这算是美国美国能源部门几年前的一些内容，现在看来其实还是有一定参考价值的。

能源部门的网络安全准备是 CESER 网络安全计划支持活动的三个关键领域之一。准备活动涉及态势感知和信息共享以及风险分析。

阅读原文移步知识星球

态势感知和信息共享

CESER 与能源部门所有者和运营商密切合作，通过培养行业评估能力、开发运营威胁分析工具以及与情报界合作更好地共享可操作的威胁和情报信息，更好地检测风险并更快地缓解风险。CESER 与政府和私营部门合作伙伴合作开发技术、工具、演习和其他资源，以协助能源部门评估和改进其安全态势、实践和准备情况。

由于高度动态的技术和威胁环境，有效的网络安全实践需要对威胁进行持续和全面的评估，识别系统漏洞，加强和共享公认的安全实践，以及分析网络事件对能源基础设施的影响。能源部门和政府之间及时双向共享网络威胁信息有助于确定威胁的严重程度、范围和性质，并快速制定所需的缓解措施。 

双向网络风险信息共享

网络安全风险信息共享计划

网络安全风险信息共享计划( CRISP)是一个公私合作伙伴关系，由美国能源部和行业共同出资，由电力信息共享和分析中心 (E-ISAC) 管理。CRISP 的目的是与能源部门合作伙伴合作，促进非机密和机密威胁信息的及时双向共享，并开发态势感知工具，以增强该部门识别、优先排序和协调保护关键基础设施和关键设施的能力。资源。CRISP 利用 DOE 开发的先进传感器和威胁分析技术以及 DOE 作为国家情报界一部分的专业知识，更好地向能源部门通报高级网络风险。目前的 CRISP 参与者为超过 75% 的美国大陆电力行业客户提供电力。

风险分析工具、实践和指南

网络安全能力成熟度模型（C2M2）

作为联邦政府提高电力分部门网络安全能力努力的一部分，CESER 和行业合作伙伴开发了电力分部门网络安全能力成熟度模型 (C2M2)，以帮助私营部门所有者和运营商更好地评估其网络安全能力。C2M2 评估帮助组织优先考虑和改进网络安全活动。这是一种全面且可靠的方法，所有能源行业的公司都可以使用它来改善其网络安全态势。CESER 还发布了适用于石油和天然气子行业以及整个行业的 C2M2 版本。

认识到美国的国家和经济安全取决于关键基础设施的可靠运行，总统根据行政命令 (EO) 13636“改善关键基础设施网络安全”指示美国国家标准与技术研究院 (NIST) 与利益相关者合作制定一个自愿框架，以减少关键基础设施的网络风险。2015 年，CESER 发布了指南，帮助能源部门建立或调整现有的网络安全风险管理计划，以满足 NIST 于 2014 年 2 月发布的网络安全框架的目标。能源部门网络安全框架实施指南详细讨论了 C2M2 如何映射到自愿框架。 

网络安全风险管理流程 (RMP)

网络安全风险是整体业务风险环境的组成部分之一，并纳入组织的企业风险管理战略和计划。与所有风险一样，网络安全风险无法完全消除，而必须通过知情的决策过程进行管理。

电力部门网络安全风险管理流程 (RMP) 指南由能源部 (DOE) 与美国国家标准与技术研究院 (NIST) 和北美电力可靠性公司 (NERC) 合作制定。RMP 建立在这样的前提下，即管理网络安全风险对于组织成功实现其业务目标和目的至关重要，特别是可靠的发电和输送电力。RMP 的实施将促进整个组织做出更明智的决策，从而实现更有效的资源分配、运营效率以及减轻和快速响应网络安全风险的能力。

我就知道你“在看”

原文始发于微信公众号（祺印说信安）：美国能源部门的网络安全准备