2022年9月，美國網絡安全和基礎設施安全局（CISA）發布了《2023年至2025年戰略規劃》（2023-2025 Strategic Plan）。該規劃與美國國土安全部2020-2024財年戰略規劃保持一致，是CISA自2018年成立以來發布的首個綜合性戰略規劃，為未來3年美國網絡和基礎設施安全工作指明了方向。

　　CISA此次戰略規劃中確定了網絡防御、減少風險和增強恢復能力、業務協作、統一機構4個網絡安全目標，共有19個子目標；分別聚焦降低風險、增加韌性，以及確保CISA實施該戰略規劃的組織地位。

戰略規劃的四項目標、具體舉措與代表性結果

目標1：網絡防御

　　美國網絡安全和基礎設施安全局（CISA）是美國的網絡防御機構，負責抵御針對美國關鍵基礎設施、聯邦和地方政府（SLTT）、私營企業、美國人民的網絡攻擊者。CISA的職責就是與其他單位協作應對針對美國的網絡威脅，既包括威脅剛出現時的應對，也包括網絡事件發生后的處理。

子目標1.1：增強聯邦系統抵抗網絡攻擊和網絡安全事件的能力

　　舉措：CISA將幫助聯邦機構作出必要變化以增強美國網絡防御能力。通過采用現代的、安全的、韌性的技術，改善事件應急響應能力，減少聯邦政府供應鏈風險，增加網絡威脅的可見性；通過提供可擴展的、創新的服務和能力來構建高效安全的項目。

　　代表性成果：聯邦民事行政部門（FCEB）能夠快速從網絡攻擊和網絡事件中恢復；FCEB在網絡攻擊和網絡事件發生時和發生后仍然可以完成其使命。

　　評估方法：CISA將評估聯邦機構是否遵循CISA網絡防御指南、標準和命令來增強網絡安全防御能力及實施效果。 

子目標1.2：增強CISA主動監測攻擊美國關鍵基礎設施和關鍵網絡的能力

　　舉措：CISA將增強其主動監測聯邦和SLTT網絡威脅能力，同時與行業伙伴合作增強對非政府網絡威脅的識別能力；CISA將持續創新威脅情報獲取能力，以快速識別和響應威脅。代表性成果：CISA為美國網絡防御者提供更多的主動監測信息；美國網絡防御者能夠在入侵發生前主動應對最重要網絡遭受的威脅。 

　　評估方法：CISA將評估網絡監控、網絡威脅分析、網絡威脅獲取的有效性，以減少檢測時間和被入侵后的恢復時間。

子目標1.3：重要網絡安全漏洞公開和修復

　　舉措：CISA將與公私實體、網絡安全研究機構緊密協作，鼓勵其識別和報告已發現的漏洞。CISA也將及時公布漏洞，提供修復建議，并采取適當的修復措施。此外，CISA將與網絡安全社區協作以實現國土安全部網絡安全審查委員會（Cyber Safety Review Board，CSRB）和其他機構提出的建議，并評估國家網絡安全情況。

代表性成果：關鍵基礎設施所有者或運營者增強網絡安全漏洞透明性的洞察力，并在漏洞被利用前就已采取修復措施。

　　評估方法： CISA將評估CISA網絡安全漏洞評估和修復服務的使用和有效性，以增強漏洞的識別和修復能力，減少敵手利用關鍵基礎設施漏洞的窗口期。 

子目標1.4：通過默認安全（security-by-default）推動網絡空間生態
　　舉措：CISA一直在推動最新的網絡防御和網絡工具、服務、能力的開發與采用，以實現技術生態中的默認安全（即將安全理念融入設計、實現全流程的安全）；CISA還支持技術提供商和網絡防御者確保基于軟件和硬件的產品、網絡、服務、系統的安全；最后，CISA還意識到技術產品的設計和開發必須以一種安全優先、強安全控制手段、減少可利用漏洞的方式來進行。

　　代表性成果：國家關鍵功能（National Critical Functions，NCF）中使用的技術產品必須在設計上是安全和具有韌性的國家的網絡和系統必須更多地采用安全設計。

　　評估方法：CISA將評估技術產品和服務中安全開發實踐和控制的使用及其效果。

目標2：減少風險和增強恢復能力

　　子目標2.1：擴大基礎設施、系統和網絡的風險可見性

　　舉措：CISA需要加深對國家網絡和物理關鍵基礎設施資產和系統的理解，識別潛在風險源；推動關鍵基礎設施漏洞的評估、識別與理解。通過開發新的工具和促進合作獲得對網絡和物理威脅和漏洞的可見性。持續識別可能會對基礎設施帶來威脅的新興風險（比如量子技術還沒有帶來現實風險，但是會有潛在風險）。 

　　代表性成果：CISA建設成為關鍵基礎設施的中心數據庫和國家權威機構CISA可識別出關鍵基礎設施的潛在新興系統風險

　　評估方法：CISA將評估風險可見性和關鍵基礎設施安全性是否增強。

子目標2.2：增強CISA的風險分析能力

　　舉措：使CISA風險分析能力和方法更加成熟，以推動風險的深層次理解；確保關鍵基礎設施信息識別融入到分析方法中，以生成可指導機構決策的分析結果。

　　代表性成果：CISA已修改現有風險分析能力和方法

　　CISA的行動由綜合的“風險威脅圖譜”指導

　　評估方法：CISA將評估NCF風險分析的成熟度，以及分析數據的跨機構可訪問能力。 

子目標2.3：增強CISA的安全和風險應對指導

　　舉措：為加強對關鍵基礎設施的保護，CISA將為利益相關者提供安全和風險修復指導和幫助，如：為解決關鍵基礎設施安全威脅等提供專家渠道與緩解措施、發布IT網絡風險管理的權威指南、發布標準和建議以指導安全決策，以及在必要時提供定向專業支持與評估。

　　代表性成果：利益相關方已采用CISA關鍵基礎設施安全指南、標準、風險管理專業知識高風險的化學設備基礎設施滿足基于風險的性能標準 

　　評估方法：CISA將評估利益相關方采用CISA的應急通信、網絡安全指南情況及其有效性。

子目標2.4：增強相關利益者基礎設施和網絡的安全和韌性的能力

　　舉措：在幫助關鍵基礎設施所有者和運營者做出安全和韌性風險決策方面，CISA擔當可信合作者的角色。為更好服務其需求，需要適當擴展CISA在基礎設施安全、應急通信等領域關鍵項目。

　　代表性成果：CISA構建產品和服務以滿足日益增長的需求的能力，利益相關者認可CISA產品和服務滿足其需求的影響力、及時性和實用性

　　評估方法：CISA將評估CISA關鍵產品和服務對不同利益相關者的影響。

子目標2.5：增強CISA響應威脅和應急處理的能力

　　舉措：CISA將支持利益相關者和跨機構合作者增強應急處理能力，包括恐怖主義、性暴力攻擊、自然災害等。在重大網絡安全事件中，CISA將支持公私實體進行響應，包括部署事件響應能力、限制負面影響、快速恢復等。對于自然災害，CISA將部署可用的資產和人員。擴大應急通信支持服務的范圍，確保應急電話的連通性，以保證公共安全實體可以與其他機構進行快速通信。

　　代表性成果：CISA支持其他利益相關者快速響應、應對威脅和處理網絡安全事件能力
　　CISA可確保關鍵基礎設施的持續性和韌性評估方法：CISA將評估關鍵應急通信服務和CISA應急響應能力的效率和使用情況。

子目標2.6：支持選舉基礎設施的風險管理活動

　　舉措：在聯邦政府中，CISA負責理解選舉基礎設施風險，確保選舉過程中選舉基礎設施運營者有足夠的信息來管理系統風險。除了威脅圖譜，將CISA的支持范圍擴展到風險管理方法，以更好平衡網絡和物理安全。

代表性成果：根據對選舉基礎設施風險的理解來不斷改善CISA的服務、產品和指導，以對利益相關者需求進行響應將從風險和漏洞趨勢中了解到的知識應用到選舉基礎設施中。

　　評估方法：CISA將評估其風險管理和組織的產品與指南對利益相關者的影響。

目標3：業務協作

子目標3.1：優化合作活動的規劃與實現方式

　　舉措：CISA將在其服務的利益相關者中構建CISA品牌；CISA將使用利益相關者的數據、觀點、客戶需求、運行需求來指導國家和區域的活動。

代表性成果：CISA活動的參與、合作和協調已經具備明確的指向性與目的性，并形成了合作的優先級CISA的利益相關者關系已有更新與增強。

　　評估方法：CISA將評估戰略利益相關者參與和合作活動的有效性。

子目標3.2：將區域辦公室融入CISA的運行協調中

　　舉措：CISA區域辦公室對于加強CISA產品和服務的訪問、構建合作關系、減少風險和增強韌性方面非常重要。CISA將加強總部與分部的融合，在全國范圍內提供CISA服務。為優化CISA項目、產品和服務的交付，CISA將加強現有國家級合作管理框架與區域之間的關系。此外，CISA還將創建內部業務管理論壇、機制，使得全國范圍內的利益相關者的都能參與規劃與協調，并實現多方受益。

　　代表性成果：CISA總部與區域分部共享相同的業務流程CISA和其分部能夠解決更多的本地和區域利益相關者的　　問題。

　　評估方法：CISA將評估區域和總部協作活動的融合，以及區域利益相關者參與的影響。

子目標3.3：CISA資源訪問和使用的流程化

　　舉措：為充分利用CISA的項目、產品和服務，CISA將為利益相關者提供更加高效的資源訪問，比如根據具體要求和環境提供對應的產品信息、資源訪問和交付；并進一步將提供的項目、產品和服務市場化，以擴大服務的核心利益相關者的范圍。

　　代表性成果：利益相關者可以快速找到并訪問相關的、合適的CISA產品和服務CISA主動向利益相關者告知相關的、合適的產品和服務。

　　評估方法：CISA將評估分部項目、產品和服務的質量和可訪問情況。

子目標3.4：增強與CISA合作方的信息共享

　　舉措：為改進CISA和利益相關者的態勢感知能力，需要加強與外部合作者之間的多方溝通，包括事件的及時通報、威脅、漏洞、情報和其他信息數據的共享。更多的信息共享需要繼續構建新的合作架構，比如2021年8月由CISA成立的聯合網絡防御協作計劃（JCDC）；此外還需要將現有的架構變得更加成熟，比如2019年3月成立的聯邦高級領導委員會（FSLC）。作為權威機構，CISA可以增強信息共享和協作的有效性，同時保護隱私、人權和自由等權利。

代表性成果：利益相關者能夠及時訪問相關的、準確的信息以做出決策CISA的數據處理和信息共享能夠保護隱私、人權和自由等權利

　　評估方法：CISA將評估CISA合作方之間多方信息共享的價值。

子目標3.5：將相關利益者觀點融合到CISA產品研發和使命完成中

　　舉措：CISA將尋求利益相關者的反饋，并確保對產品進行持續改進，以實現其作為網絡基礎設施領域可信專家的核心價值。同時，CISA會將利益相關者的觀點、信息、數據融合到產品、服務的決策以及優先事項確定、開發和修改過程中。

　　代表性成果：利益相關者有機會向CISA反饋其需求、利益和優先事項CISA適當融入利益相關者的反饋以改善產品和服務的開發和交付

　　評估方法：CISA將評估利益相關者的滿意度和反饋以持續改進。

目標4：統一機構

子目標4.1：優化CISA的過程和決策管理

　　舉措：CISA將更好地將“規劃、計劃、預算、執行和評估(Planning, Programing, Budgeting, Execution and Evaluation, PPBEE)”過程融合到CISA治理過程和決策中，做好公共資金的管理，提供有效的內部控制，確保基本運營功能和支持投資決策。

　　代表性成果：CISA將領導愿景轉化為優先行動CISA有策略和透明地進行資源分配，以支持CISA內部的高效運行

　　評估方法：CISA將評估資金的有效和透明監管，以及項目和過程的標準化程度以及融入CISA的程度。

子目標4.2：優化CISA業務流程

　　舉措：CISA將現有流程“流水線化”，采用敏捷的、新的技術來加強客戶服務、改善即時、現代和安全服務。在CISA內部將采用經過證明有效的產品、服務和資源以確保業務運行的成功，包括安全的、創新的、可互操作的技術方案。CISA將關注融合現有系統和數據以增強態勢感知能力，提供信息以支持領導決策，改進協作過程，促進信息共享和數據管理。

　　代表性成果：CISA高級領導和運營人員具有持續的、及時的態勢感知CISA在整個機構內融合了系統、進程、數據和架構

　　評估方法：CISA將評估如何在整個機構內有效增強內部系統、過程和架構的多方支持。

子目標4.3：培養和加強CISA的高級人才隊伍

　　舉措：為預防未來人才短缺的問題，CISA將主動尋找、識別、培養有潛力的人才；尤其是尋找來自不同領域、不同背景的人才，并優先使用“國土安全部未來人才管理系統”進行人才招募。

　　代表性成果：CISA雇傭、培訓和留住有技能、多樣化、高效能的人才隊伍CISA為雇員識別、促進和提供有意義的職業生涯

　　評估方法：CISA將評估CISA人才隊伍的招聘和離職情況，以及雇員培訓和升職機遇的使用和影響。

子目標4.4：宣揚CISA優秀文化

　　舉措：利用CISA的優秀文化，CISA將成為網絡安全領域的領導者，也成為聯邦政府內工作的首選。

　　代表性成果：CISA在美國網絡防御和關鍵基礎設施保護的角色和作用得到認可CISA使命的文化基礎得到認可、實踐和加強，包括健康、心理安全、創新、責任感和熱情等

　　評估方法：CISA將評估CISA人才隊伍的心理健康、多樣性、壓力，這對創新和積極的文化是非常重要的。

評述

近年來，美國關鍵基礎設施遭遇多次重大網絡安全事件。拜登政府高度重視關鍵基礎設施網絡安全工作。2021年5月，拜登簽署關于增強國家網絡安全的行政命令，其中提出要加強基礎設施的安全可信。CISA發布的《2023年至2025年戰略規劃》是CISA自2018年成立以來發布的首個綜合性戰略規劃，為未來3年美國網絡和基礎設施安全工作指明了方向。規劃中提出了分別聚焦網絡防御、網絡攻防、業務協作和機構統一4個目標，同時提出了具體舉措，以確保CISA戰略規劃能夠順利實施。