本届政府的政策是，网络事件的预防、检测、评估和补救是国家和经济安全的首要任务和必要条件。联邦政府必须以身作则。所有联邦信息系统均应符合或超过本命令中规定并依据本命令发布的网络安全标准和要求。

2、消除共享威胁信息的障碍

(A)联邦政府与信息技术(IT)及机械技术(OT)服务供应商签订合约，负责联邦资讯系统的一系列日常工作。这些服务提供商，包括云服务提供商，有独特的访问权和洞察联邦信息系统的网络威胁和事件信息。与此同时，现有合同条款或限制可能会限制与负责调查或整治网络事件的执行部门和联邦调查局(FBI)、情报界(IC)的其他组成部分(如网络安全与基础设施安全局(CISA))共享这些威胁或事件信息。消除这些合同障碍并加强有关此类威胁、事件和风险的信息共享是加快事件威慑、预防和响应工作的必要步骤，也是更有效地防御机构系统以及由联邦政府收集、处理和维护的信息的必要步骤。

(B)在本命令生效之日起60天内，行政管理和预算办公室(OMB)主任在与国防部长、司法部长、国土安全部长和国家情报总监协商后，应审查联邦采购法规(FAR)和国防联邦采购法规补充合同要求和与IT和OT服务提供商的合同内容，并向联邦采购法规(FAR)委员会和其他适当机构建议更新这些要求和内容。建议应包括拟议合同内容所涵盖的承包商的描述。

(C)本节第(b)款中所述的推荐合同内容和要求的设计应确保:

(i)服务提供商根据机构的要求，收集并保存其控制的所有信息系统(包括代表机构运行的系统)中与网络安全事件预防、检测、响应和调查相关的数据、信息和报告;

(ii)服务提供商与网络事件或与其签约的任何机构相关的潜在事件相关的数据、信息和报告，直接与该机构或行政管理和预算办公室(OMB)主任与国防部长、司法部长协商后的任何其他机构共享，国土安全部部长和国家情报总监认为符合适用的隐私法律、法规和政策的;

(iii)服务提供商与联邦网络安全或调查机构合作，对联邦信息系统的事件或潜在事件进行调查并作出反应，包括在需要时通过实施技术能力，如与它们支持的机构合作监测网络的威胁;和

(iv)服务提供商与机构共享网络威胁和事件信息，在可能的情况下，以行业公认的事件响应和补救格式进行共享。

(D)在收到本节(b)款所述的建议后90天内，联邦采购法规(FAR)委员会应审查拟议的合同内容和条件，并酌情公布FAR的拟议更新，以征求公众意见。

(E)在此命令发布之日起的120天内,国土安全部,行政管理和预算办公室应当采取适当措施,最大限度地确保服务提供商与各机构、基础设施安全局(CISA)和联邦调查局（FBI）共享数据，以满足联邦政府应对网络威胁、事件和风险的需要。

(F)联邦政府的政策是:

(i)信息和通讯技术(ICT)服务提供者进入合同机构等机构必须及时报告当他们发现一个网络事件涉及软件产品或服务提供给这些机构或涉及支持系统等软件产品或服务提供给机构;

(ii) ICT服务提供商在根据本节第(f)(i)款向联邦文职行政部门(FCEB)机构报告时，也必须直接向基础设施安全局(CISA)报告，基础设施安全局(CISA)必须集中收集和管理此类信息;

(iii)本命令第10(h)条中定义的有关国家安全系统的报告，必须由根据本节第(g)(i)(E)条确定的适当机构接收和管理。

(G)执行本节(f)款规定的政策:

(i)在本命令生效之日起的45天内，国土安全部长应通过国家安全局(NSA)局长、司法部长和行政管理和预算办公室(OMB)主任与国防部长协商，向联邦采购法规(FAR)委员会建议以下合同内容:

(A)需要报告的网络事件的性质;

(B)需要报告以促进有效应对和补救网络事件的网络事件信息类型;

(C)对隐私和公民自由的适当和有效保护;

(D)承包商必须根据严重程度分级报告网络事件的时间期限，最严重的网络事件的报告时间不得超过初步发现后的3天;

(E)国家安全系统报告要求;

(F)拟议合约内容涵盖的承包商及有关服务提供者的类别。

(ii)在收到本节(g)(i)款所述的建议后90天内，联邦采购法规(FAR)委员会应审查该建议，并公布联邦采购法规(FAR)的拟议更新，以征求公众意见。

(iii)在本命令生效之日起的90天内,国防部长代理通过国家安全局的主任,首席检察官,国土安全部部长和国家情报总监应当共同开发的程序来确保网络事件报告及时和适当的机构间共享。

(H)当前非保密系统合同的网络安全要求主要通过机构特定的政策和法规实现，包括云服务网络安全要求。对跨机构的通用网络安全合同要求进行标准化将简化供应商和联邦政府的合规工作，并提高其合规程度。

(I)在本命令生效之日起60天内，国土安全部部长通过基础设施安全局(CISA)局长与国防部长通过国家安全局(NSA)局长、行政管理和预算办公室(OMB)主任和总务局长协商后，应审查当前作为法律、政策或合同事项存在的机构特定的网络安全要求，并向联邦采购法规(FAR)委员会建议适用的网络安全要求的标准化合同内容。这些建议应包括考虑拟议合同内容涵盖的承包商和相关服务提供商的范围。

(J)在收到根据本节第(i)款制定的推荐合同内容后60天内，联邦采购法规(FAR)委员会应审查推荐合同内容，并发布FAR的拟议更新，以征求公众意见。

(K)在本节第(j)款所述的公众意见征询期之后，在联邦采购法规(FAR)委员会对联邦采购法规(FAR)作出任何更新后，各机构应更新其机构特定的网络安全要求，以删除与该联邦采购法规(FAR)更新相同的任何要求。

(l)行政管理和预算办公室(OMB)主任应在年度预算程序中列入对本款下拟订的所有建议的费用分析。

3、现代化的联邦政府网络安全

(A)为适应当今动态和日益复杂的网络威胁环境，联邦政府必须采取果断措施，使其网络安全方法现代化，包括提高联邦政府对威胁的可视性，同时保护隐私和公民自由。联邦政府必须采取最佳的安全措施;迈向零信任架构;加快安全云服务的发展，包括软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS);集中和简化网络安全数据的访问，以推动识别和管理网络安全风险的分析;并在技术和人员上进行投资，以实现这些现代化目标。

(B)在本命令发出之日起60天内，每个机构的首长应:

(i)更新现有机构计划，按照管理预算和预算办公室相关指南的规定，为采用和使用云技术安排优先资源;

(ii)制定实施零信任架构的计划，该计划应酌情纳入商务部内的国家标准和技术研究所(NIST)在标准和指南中概述的迁移步骤，描述已经完成的任何此类步骤，确定将对安全产生最直接影响的活动，并包括实施这些活动的时间表;

(iii)向行政管理和预算办公室(OMB)主任、总统助理和国家安全顾问(APNSA)提交一份报告，讨论本节第(b)(i)和(ii)款要求的计划。

(C)各机构继续使用云技术时，应以协调、慎重的方式进行，使联邦政府能够预防、检测、评估和补救网络事件。为了促进这种方式，向云技术的迁移应尽可能采用零信任架构。基础设施安全局(CISA)应对其现有的网络安全项目、服务和能力进行现代化改造，使其在零信任架构的云计算环境中全面运行。国土安全部部长通过基础设施安全局(CISA)局长，与总务管理局下属的联邦风险和授权管理计划(FedRAMP)的总务管理局局长协商，应制定管理云服务提供商(csp)的安全原则，并将其纳入代理机构的现代化工作。为促进这项工作:

(i)在本命令生效之日起90天内，行政管理和预算办公室(OMB)主任通过基础设施安全局(CISA)局长与国土安全部部长协商，通过FedRAMP与总务局长协商，应制定联邦云安全战略，并为相关机构提供相应的指导。该指导应寻求确保联邦文职行政部门(FCEB)广泛了解并有效应对使用云服务给联邦文职行政部门(FCEB)带来的风险，并确保联邦文职行政部门(FCEB)机构向零信任架构靠拢。

(ii)在本命令生效之日起90天内，国土安全部部长通过基础设施安全局(CISA)局长，与行政管理和预算办公室(OMB)主任和总务局长通过联邦风险和授权管理计划(FedRAMP)协商，应为联邦文职行政部门(FCEB)制定并发布:云安全技术参考架构文档，说明了用于机构数据收集和报告的云迁移和数据保护的推荐方法。

(iii)在本命令发出之日起60天内，国土安全部部长应通过基础设施安全局(CISA)局长为联邦文职行政部门(FCEB)制定并发布云服务治理框架。该框架应根据事件严重程度确定各机构可获得的一系列服务和保护。该框架还应确定与这些服务和保护有关的数据和处理活动。

(iv)在本命令生效之日起90天内，联邦文职行政部门(FCEB)负责人应通过基础设施安全局(CISA)局长与国土安全部部长协商，评估各自机构的非机密数据的类型和敏感性，并应通过基础设施安全局(CISA)局长向国土安全部部长和行政管理和预算办公室(OMB)主任提供基于该评估的报告。评估应优先识别该机构认为最敏感和面临最大威胁的非机密数据，并对这些数据进行适当的处理和存储解决方案。

(D)在本命令发出之日起180天内，各机构应在最大程度上符合联邦记录法和其他适用法律的前提下，对静止和传输中的数据采用多因素认证和加密。为实现这一目标:

(i)联邦文职行政机构(FCEB)负责人应通过基础设施安全局(CISA)局长、行政管理和预算办公室(OMB)主任和总统助理和国家安全顾问(APNSA)，向国土安全部部长提交各自机构在对静止和传输数据采用多因素认证和加密方面的进展报告。该等机构应在本命令日期后每60天提供此类报告，直至该机构完全采用了全机构的多因素认证和数据加密。

(ii)根据已确定的机构实施差距，基础设施安全局(CISA)应采取一切适当步骤，最大限度地让联邦文职行政机构(FCEB)采用技术和流程，对静止和传输中的数据进行多因素认证和加密。

(iii)无法在此命令发布之日起180天内完全采用多因素身份验证和数据加密的让联邦文职行政机构(FCEB)负责人，应在180天期限结束时,通过基础设施安全局(CISA)局长、行政管理和预算办公室(OMB)主任和总统助理和国家安全顾问(APNSA)向国土安全部部长提供书面理由。

(E)在本命令生效之日起90天内，国土安全部部长通过CISA局长，与司法部长、联邦调查局局长和总务管理局局长通过联邦风险和授权管理计划(FedRAMP)协商，应建立与联邦文职行政机构云技术相关的网络安全和事件响应活动协作框架，以确保机构之间以及机构与云服务提供商(csp)之间有效的信息共享。

(F)本命令发出之日起60天内，总务署署长应同行政管理和预算办公室(OMB)主任和总务管理局局长认为适当的其他机构首长协商，通过以下方式开始使联邦应急方案现代化:

(i)制订培训方案，确保各机构得到有效的培训和装备，以管理联邦风险和授权管理计划(FedRAMP)要求，并提供培训材料，包括按需录像;

(ii)通过授权的每个阶段的消息自动化和标准化，改善与云服务提供商(csp)的通信。这些沟通可能包括状态更新，完成供应商当前阶段的要求，下一步，以及问题的联系点;

(iii)在整个联邦风险和授权管理计划(FedRAMP)生命周期中纳入自动化，包括评估、授权、持续监测和遵从;

(iv)数字化和精简供应商必须完成的文件，包括通过在线访问和预先填写的表格;

(v)识别相关的遵从性框架，将这些框架映射到联邦风险和授权管理计划(FedRAMP)授权过程中的需求上，并允许这些框架替代授权过程的相关部分。

4、增强软件供应链安全

(A)联邦政府所使用软件的安全对联邦政府履行其关键职能的能力至关重要。商业软件的开发往往缺乏透明度，对软件抵御攻击的能力缺乏足够的关注，对防止恶意行为者篡改的控制不够。迫切需要实现更严格和可预测的机制，以确保产品安全运行，并按预期运行。“关键软件”的安全性和完整性是一个特别关注的问题。“关键软件”指的是执行关键功能的软件(例如提供或要求提升的系统特权或直接访问网络和计算资源)。因此，联邦政府必须采取行动迅速提高软件供应链的安全性和完整性，优先解决关键软件。

(B)在下达命令之日起30天内,商务部长应通过国家标准和技术研究所(NIST)负责人征求联邦政府、私营部门、学术界和其他适当行为者的意见，以确定现有或开发新的标准、工具和最佳实践，以遵守本节(E)款中的标准、程序或标准。指南应包括可用于评估软件安全性的标准，包括评估开发人员和供应商自身的安全实践的标准，以及识别创新工具或方法以证明与安全实践的一致性。

(C)在本命令发出之日起180天内，国家标准和技术研究所(NIST)负责人应根据本节(b)款所述的磋商，并在切实可行的情况下利用现有文件，公布初步指引，以加强软件供应链的安全性，并满足本节的要求。

(D)在本命令发出之日起360天内，国家标准和技术研究所(NIST)负责人须公布额外指引，其中包括本节(c)款所述的定期检讨及更新指引的程序。

(E)在根据本节(c)款发布初步指南后的90天内，商务部长通过国家标准和技术研究所(NIST)负责人，与国家标准和技术研究所(NIST)负责人认为适当的机构负责人协商，应发布指南，识别增强软件供应链安全性的实践。该指导可包含根据本节(c)和(i)小节发布的指导。该指导应包括以下标准、程序或标准:

(i)保护软件开发环境，包括下列行动:

( a)使用管理上独立的构建环境;

(b)审计信托关系;

(c)建立跨企业的多因素、基于风险的认证和条件访问;

(d)记录和最小化对企业产品的依赖，这些产品是用于开发、构建和编辑软件的环境的一部分;

(e对数据进行加密;

(f)监控运营和警报，并对未遂和实际的网络事件作出反应;

(ii)生成并在买方要求时提供证明符合本节第(e)(i)款所述过程的工件;

(iii)使用自动化工具或类似过程，以维持可信的源代码供应链，从而确保代码的完整性;

(iv)使用自动化工具或类似过程，检查已知和潜在的漏洞并对其进行补救，应定期进行，或至少在产品、版本或更新发布之前进行;

(v)在买方要求时，提供本节第(e)(iii)和(iv)款中所述工具和过程的执行工件，并公开这些行动完成情况的摘要信息，包括评估和减轻的风险的摘要描述;

(vi)维护准确和最新的数据、软件代码或组件的来源(即来源)，以及对软件开发过程中出现的内部和第三方软件组件、工具和服务的控制，并定期对这些控制进行审计和执行;

(vii)向买方提供每个产品的软件材料清单(SBOM)，或通过在公共网站上发布该清单;

(viii)参与脆弱性披露方案，其中包括报告和披露过程;

(viiii)证明符合安全软件开发惯例;和

(x)在切实可行的范围内，确保并证明在产品的任何部分中使用的开源软件的完整性和来源。

(F)在本命令生效之日起60天内，商务部长应与通信和信息助理部长以及国家电信和信息管理局局长协调，公布软件材料清单(SBOM)的最低要素。

(G)在本命令生效之日起45天内,商务部长应通过国家标准和技术研究所(NIST)负责人与国防部长协商，并通过国家安全（NSA）局长、国土安全部部长通过基础设施安全局(CISA)局长、行政管理和预算办公室(OMB)主任和国家情报总监，公布“关键软件”一词的定义，以纳入根据本节(E)款发布的指导意见中。该定义应反映运行所需的特权或访问级别、与其他软件的集成和依赖关系、对网络和计算资源的直接访问、对信任至关重要的功能的性能，以及如果受到危害可能造成的危害。

(H)在本节第(g)款要求的定义公布后30天内，国土安全部部长通过基础设施安全局(CISA)局长与商务部长通过国家标准和技术研究所(NIST)负责人协商后，应查明并向机构提供一份符合根据本节第(g)款发布的关键软件定义的正在使用或正在获取的软件和软件产品的类别清单。

(I)在本命令发布之日起60天内，商务部长应通过基础设施安全局(CISA)局长、行政管理和预算办公室(OMB)主任与国土安全部部长协商，发布指南，概述本节(G)款定义的关键软件的安全措施，包括应用最低特权、网络分段和适当配置的做法。

(J)在本节第(I)款所述指南发布后30天内，办公室管理处处长应通过办公室内电子政务办公室的管理人采取适当步骤，要求各机构遵守该指南。

(K)在本节(E)项所述指南发布后30天内，行政管理和预算办公室(OMB)主任通过OMB内的电子政务办公室的行政长官采取适当措施，要求各机构在本命令发布之日后采购的软件遵守该指导原则。

(L)机关可要求延期，以遵守依据本条(K)款发出的任何规定。行政管理和预算办公室(OMB)主任应根据具体情况考虑任何此类请求，并且只有在附带满足基本要求的计划的情况下才能考虑。行政管理和预算办公室(OMB)主任应每季度向总统助理和国家安全顾问(APNSA)提交一份报告，指出并解释所有批准的延期。

(M)机关可就依据本条(K)款发出的任何要求请求豁免。豁免应由行政管理和预算办公室(OMB)主任与总统助理和国家安全顾问(APNSA)协商后逐案考虑，只有在特殊情况下和有限的期限内，并且只有在附带缓解任何潜在风险的计划的情况下才能批准。

(N)在本命令发布之日起一年内，国土安全部部长在与国防部长、司法部长、行政管理和预算办公室(OMB)主任和管理机构内的电子政府办公室行政长官协商后，应向联邦采购法规(FAR)委员会推荐合同内容要求的条款，要求各机构可供购买的软件供应商遵守并证明遵守根据本节(G)至(K)款发布的任何要求。     
   

(O)在收到本节第(n)款所述的建议后，联邦采购法规(FAR)委员会应审查这些建议，并在适当情况下，在符合适用法律的情况下，修订联邦采购法规(FAR)。

(P)在本节第(o)款所述修改联邦采购法规(FAR)的最终规则发布后，各机构应在适当且符合适用法律的情况下，从所有不确定交付不确定数量合同;联邦供应计划;联邦政府范围内的收购合同;一揽子采购协议;和多重奖励合同中删除不符合修订联邦采购法规(FAR)要求的软件产品。

(Q)行政管理和预算办公室(OMB)主任，通过行政管理和预算办公室内的电子政府办公室主任，应要求使用在本订单日期之前开发和采购的软件(遗留软件)的机构遵守根据本节(k)款发布的任何要求，或提供一份概述补救或满足这些要求的行动的计划，并进一步要求寻求软件合同(包括遗留软件)续签的机构遵守根据本节第(k)款发布的任何要求，除非根据本节第(l)或(m)款授予延期或放弃。

(R)在本命令发出之日起60天内，商务部长通过基础设施安全局(CISA)局长与国防部长通过国家安全局（NSA）局长协商，公布建议供应商测试其软件源代码的最低标准的指导方针，包括确定推荐的手动或自动测试类型(例如代码审查工具、静态和动态分析、软件组合工具和渗透测试)。

(S)商务部长通过国家标准和技术研究所(NIST)主任与NIST主任认为适当的其他机构代表进行协调，应启动试点项目，通过现有的消费品标签项目向公众宣传物联网(IoT)设备的安全能力和软件开发实践，并考虑如何鼓励制造商和开发者参与这些项目。

(T)在本命令发出之日起270天内,商务部长通过国家标准和技术研究所(NIST)主任配合联邦贸易委员会(FTC)的主席和其他NIST主任认为合适的,应当确认物联网网络安全标准消费者标识项目,并应考虑该消费者标识项目是否可与任何与适用法律相一致的现有类似政府项目相结合或效仿。该标准应反映产品可能经历的日益全面的测试和评估水平，并应使用或与制造商用于告知消费者其产品安全性的现有标识方案相兼容。NIST主任应检查所有相关信息、标签和激励计划，并采用最佳实践。本审查的重点应放在消费者使用的便利性上，并确定可以采取哪些措施来最大限度地提高制造商的参与。

(U)在本命令发出之日起270天内,商务部长通过国家标准和技术研究所(NIST)主任配合联邦贸易委员会主席和其他机构的代表NIST的主任认为合适的,应当确认安全软件开发实践或标准的消费者软件标识项目,并应考虑该消费者软件标识项目是否可与任何类似的现有政府项目相结合或效仿，以符合适用法律。该标准应反映安全实践的基线水平，如果可行，应反映产品可能经历的越来越全面的测试和评估水平。NIST主任应检查所有相关信息、标识和奖励计划，采用最佳实践，识别、修改或开发推荐的标识，或(如果可行的话)分级软件安全评级系统。审查的重点应放在消费者使用的便利性上，并确定可以采取哪些措施来最大限度地提高参与。

(V)这些试点计划应以与行政管理和预算办公室(OMB)通告a -119和国家标准和技术研究所(NIST)特别出版物2000-02(联邦机构合格评定考虑)一致的方式进行。

(W)在本命令发出之日起一年内,国家标准和技术研究所(NIST)主任进行审查的试点项目,与私营部门和相关机构咨询评估程序的有效性,确定改进可以展望未来,和总统助理和国家安全顾问(APNSA)提交总结报告。

(X)在本命令生效之日起1年内，商务部长在与商务部长认为适当的其他机构负责人协商后，应通过总统助理和国家安全顾问(APNSA)向总统提供该报告回顾了在本节下所取得的进展，并概述了确保软件供应链安全所需的额外步骤。

5、成立网络安全审查委员会

(A)国土安全部长应与司法部长协商，根据2002年《国土安全法》第871条(第6u.s.c. 451条)设立网络安全审查委员会(Board)。

(B)委员会应就影响联邦文职行政部门(FCEB)信息系统或非联邦系统的重大网络事件(根据2016年7月26日总统政策指令41(美国网络事件协调)(PPD 41)定义)、威胁活动、漏洞、缓解活动和机构响应进行审查和评估。

(C)国土安全部部长应在触发PPD-41第V(B)(2)条规定的网络统一协调小组(UCG)成立的重大网络事件后召开委员会会议;在总统通过总统助理和国家安全顾问(APNSA)的指示下的任何时间;或在国土安全部长认为必要的任何时候。

(D)委员会的初步审查应涉及促使网络统一协调小组(UCG)于2020年12月成立的网络活动，委员会应在委员会成立后90天内，向国土安全部部长提供改善网络安全和事件应对实践的建议，如本节第(i)小节所述。

(E)委员会的成员应包括联邦官员和私营部门实体的代表。该委员会应由国防部、司法部、基础设施安全局(CISA)、国家安全局（NSA）和联邦调查局（FBI）的代表，以及由国土安全部部长确定的适当私营部门网络安全或软件供应商的代表组成。当审查中的事件涉及联邦文职行政部门(FCEB)信息系统时，由国土安全部部长确定，行政管理和预算办公室的一名代表应参与委员会的活动。国土安全部部长可在个案基础上邀请其他人参与，这取决于所审查事件的性质。

(F)国土安全部部长应每两年从董事会成员中指派一名委员会主席和一名副主席，包括一名联邦成员和一名私营部门成员。

(G)委员会应根据适用法律，保护已与其共享的敏感执法、业务、商业和其他机密信息。

(H)在完成对适用事件的审查后，国土安全部部长应通过总统助理和国家安全顾问(APNSA)向总统提供委员会的任何建议、信息或建议，以改善网络安全和事件应对实践及政策。

(I)在完成本节第(d)款所述的初始审查后30天内，国土安全部部长应通过总统助理和国家安全顾问(APNSA)向总统提供基于初始审查的委员会建议。这些建议应说明:

(i)  查明委员会的组成或权力方面的差距和备选办法;

(ii)  委员会拟议的任务、范围和责任;

(iii) 私营机构代表的会员资格标准;

(iv)委员会治理结构，包括与执行部门和总统执行办公室的互动;

(v)待评估网络事件类型的阈值和标准;

(vi) 应按照适用的法律和政策向委员会提供的资料来源;

(vii)为保护向审计委员会提供的资料和确保受影响的美国个人和实体为审计委员会审查事件的目的进行合作的办法;

(viii)委员会业务所需的行政和预算考虑。

(J)国土安全部部长应与司法部长和总统助理和国家安全顾问(APNSA)协商，审查根据本节第(i)款通过总统助理和国家安全顾问(APNSA)提供给总统的建议，并酌情采取步骤实施这些建议。

(K)除非总统另有指示，国土安全部长应根据2002年《国土安全法案》第871条，在国土安全部长认为适当的情况下，将委员会的任期每2年延长一次。

6、使《联邦政府应对网络安全漏洞和事件的行动手册》标准化
(A)目前用于识别、补救和恢复影响其系统的漏洞和事件的网络安全漏洞和事件响应程序因机构而异，阻碍了牵头机构更全面地分析各机构的漏洞和事件的能力。标准化的应对程序确保对事件进行更协调和集中的编目，并跟踪各机构在成功应对方面的进展。

(B)在本命令发布之日起120天内，国土安全部部长应通过基础设施安全局(CISA)，与行政管理和预算办公室(OMB)主任、联邦首席信息官委员会和联邦首席信息安全委员会协商，并与国防部长通过国家安全局（NSA）局长、司法部长和国家情报总监协调，制定一套标准的操作程序(手册)，用于规划和进行有关联邦文职行政部门(FCEB)信息系统的网络安全漏洞和事件响应活动。行动手册应：
(i)纳入所有适合的国家标准和技术研究所(NIST)标准；
(ii)供功能组别机构使用；
(iii)清楚说明事件响应的所有阶段的进展和完成情况，同时允许灵活性，以便可用于支持各种响应活动。

(C)行政管理和预算办公室(OMB)主任应发布有关机构使用该手册的指导意见。

(D)网络安全漏洞或事件响应程序偏离行动手册的机构只有在与行政管理和预算办公室(OMB)主任和总统助理和国家安全顾问(APNSA)协商并证明这些程序达到或超过行动手册中提出的标准后，才可使用此类程序。

(E)基础设施安全局(CISA)局长应与国家安全局（NSA）局长协商，每年审查和更新该手册，并向管理和预算办公室局长提供信息，以便纳入指南更新。

(F)为了确保事件响应活动的全面性，并建立未经授权的网络行为者不再能够访问联邦文职行政部门(FCEB)信息系统的信心，该行动手册应根据适用的法律，建立一项要求，要求基础设施安全局(CISA)局长在机构完成其事件响应后审查和验证联邦文职行政部门(FCEB)的事件响应和补救结果。基础设施安全局(CISA)局长可能会建议使用其他机构或第三方事件响应小组。

(G)为确保对网络事件和机构的网络安全状况达成共识，攻略应定义关键术语，并在可行的情况下，按照这些术语的任何法定定义使用这些术语，从而为使用该攻略的机构提供一个共享词典。

7、改善对联邦政府网络的网络安全漏洞和事件的检测

(A)联邦政府应动用一切适当资源和权力，最大限度地及早发现其网络中的网络安全漏洞和事件。该方法应包括增加联邦政府对代理网络的网络安全漏洞和威胁的可见性和检测，以支持联邦政府的网络安全努力。

(B)联邦文职行政部门(FCEB)应部署端点检测和响应(EDR)倡议，以支持在联邦政府基础设施内主动检测网络安全事件、积极的网络搜索、遏制和补救以及事件响应。

(C)在本命令发布之日起30天内,国土安全部部长应通过基础设施安全局(CISA)局长向行政管理和预算办公室(OMB)主任提供关于实施端点检测和响应(EDR)计划的选项的建议，该计划位于核心位置，以支持有关联邦文职行政部门(FCEB)信息系统的主机级别的可见性、归因和响应。

(D)在收到本节(c)款所述建议后90天内，行政管理和预算办公室(OMB)主任应与国土安全部部长协商，发布要求联邦文职行政部门(FCEB)采用联邦政府范围内的端点检测和响应(EDR)方法的要求。这些要求应支持国土安全部通过基础设施安全局(CISA)参与网络搜索、探测和响应活动的能力。

(E)行政管理和预算办公室(OMB)主任应与国土安全部部长及各机构负责人合作，确保各机构拥有足够的资源，以遵守根据本节第(d)款发布的要求。

(F)保护联邦文职行政部门(FCEB)信息系统要求国土安全部通过基础设施安全局(CISA)访问与威胁和漏洞分析相关的机构数据，并用于评估和威胁搜寻目的。在本命令生效之日起的75天内，各机构应与基础设施安全局(CISA)就持续诊断和缓解计划建立或更新协议备忘录(MOA)，以确保基础设施安全局(CISA)可获得并可获得协议备忘录中定义的目标级数据，且符合适用法律。

(G)在本命令生效之日起的45天内，作为国家安全系统国家主管的国家安全局局长应向国防部长、国家情报总监建议:以及国家安全系统委员会(CNSS)在适用法律允许的范围内，为改善对影响国家安全系统的网络事件的检测而采取的适当行动，包括关于环境重建方法的建议，以及这些措施应由机构操作还是通过国家管理者提供的共同关注的集中服务。

(H)在本命令发出之日起90天内，国防部长、国家情报总监和国家安全系统委员会(CNSS)应审查根据本节(g)款提交的建议，并酌情制定符合适用法律、使这些建议生效的政策。

(I)在本命令生效之日起的90天内,基础设施安全局(CISA)局长应向行政管理和预算办公室(OMB)主任和总统助理和国家安全顾问(APNSA)提供一份报告，说明根据《公法116-283》第1705条授予的权力机关如何在未经机构事先授权的联邦文职行政部门(FCEB)网络正在实施中。该报告还应建议程序，以确保关键任务系统不被中断；通知系统所有者易受攻击的政府系统的程序；以及可在联邦文职行政部门(FCEB)信息系统测试期间使用的技术范围。基础设施安全局(CISA)局长应就根据《公法116-283》第1705条采取的行动向总统助理和国家安全顾问(APNSA)和行政管理和预算办公室(OMB)主任提供季度报告。

(J)为确保国防部信息网络(DODIN)指令与联邦文职行政部门(FCEB)信息系统指令之间的一致性，国防部长和国土安全部部长应与管理预算办公室主任协商后:

(i)在本命令发出日期起计60天内，为国防部和国土安全部建立程序，以便立即相互共享适用于各自信息网络的国防部事件响应命令或国土安全部紧急指示和有约束力的行动指示;

(ii)评估是否采纳其他部门发布的命令或指令中所包含的与机密信息共享有关的规定相一致的指导;

(iii)在收到根据本节第(j)(i)款规定的程序发出的命令或指示的通知后7天内，将本节第(j)(ii)款所述的评估通知总统助理和国家安全顾问(APNSA)和行政管理和预算办公室(OMB)电子政府办公室主任，包括是否采用另一个部门发布的指导意见的决定、决定的理由，以及适用该指导意见的时间表(如适用)。

8、提高联邦政府的调查和补救能力
(A)来自联邦信息系统上的网络和系统日志中的信息（对于本地系统和由第三方托管的连接，例如CSP）对于调查和补救而言都是无价的。各机构及其IT服务提供商必须收集和维护此类数据，并在处理联邦文职行政部门(FCEB)信息系统上的网络事件时，根据适用法律，应要求通过基础设施安全局(CISA)向国土安全部和联邦调查局提供这些数据。

(B)在本命令发布之日起14天内，国土安全部部长应在与总检察长和行政管理和预算办公室(OMB)主任协商后，就记录事件和在机构的系统和网络内保留其他相关数据的要求向行政管理和预算办公室(OMB)主任提出建议。此类建议应包括要维护的日志类型、保留日志和其他相关数据的时间段、机构启用建议的日志记录和安全要求的时间段以及如何保护日志。日志应通过加密方法进行保护，以确保收集后的完整性，并在整个保留过程中定期对照散列进行验证。数据应以符合所有适用的隐私法律法规的方式保存。联邦采购法规(FAR)委员会在根据本命令第2节颁布规则时，也应考虑这些建议。

(C)在收到本节(B)项所述建议后90天内，行政管理和预算办公室(OMB)主任应与商务部长和国土安全部部长协商，为各机构制定政策，以确立日志、日志保留和日志管理的要求，确保每个机构的最高级别安全行动中心的集中访问和可见性。

(D)行政管理和预算办公室(OMB)主任应与各机构负责人合作，确保各机构有足够的资源来遵守本条(C)项确定的要求。

(B)本命令不得改变1990年7月5日第42号国家安全指令(国家安全电信和信息系统安全国家政策)(NSD-42)所界定的国家经理在国家安全系统方面的权力。联邦文职行政部门(FCEB)网络将继续属于国土安全部部长通过国家安全局局长行事的权限范围内。

10、定义

就本命令而言：
(A)“机构”一词具有“美国法典”第44编第3502条给予该词的涵义。
(B)术语“审计信任关系”是指两个或多个系统要素之间商定的关系，该关系受与资产保护相关的安全互动、行为和结果标准管辖。
(C)“网络事件”一词的涵义与“美国法典”第44编第3552(B)(2)条所指的“事件”相同。
(D)术语“联邦文职行政分支机构”或“FCEB机构”包括除国防部和情报界机构以外的所有机构。
(E)术语“联邦文职行政部门信息系统”或“FCEB信息系统”是指由联邦文职行政部门机构运行的信息系统，但不包括国家安全系统。
(F)术语“联邦信息系统”是指由某机构或某机构的承包商或代表某机构的另一组织使用或操作的信息系统，包括FCEB信息系统和国家安全系统。
(G)“情报界”一词具有“美国法典”第50编3003(4)给予该词的涵义。
(H)“国家安全系统”一词是指“美国法典”第44编第3552(B)(6)、3553(E)(2)和3553(E)(3)条所界定的信息系统。
(I)术语“日志”是指组织的系统和网络内发生的事件的记录。日志由日志条目组成，每个条目包含与系统或网络中发生的特定事件相关的信息。
(J)术语“软件材料清单”或“SBOM”是指包含用于构建软件的各种组件的详细信息和供应链关系的正式记录。软件开发人员和供应商通常通过组装现有的开源和商业软件组件来创建产品。SBOM列举了产品中的这些组件。它类似于食品包装上的配料清单。SBOM对于开发或制造软件的人、选择或购买软件的人以及操作软件的人都很有用。开发人员通常使用可用的开源和第三方软件组件来创建产品；SBOM允许构建者确保这些组件是最新的，并快速响应新的漏洞。买家可以使用SBOM执行漏洞或许可证分析，这两者都可用于评估产品的风险。那些操作软件的人可以使用sbom快速、轻松地确定他们是否面临新发现的漏洞的潜在风险。广泛使用的机器可读的SBOM格式可通过自动化和工具集成实现更大的优势。当SBOM集中存储在其他应用程序和系统可以轻松查询的存储库中时，可以获得更大的价值。了解软件供应链、获取SBOM并使用它来分析已知漏洞在风险管理中至关重要。
(K)术语“零信任架构”是指基于承认传统网络边界内外都存在威胁的安全模型、一套系统设计原则以及协调一致的网络安全和系统管理战略。零信任安全模型消除了对任何一个元素、节点或服务的隐式信任，而是要求通过来自多个来源的实时信息持续验证操作画面，以确定访问和其他系统响应。从本质上讲，零信任体系结构允许用户完全访问，但只允许他们执行其工作所需的最低限度的访问。如果设备遭到破坏，零信任可以确保损害得到控制。零信任体系结构安全模型假设漏洞不可避免或很可能已经发生，因此它不断限制仅访问需要的内容，并查找异常或恶意活动。零信任架构将全面的安全监控、基于风险的细粒度访问控制和系统安全自动化以协调的方式嵌入基础设施的各个方面，以便在动态威胁环境中专注于实时保护数据。这种以数据为中心的安全模型允许将最低特权访问的概念应用于每个访问决策，其中对谁、什么、何时、何处和如何基于服务器组合适当地允许或拒绝访问资源的问题的回答至关重要。

11、总则

(A)根据公法116-283第1752条，在任命国家网络总监(NCD)并在总统办公厅内设立相关办公室后，可以修改本命令的部分内容，以使NCD能够充分履行其职责。

(B)本命令不得解释为减损或以其他方式影响：
(i)法律授予行政部门或机构或其首长的权限；
(ii)管理和预算办公室主任与预算、行政或立法提案有关的职能。

(C)本命令应以符合适用法律的方式执行，并视拨款情况而定。

(D)本命令的目的不是也不会产生任何权利或利益，无论是实体的还是程序的，可由任何一方在法律上或衡平法上对美国、其部门、机构或实体、其官员、雇员或代理人或任何其他人强制执行。

(E)本命令并无授权干预或指挥刑事或国家安全调查、逮捕、搜查、扣押或扰乱行动，或更改要求机关保护在刑事或国家安全调查过程中获悉的信息的法律限制。