维导图
46. >>>其他<<<
47. 美国网络安全框架：CSF五个功能
48. 一起看看英国NCSC漏洞指南
49. 网络安全知识：什么是社会工程学
50. 缓解内部威胁：了解并保护关键资产
51. 缓解内部威胁：制定正式的内部风险管理计划
52. 缓解内部威胁：明确记录并持续执行控制措施

我就知道你“在看”

原文始发于微信公众号（祺印说信安）：美国能源部门的网络安全准备