2022年9月,美国网络安全和基础设施安全局(CISA)发布了《2023年至2025年战略规划》(2023-2025 Strategic Plan)。该规划与美国国土安全部2020-2024财年战略规划保持一致,是CISA自2018年成立以来发布的首个综合性战略规划,为未来3年美国网络和基础设施安全工作指明了方向。
CISA此次战略规划中确定了网络防御、减少风险和增强恢复能力、业务协作、统一机构4个网络安全目标,共有19个子目标;分别聚焦降低风险、增加韧性,以及确保CISA实施该战略规划的组织地位。本文对其战略目标及其具体措施、代表成果和评估方法进行介绍,仅供参考。
01
目标1:网络防御
美国网络安全和基础设施安全局(CISA)是美国的网络防御机构,负责抵御针对美国关键基础设施、联邦和地方政府(SLTT)、私营企业、美国人民的网络攻击者。CISA的职责就是与其他单位协作应对针对美国的网络威胁,既包括威胁刚出现时的应对,也包括网络事件发生后的处理。
子目标1.1:增强联邦系统抵抗网络攻击和网络安全事件的能力
举措:CISA将帮助联邦机构作出必要变化以增强美国网络防御能力。通过采用现代的、安全的、韧性的技术,改善事件应急响应能力,减少联邦政府供应链风险,增加网络威胁的可见性;通过提供可扩展的、创新的服务和能力来构建高效安全的项目。
代表性成果:联邦民事行政部门(FCEB)能够快速从网络攻击和网络事件中恢复;FCEB在网络攻击和网络事件发生时和发生后仍然可以完成其使命。
评估方法:CISA将评估联邦机构是否遵循CISA网络防御指南、标准和命令来增强网络安全防御能力及实施效果。
子目标1.2:增强CISA主动监测攻击美国关键基础设施和关键网络的能力
子目标1.3:重要网络安全漏洞公开和修复
举措:CISA将与公私实体、网络安全研究机构紧密协作,鼓励其识别和报告已发现的漏洞。CISA也将及时公布漏洞,提供修复建议,并采取适当的修复措施。此外,CISA将与网络安全社区协作以实现国土安全部网络安全审查委员会(Cyber Safety Review Board,CSRB)和其他机构提出的建议,并评估国家网络安全情况。
代表性成果:关键基础设施所有者或运营者增强网络安全漏洞透明性的洞察力,并在漏洞被利用前就已采取修复措施。
评估方法: CISA将评估CISA网络安全漏洞评估和修复服务的使用和有效性,以增强漏洞的识别和修复能力,减少敌手利用关键基础设施漏洞的窗口期。
-
国家关键功能(National Critical Functions,NCF)中使用的技术产品必须在设计上是安全和具有韧性的
-
国家的网络和系统必须更多地采用安全设计
评估方法:CISA将评估技术产品和服务中安全开发实践和控制的使用及其效果。
02
目标2:减少风险和增强恢复能力
子目标2.1:扩大基础设施、系统和网络的风险可见性
代表性成果:
-
CISA建设成为关键基础设施的中心数据库和国家权威机构 -
CISA可识别出关键基础设施的潜在新兴系统风险
评估方法:CISA将评估风险可见性和关键基础设施安全性是否增强。
子目标2.2:增强CISA的风险分析能力
举措:使CISA风险分析能力和方法更加成熟,以推动风险的深层次理解;确保关键基础设施信息识别融入到分析方法中,以生成可指导机构决策的分析结果。
-
CISA已修改现有风险分析能力和方法
-
CISA的行动由综合的“风险威胁图谱”指导
评估方法:CISA将评估NCF风险分析的成熟度,以及分析数据的跨机构可访问能力。
子目标2.3:增强CISA的安全和风险应对指导
举措:为加强对关键基础设施的保护,CISA将为利益相关者提供安全和风险修复指导和帮助,如:为解决关键基础设施安全威胁等提供专家渠道与缓解措施、发布IT网络风险管理的权威指南、发布标准和建议以指导安全决策,以及在必要时提供定向专业支持与评估。
-
利益相关方已采用CISA关键基础设施安全指南、标准、风险管理专业知识 -
高风险的化学设备基础设施满足基于风险的性能标准
评估方法:CISA将评估利益相关方采用CISA的应急通信、网络安全指南情况及其有效性。
子目标2.4:增强相关利益者基础设施和网络的安全和韧性的能力
代表性成果:
-
CISA构建产品和服务以满足日益增长的需求的能力
-
利益相关者认可CISA产品和服务满足其需求的影响力、及时性和实用性
子目标2.5:增强CISA响应威胁和应急处理的能力
代表性成果:
-
CISA支持其他利益相关者快速响应、应对威胁和处理网络安全事件能力 -
CISA可确保关键基础设施的持续性和韧性
子目标2.6:支持选举基础设施的风险管理活动
代表性成果:
-
根据对选举基础设施风险的理解来不断改善CISA的服务、产品和指导,以对利益相关者需求进行响应 -
将从风险和漏洞趋势中了解到的知识应用到选举基础设施中
03
目标3:业务协作
子目标3.1:优化合作活动的规划与实现方式
代表性成果:
-
CISA活动的参与、合作和协调已经具备明确的指向性与目的性,并形成了合作的优先级 -
CISA的利益相关者关系已有更新与增强
子目标3.2:将区域办公室融入CISA的运行协调中
举措:CISA区域办公室对于加强CISA产品和服务的访问、构建合作关系、减少风险和增强韧性方面非常重要。CISA将加强总部与分部的融合,在全国范围内提供CISA服务。为优化CISA项目、产品和服务的交付,CISA将加强现有国家级合作管理框架与区域之间的关系。此外,CISA还将创建内部业务管理论坛、机制,使得全国范围内的利益相关者的都能参与规划与协调,并实现多方受益。
代表性成果:
-
CISA总部与区域分部共享相同的业务流程 -
CISA和其分部能够解决更多的本地和区域利益相关者的问题
子目标3.3:CISA资源访问和使用的流程化
举措:为充分利用CISA的项目、产品和服务,CISA将为利益相关者提供更加高效的资源访问,比如根据具体要求和环境提供对应的产品信息、资源访问和交付;并进一步将提供的项目、产品和服务市场化,以扩大服务的核心利益相关者的范围。
代表性成果:
-
利益相关者可以快速找到并访问相关的、合适的CISA产品和服务 -
CISA主动向利益相关者告知相关的、合适的产品和服务
子目标3.4:增强与CISA合作方的信息共享
代表性成果:
-
利益相关者能够及时访问相关的、准确的信息以做出决策 -
CISA的数据处理和信息共享能够保护隐私、人权和自由等权利
子目标3.5:将相关利益者观点融合到CISA产品研发和使命完成中
代表性成果:
-
利益相关者有机会向CISA反馈其需求、利益和优先事项 -
CISA适当融入利益相关者的反馈以改善产品和服务的开发和交付
04
目标4:统一机构
子目标4.1:优化CISA的过程和决策管理
代表性成果:
-
CISA将领导愿景转化为优先行动 -
CISA有策略和透明地进行资源分配,以支持CISA内部的高效运行
子目标4.2:优化CISA业务流程
代表性成果:
-
CISA高级领导和运营人员具有持续的、及时的态势感知 -
CISA在整个机构内融合了系统、进程、数据和架构
评估方法:CISA将评估如何在整个机构内有效增强内部系统、过程和架构的多方支持。
子目标4.3:培养和加强CISA的高级人才队伍
代表性成果:
-
CISA雇佣、培训和留住有技能、多样化、高效能的人才队伍 -
CISA为雇员识别、促进和提供有意义的职业生涯
子目标4.4:宣扬CISA优秀文化
举措:利用CISA的优秀文化,CISA将成为网络安全领域的领导者,也成为联邦政府内工作的首选。
-
CISA在美国网络防御和关键基础设施保护的角色和作用得到认可
-
CISA使命的文化基础得到认可、实践和加强,包括健康、心理安全、创新、责任感和热情等
评估方法:CISA将评估CISA人才队伍的心理健康、多样性、压力,这对创新和积极的文化是非常重要的。
05
评述
免责声明:本文转自学术plus,原作者TAO。文章内容系原作者个人观点,本公众号转载仅为分享、传达不同观点,如有任何异议,欢迎联系我们!
推荐阅读
转自丨学术plus
作者丨TAO
编辑丨郑实
研究所简介
国际技术经济研究所(IITE)成立于1985年11月,是隶属于国务院发展研究中心的非营利性研究机构,主要职能是研究我国经济、科技社会发展中的重大政策性、战略性、前瞻性问题,跟踪和分析世界科技、经济发展态势,为中央和有关部委提供决策咨询服务。“全球技术地图”为国际技术经济研究所官方微信账号,致力于向公众传递前沿技术资讯和科技创新洞见。
地址:北京市海淀区小南庄20号楼A座
电话:010-82635522
微信:iite_er
原文始发于微信公众号(全球技术地图):美官方发布首个综合网络安全战略规划!CISA《网络安全战略规划2023-2025》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论