详细内容或原文请订阅后点击阅览
关键基础设施保护:CISA 应改进优先级设定、利益相关者参与和威胁信息共享
GAO 的发现 通过国家关键基础设施优先排序计划,网络安全和基础设施安全局 (CISA) 将确定一系列系统和资产,这些系统和资产如果被破坏或中断,将导致国家或地区灾难性影响。根据 2007 年 9/11 委员会法案的实施建议,该计划致力于每年更新该列表并确定其优先顺序。该计划的清单用于通知向各州发放防备拨款。然而,12 名 CISA 官员中的 9 名以及 GAO 采访的所有 10 名基础设施利益相关者对该计划的相关性和有用性提出了质疑。例如,利益相关者将网络攻击视为他们面临的最普遍的威胁之一,但表示该计划的列表并未反映这种威胁。此外,根据 CISA 数据,自 2017 财年以来,在任何特定财年,只有不超过 14 个州(56 个州和地区)提供了该计划的更新。确保其确定优先事项的过程反映当前的威胁(例如网络攻击),并纳入其他国家的意见,这将使 CISA 更好地保证其和利益相关者专注于最高优先事项。 2019 年,CISA 发布了一组 55 项政府关键职能私营部门被认为对国家的安全、经济、公共卫生和安全至关重要。 CISA 官员表示,这个新的国家关键功能框架旨在更好地评估关键系统、资产、组件和技术的故障如何在 16 个关键基础设施部门中蔓延。下面显示了 CISA 四大类中的关键功能示例:“连接”(55 项功能中的 9 项)、“分发”(9 项)、“管理”(24 项)和“供应”(13 项)。基础设施安全局 (CISA) 国家关键职能 CISA 目前正在实施一项流程,将 55 项国家关键职能(例如“供水”)分解为系统(例如“公共供水系统”)和资产(包括基础设施,例如“公共供水系统”)。支持国家关键功能“供水”的关键基础设施系统和资产示例 CISA 计划将国家关键功能框架整合到更广泛的优先级排序和风险管理工作中,并且已经使用它为关键机构的行动提供信息。例如,CISA 使用该框架来分析 COVID-19 对关键基础设施的影响。尽管 CISA 于 2019 年启动了该职能框架,但 GAO 采访的大多数联邦和非联邦关键基础设施利益相关者表示,普遍不参与、不了解或不理解该框架的目标。具体来说,利益相关者不了解该框架如何与基础设施优先排序相关,它如何影响规划和运营,或者他们的特定组织在哪里
来源:美国政府问责局__信息管理学信息美国政府问责署的发现
通过国家关键基础设施优先排序计划,网络安全和基础设施安全局 (CISA) 将确定一份系统和资产清单,这些系统和资产如果遭到破坏或中断,将对国家或地区造成灾难性影响。根据 2007 年《9/11 委员会法案》的实施建议,该计划每年都会更新和优先排序该清单。该计划的清单用于通知向各州颁发应急准备补助金。然而,12 名 CISA 官员中的 9 名和 GAO 采访的所有 10 名基础设施利益相关者都质疑该计划的相关性和实用性。例如,利益相关者认为网络攻击是他们面临的最普遍威胁之一,但表示该计划的清单并未反映这一威胁。此外,根据 CISA 数据,自 2017 财年以来,在任何给定的财年,只有不超过 14 个州(56 个州和地区)对该计划进行了更新。确保其确定优先事项的过程反映当前的威胁(例如网络攻击),并纳入来自其他州的意见,将使 CISA 更加确信其和利益相关者专注于最高优先事项。
2019 年,CISA 发布了 55 项政府和私营部门的关键职能,这些职能被认为对国家的安全、经济和公共健康与安全至关重要。据 CISA 官员称,这个新的国家关键职能框架旨在更好地评估关键系统、资产、组件和技术的故障可能如何影响 16 个关键基础设施部门。以下是 CISA 四大类中的关键职能示例,即“连接”(55 项职能中的 9 项)、“分发”(9 项)、“管理”(24 项)和“供应”(13 项)。
网络安全和基础设施安全局 (CISA) 国家关键职能示例