《关于改善关键基础设施控制系统网络空间安全的国家安全备忘录》
2021 年 7 月 28 日
保护国家关键基础设施是联邦、州、地方、部落和区级政府以及基础设施所有者和运营者的
责任。关键基础设施的控制和运行系统所面临的网络空间安全威胁是我们国家面临的最重
大和日益严重的问题之一。基础设施控制系统的老化、损坏或故障可能对国家安全和经济安
全造成重大威胁。
第一部分 政策。保护国家关键基础设施的政策,重点是关注支持国家关键功能(是 美对 国
至 重要的功能, 的中 、关 它们 断 坏损 或故障 家安全、 安全、公共健康或安全或其将对国 经济
任何 合 生破坏性影组 产 响)系统的网络空间安全和弹性。
第二部分 工业控制系统网络空间安全倡议。这是联邦政府和关键基础设施产业界之间的一
项自愿性合作行动,旨在显著提高这些关键系统的网络空间安全。主要目标是通过鼓励和
促进部署技术和系统来保护美国的关键基础设施,这些技术和系统提供威胁可见性、标注、
检测和警告,并促进基本控制系统和运行网络的网络空间安全响应能力。该计划的目标是
加大扩展这些技术在优先关键基础设施中的部署。
第三部分 推进工业控制系统网络空间安全倡议。该倡议为政府和工业界在各自的控制范围
内合作开辟了道路。该倡议建立在关键基础设施部门正在进行的网络空间安全行动的基础
上,扩大并加快了工作进展,是应对这些威胁的重要一步。我们无法应对看不见的威胁;
因此,部署系统和技术来监控控制系统以检测恶意活动并促进对网络空间威胁的响应行动
对于确保这些关键系统的安全运行至关重要。联邦政府将与工业界合作,共享全国优先控
制系统关键基础设施的威胁信息。
(a)该倡议始于电力部门的试点工作,接下来是天然气管道部门,水和废水部门系统和化学
部门将在今年晚些时候进行。
(b)公共法律 116-283 第 9002(a)(7)节中定义的部门风险管理机构,以及其他适当且符合
适用法律的执行部门和机构,应与关键基础设施利益相关者与所有者、运营商合作,以实
施本备忘录中的原则和政策。
第四部分 关键基础设施网络安全性能目标。关键基础设施部门的网络空间安全需求各不相
同,实践也不尽相同。然而,需要在所有关键基础设施部门保持一致的网络安全目标基线
还需要对依赖控制系统的选定关键基础设施进行安全控制。
(a) 根据 2013 年 2 月 12 日第 13636 号行政命令第 7(d)节(改善关键基础设施网络空间安
全),国土安全部部长应与商务部长(通过国家标准和技术研究所所长)和其他机构协调,酌
情制定并发布关键基础设施的网络安全绩效目标,以促进对关键基础设施所有者和运营商
应遵循的安全基线的共同理解。
(b)这项工作应不迟于 2021 年 9 月 22 日发布关键基础设施部门控制系统的初步目标,随
后在本备忘录之后 1 年内发布最终跨部门控制系统目标。此外,在与相关机构协商后,国
土安全部部长应在本备忘录之后 1 年内发布针对特定部门的关键基础设施网络安全绩效目
标。这些性能目标应该为所有者和运营商提供明确指导,让他们了解美国人民可以信任并
应该期待的网络安全实践和态势。这一行动还可能包括审查额外的法律授权是否有利于加
强关键基础设施的网络空间安全,这对美国人民和国家安全至关重要。
