美国CISA发布《网络安全战略规划2023-2025》

‍

2022年9月，美国网络安全和基础设施安全局（CISA）发布了《2023年至2025年战略规划》（2023-2025 Strategic Plan）。该规划与美国国土安全部2020-2024财年战略规划保持一致，是CISA自2018年成立以来发布的首个综合性战略规划，为未来3年美国网络和基础设施安全工作指明了方向。

CISA此次战略规划中确定了网络防御、减少风险和增强恢复能力、业务协作、统一机构4个网络安全目标，共有19个子目标；分别聚焦降低风险、增加韧性，以及确保CISA实施该战略规划的组织地位。本文对其战略目标及其具体措施、代表成果和评估方法进行介绍，仅供参考。

CISA发布网络安全战略规划（2023-2025）

PART

01

目标1：网络防御

美国网络安全和基础设施安全局（CISA）是美国的网络防御机构，负责抵御针对美国关键基础设施、联邦和地方政府（SLTT）、私营企业、美国人民的网络攻击者。CISA的职责就是与其他单位协作应对针对美国的网络威胁，既包括威胁刚出现时的应对，也包括网络事件发生后的处理。

• 子目标1.1：增强联邦系统抵抗网络攻击和网络安全事件的能力
• 子目标1.2：增强CISA主动检测攻击美国关键基础设施和关键网络的能力
• 子目标1.3：重要网络安全漏洞公开和修复
• 子目标1.4：通过默认安全（security-by-default）推动网络空间生态

PART

02

目标2：减少风险和增强恢复能力

• 子目标2.1：扩大基础设施、系统和网络的风险可见性
• 子目标2.1：扩大增强CISA的风险分析能力
• 子目标2.3：增强CISA的安全和风险应对指导
• 子目标2.4：增强相关利益者基础设施和网络的安全和韧性的能力
• 子目标2.5：增强CISA响应威胁和应急处理的能力
• 子目标2.6：支持选举基础设施的风险管理活动

PART

03

目标3：业务协作

• 子目标3.1：优化合作活动的规划与实现方式
• 子目标3.1：将区域办公室融入CISA的运行协调中
• 子目标3.3：CISA资源访问和使用的流程化
• 子目标3.4：增强与CISA合作方的信息共享
• 子目标3.5：将相关利益者观点融合到CISA产品和使命完成中

PART

04

目标4：统一机构

• 子目标4.1：优化CISA的过程和决策管理
  
• 子标4.4：优化CISA业务流程
• 子目标4.3：培养和加强CISA的高级人才队伍
  
• 子目标4.4：宣扬CISA优秀文化

PART

05

 评述

近年来，美国关键基础设施遭遇多次重大网络安全事件。拜登政府高度重视关键基础设施网络安全工作。2021年5月，拜登签署关于增强国家网络安全的行政命令，其中提出要加强基础设施的安全可信。CISA发布的《2023年至2025年战略规划》是CISA自2018年成立以来发布的首个综合性战略规划，为未来3年美国网络和基础设施安全工作指明了方向。规划中提出了分别聚焦网络防御、网络攻防、业务协作和机构统一4个目标，同时提出了具体举措，以确保CISA战略规划能够顺利实施。

参考链接：

https://www.cisa.gov/sites/default/files/publications/StrategicPlan_20220912-V2_508c.pdf

https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

‍

原文始发于微信公众号（山石网科安全技术研究院）：美国CISA发布《网络安全战略规划2023-2025》