美国网络安全和基础设施安全局 发布首部国际战略规划
文章目录
- 前言
- 一、战略背景
- 二、战略计划列出了CISA必须实现的三项目标
- 1、第一项目标是增强美国所依赖的外国基础设施的弹性。
- 2、第二项目标是加强综合网络防御。
- 3、第三项目标是统一国际活动的机构协调。
前言
美国网络安全和基础设施安全局(CISA)10月29日发布了该机构首部国际战略计划,旨在将加强国际伙伴关系作为全球竞争的“力量倍增器”,使美国能够在当前和未来竞争并战胜全球范围内的威胁和挑战,实现该机构为美国民众提供安全和有弹性的基础设施的愿景。
一、战略背景
该战略计划支持该机构的首个综合战略计划,并与4月底美国白宫发布的《关于关键基础设施安全和弹性的国家安全备忘录》保持一致。该计划中提出的方法与《美国国家安全战略》、《美国国家网络安全战略》、《美国国际网络空间和数字政策战略》、《2023-2025年CISA战略计划》、《2023-2025财年CISA利益相关者参与战略计划》和《2024-2026年CISA网络安全战略计划》中规定的指导方针以及美国国土安全部部长确定的优先事项相一致。该计划与《美国国际网络空间和数字政策战略》紧密结合,以加强和扩大国际联盟,完善国内和国际网络防御工作。
该战略计划重点关注 CISA 如何积极与国际合作伙伴合作,以加强美国关键基础设施的安全性和弹性,目标是塑造国际环境,以降低关键依赖的风险,并为合作、竞争和冲突的成功创造条件。总体来说,该战略计划的目标是建立、加强和维持国际关系,以便:推进美国国土和国家安全目标;预防事故并提高国内外物理和网络关键基础设施的弹性;提高检测、阻止和破坏新兴威胁和危害的意识;管理和降低系统性风险;增加对国际关键基础设施相互依赖性的理解并预测连锁影响;影响国际政策、标准和最佳实践;协助主要合作伙伴解决其能力不足问题;扩大双边/多边专业知识交流,同时加强联邦机构间和机构内协调,以提高风险管理和事件响应能力;完善和加强CISA的国际伙伴关系、安排和政策。
二、战略计划列出了CISA必须实现的三项目标
为应对美国及其国际伙伴面临的不断变化和动态的挑战,前两项目标侧重于该机构将在国际环境中开展的具体工作,第三项目标侧重于促进机构内部协调以统一开展国际活动。
1、第一项目标是增强美国所依赖的外国基础设施的弹性。
具体目的包括:一是确定并优先考虑国家所依赖的外国关键基础设施,并加强其安全性和弹性。推动措施:与美国务院和相关政府合作伙伴协调,扩大对美国所依赖的优先外国关键基础设施的基础设施和供应链脆弱性的了解,从而拓宽对系统性风险的理解。有效性衡量标准:增加由CISA协调的美国政府活动数量,以提高优先考虑的外国关键基础设施和供应链的安全性和弹性;增加全球合作伙伴为应对优先考虑的外国关键基础设施风险而采取的行动数量;增加国内合作伙伴为减轻因依赖外国资产、系统和供应链而导致的美国关键基础设施运营的潜在中断而采取的行动数量。二是加强国际伙伴关系,促进美国关键基础设施的优先发展和海外利益。推动措施:扩大执行联合作战活动、能力发展工作和共享政策框架的能力,以推进美国保卫网络空间和保护美国关键基础设施的优先事项。有效性衡量标准:增加与全球合作伙伴开展的联合行动活动的数量,以建立公共和私营部门的能力,以阻止、预防、保护和应对关键基础设施事件;增加与全球合作伙伴的信息共享交流,以促进美国的安全和弹性优先事项,并增强CISA的计划、服务和产品。三是制定操作和技术全球标准、法规、政策、指南和最佳实践,以提高安全性。推动措施:推进开放、透明和基于规则的标准流程,以确保全球相关标准符合美国对关键基础设施的国家安全要求;与合作伙伴合作,抵制对手试图以对国家安全构成威胁的方式不当影响标准的影响。有效性衡量标准:与政府、产业和学术伙伴协调,加大技术标准的制定和发布力度,以供国际标准和政策制定机构采用,从而提高美国关键基础设施的保护性、互操作性和弹性。
2、第二项目标是加强综合网络防御。
具体目的包括:一是与合作伙伴共同实施网络防御,降低集体风险。推动措施:通过扩大与国际合作伙伴的双边和多边计算机安全事件响应小组(CSIRT)合作来增进信任并加强运营合作。有效性衡量标准:增加值得信赖的国际CSIRT合作伙伴的数量;增加双边和多边CSIRT合作的百分比,以降低综合风险;增加在漏洞利用前采用建议的风险缓解措施的CSIRT合作伙伴的数量。二是大规模推动标准和安全,以提高网络安全。推动措施:与国际公共和私营部门合作伙伴合作,推进全球对安全软件开发和部署的承诺。有效性衡量标准:增加在软件开发生命周期开始时推荐安全软件开发框架的国际标准;增加采用和实施安全设计原则的合作伙伴国家、国际组织和行业的数量。三是提高主要合作伙伴的网络和物理弹性能力。推动措施:与美国务院合作,推进共享的网络安全优先事项,并通过有针对性地提供CISA服务来加强国际合作伙伴支持上述优先事项的能力,积极主动地、协作地加强国际网络安全和弹性。有效性衡量标准:增加向国际合作伙伴提供的CISA服务数量,以解决已发现的安全和弹性差距;增加具备网络或物理安全和弹性所需能力的项目参与者比例;扩大有能力并获准在其地区提供基于CISA的培训的外国培训师合作伙伴网络;增加强化自身风险管理能力的合作伙伴比例。
3、第三项目标是统一国际活动的机构协调。
具体目的包括:一是加强和制度化CISA对国际活动的治理。推动措施:使用“一个CISA”方法建立内部机构流程和程序来管理机构国际活动。有效性衡量标准:增加治理文件和流程的数量,提高机构国际活动的标准化和透明度。二是协调和同步CISA的国际职能、能力和资源。推动措施:优化内部业务运营,确保向国际合作伙伴协调提供产品和服务,有效推进网络空间防御和美国关键基础设施的安全和弹性。有效性衡量标准:增加通过CISA国际事务协调的跨领域活动的百分比。增加内部产品和服务,以提高对关键国际网络安全和关键基础设施安全和弹性问题的广泛认识。三是通过培训和教育装备CISA的员工队伍,提升CISA在全球舞台上的能力。推动措施:通过员工队伍积极有效地参与国际努力,推进网络空间防御、安全技术开发和部署以及关键基础设施安全和弹性。有效性衡量标准:增加接受过培训并拥有资源以提供国际服务的CISA人员的比例;增加通过专业培训提高其开展国际活动时有效代表机构的能力的CISA人员的比例。