美国发布《关于关键基础设施安全和弹性的国家安全备忘录》,持续强化联邦政府关键基础设施安全统筹能力
2024-5-17 17:16:16 Author: blog.nsfocus.net(查看原文) 阅读量:15 收藏

阅读: 123

2024年4月30日,美国白宫发布《关于关键基础设施安全和弹性的国家安全备忘录》(National Security Memorandum on Critical Infrastructure Security and Resilience,以下简称《备忘录》),旨在进一步提升美国关键基础设施的安全保护水平。本文将从美国关键基础设施网络安全政策的演变脉络、《备忘录》内容及战略特点等方面加以简析。

一、政策脉络分析

关键基础设施安全是历届美国政府的重点关切之一。美国关键基础设施安全防护的制度体系经历了不断完善的过程,政策上呈现较强的连续性。

奥巴马政府时期,初步明确关键基础设施范围。白宫2013年发布第13636号行政令《关于改善关键基础设施网络安全的行政令》及第21号总统令《关键基础设施安全和韧性》,初步划定了关键基础设施保护范围,明确国土安全部(DHS)在关键基础设施保护工作方面的战略指导地位。

特朗普政府时期,强化关键基础设施风险管理。白宫发布第13800号行政令《关于加强联邦网络和关键基础设施的网络安全的行政令》,全面增强网络安全风险管理,关注国防工业设施网络安全风险。

拜登政府时期,全面提升关键基础设施安全的战略地位。白宫发布《关于改善关键基础设施控制系统网络安全的国家安全备忘录》,积极开展国家层面关键基础设施安全目标和重点方向的部署,并在《国家网络安全战略》《国家网络安全战略实施计划》中,将关键基础设施列为“五大支柱”之首,保护关键基础设施成为其网络安全治理的重中之重。

二、内容要点梳理

《备忘录》将取代2013年第21号总统令《关键基础设施安全和韧性》,重点对关键基础设施保护的政府职责体系、风险管理、情报共享等作出了细化和明确。其主要内容包括以下五个方面。

一是明确了关键基础设施安全的“1+8”目标体系。《备忘录》阐明了美国为关键基础设施以保护的总目标是“加强关键基础设施的安全性和弹性(security and resilience)”,并将这一总体目标分解为8项细分目标。分别是:完善和明确联邦政府的角色和责任;根据风险确定关键基础设施保护的优先级;建立最低保护要求和问责机制;多措并举推进所有者和运营者达成或超出最低保护要求;加强关键基础设施威胁情报收集和分析;促进不同主体间情报和信息共享;加强对技术和解决方案的高效益投资;加强态势感知领域的国际合作。

二是完善关键基础设施管理机制和部门职责。明确国土安全部(DHS)的总体统筹职责,并指定其下属的网络安全和基础设施安全局(CISA)局长为“关键基础设施安全和弹性国家协调员”。对16个关键基础设施行业各明确对应的部门风险管理机构(SRMA)(详见表1),作为日常工作的接口,负责本部门内部的风险管理并加强与其他部门、运营机构间的跨部门协同等职责。还明确了国防、司法、能源、情报等部门在保护关键基础设施工作中的具体职责分工和协同机制。

三是明确关键基础设施风险点和最低安全要求。将资产风险、全国性重大风险、行业风险、跨部门风险作为重点防控的4类主要风险类型。明确要求分部门、分行业制定最低安全规则,包括指南、绩效目标和要求等;还明确了在最低安全要求贯彻落实中,政府将与私营部门等主体间的运营协作机制。

四是部署实施“国家基础设施风险管理计划”(National Infrastructure Risk Management Plan)。要求国土安全部部长应组织制定并向总统提交每2年一次的国家基础设施风险管理报告,重点对各部门内部、以及跨部门关键基础设施风险工作进行总结和部署安排。国家计划应优先考虑跨部门风险评估,重点关注关键基础设施面临的新威胁和新威胁,并应确定相应的创新应对方法。还要求在SRMA或“关键基础设施安全和弹性国家协调员”的领导下,开展相关风险评估和最低安全要求等试点工作。

五是明确威胁情报共享和信息交流机制。明确了由国家情报总监(DNI)牵头,会同国土安全部及相关部门联合推进的工作机制。还要求国家情报总监与国土安全部和司法部协同建设威胁情报及时共享程序,实现对相关部门间的及时的信息共享,包括联邦调查局、中央情报局和相关的SRMA等。

表1:关键基础设施部门及部门风险管理机构

序号 行业 部门风险管理机构(SRMA)
1 化工 国土安全部
2 商业设施 国土安全部
3 通信 国土安全部
4 关键制造业 国土安全部
5 水坝 国土安全部
6 国防工业设施 国防部
7 应急服务 国土安全部
8 能源 能源部
9 金融服务 财政部
10 农业食品 农业农村部和卫生与公众服务部
11 政府服务和设施 国土安全部和总务管理局
12 医疗保健和公共卫生 卫生与公众服务部
13 信息技术 国土安全部
14 核反应堆、材料和废物 国土安全部
15 交通运输 国土安全部和交通运输部
16 供水和废水处理 环境保护署

(来源:绿盟科技根据《备忘录》整理)

三、战略特点思考

《备忘录》对美国关键基础设施安全保护要求进行了系统梳理,或能从侧面反映出未来一段时间,美国在加强关键基础设施保护方面的三个战略意图。

一是,加强工作统筹。通过设置SRMA等协调机制,全面强化联邦政府对关键基础设施安全保护工作的统筹性和体系性,并重点加强在威胁情报共享、安全风险评估等关键工作环节上的协调,务求提高关键基础设施保护的工作成效。

二是,注重工作落实。通过明确任务时间节点等方式,加强对关键基础设施保护重点工作的识别认定,并综合运用激励和督促手段,力求保障各相关重点工作任务和职责的贯彻落实。(详见表2)

三是,分类分级的灵活推进模式。《备忘录》还通过设置自愿性和强制性要求等方式,对相关政策的执行给予一定的灵活裁量空间,以寻求关键基础设施安全保护和执行主体差异性之间的平衡。

表2:关键基础设施保护重点任务时间进度

时间要求 责任部门 重点任务
30天内 部门风险管理机构 指定一名日常协调员
45天内 国土安全部 提供国家级优先事项以及SRMA在制定特定部门风险评估和特定部门风险管理计划时使用的格式。
180天内 部门风险管理机构 制订计划,包括潜在的托管选项,对当前结构的评估等。
180天内 国家情报总监、国土安全部、部门风险管理机构 制定政策、程序和指南

l 完成指导文件后180天内,建立或指定现有的IC办公室或部门等

180天内

(每年6月30日前)

国家情报总监、国防部(负责情报和安全)、联邦调查局、国土安全部(负责情报和分析)、部门风险管理机构 向白宫提交《关于美国关键基础设施威胁的情报评估报告》

l 在情报评估发布后90天内:向总统提交机密版本

l 在发布后180天内:向地方、私营部门共享非机密版本

270天内 部门风险管理机构 向国土部提交特定部门的两年期风险管理计划
270天内 部门风险管理机构 鼓励业主和运营商实施确定的特定部门或跨部门的最低安全和弹性要求。

国家协调员和SRMA应向管理和预算办公室提供提案权力,以实现关键基础设施的最低安全和弹性要求。

1年内 国土安全部 审查现有关键基础设施合作伙伴咨询委员会框架
1年内 国家情报总监 制定《关于威胁通知的实施指南》
1年内 国土安全部(CISA) 设立或指定国家协调员办公室,作为整个联邦政府SRMA的单一协调点
1年内

(每年6月30日前)

国土安全部 向白宫提交两年期国家计划
1年内

(每年6月30日前)

国家情报总监 向白宫提交一份《关于针对美国关键基础设施受到威胁的情报收集的报告》
18个月内

(每年6月30日前)

国家情报总监 向白宫提交一份《关于与业主共享美国关键基础设施威胁的情报和信息的报告》

(来源:绿盟科技根据《备忘录》整理)

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。

上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: https://blog.nsfocus.net/national-security-memorandum-on-critical-infrastructure-security-and-resilience/
如有侵权请联系:admin#unsafe.sh