【公益译文】基础设施韧性规划框架(IRPF)(下)

推荐阅读:【公益译文】《基础设施韧性规划框架(IRPF)》(上)

四、 评估风险

评估风险时,要收集信息,确定风险值,再据此确定优先级、制定和比较行动方案,为决策提供参考。关键基础设施利益相关者采用各种方法来评估风险,了解哪些事件最有可能影响基础设施资产、系统和网络,造成最严重的后果。评估过程中获得的信息可用于支持规划活动和资源分配。

IRPF采用的风险评估方法包括:

(1)识别基础设施存在的威胁和隐患,

(2)按优先级评估基础设施的脆弱性,

(3)评估后果和基础设施系统之间的相互影响,以及

(4)确定基础设施系统面临的重点风险。

风险评估完成后,其结果将用于指导后续的行动方案制定和实施活动。

关键基础设施风险评估通常使用假设情况或场景将所识别风险划分为多个部分,单独进行评估和分析。这些情况或场景包括已识别的威胁或隐患、受该威胁或隐患影响的实体以及脆弱性和后果等相关条件。

了解风险*

国土安全中,风险指产生不利结果的事故、事件或意外发生的可能性,由发生概率(取决于威胁和脆弱性)和相关后果衡量。韧性作为风险方程式的一部分,关系到实体对不同威胁和隐患的脆弱性(或暴露)以及事件可能产生的后果。归根结底,风险分析过程之所以重要,是因为它为风险管理决策提供了输入,决定了是接受、避免、转移还是以可接受的成本将风险控制在可接受的水平。因此,韧性是社区风险管理战略的基本组成部分。

威胁:有可能或有迹象表明可能危害生命、信息、运营、环境和/或财产的自然、人为或技术事件、个人、实体或行为。

脆弱性:设计、位置、安全态势和/或运行具有某些特征,会置实体、资产、系统、网络或地理区域于被破坏、摧毁或利用的风险下。

后果(或影响):事故、事件或意外产生的直接或间接影响。

*国家基础设施保护计划

4.1 识别基础设施存在的威胁和隐患

基础设施系统/资产可能存在许多不同的威胁和隐患。表7列举了重点关键基础设施当前和未来可能存在的自然、蓄意和意外威胁和隐患。

表7 威胁和隐患分类示例

自然 意外 蓄意
雪崩

干旱

地震

极寒

极热

洪水

飓风

虫害

滑坡

大范围流行病

龙卷风

海啸

火山爆发

山火

暴风雪

飞机坠毁

网络事件

溃坝

有害物质泄露

工业事故

溃堤

矿山事故

停电

放射物质释放

SCADA系统故障

列车脱轨

城市火灾

武装袭击

纵火/火攻

生物制剂

化学制剂

内乱

常规炸弹/简易爆炸装置

网络事件

无线频谱干扰

放射性物质

蓄意破坏

盗窃

*意外危险可能是独立事件,也可能是蓄意威胁或自然灾害事件的结果。

 

虽然可以通盘考虑所有的隐患和威胁,但社区可能想要的是评估各种隐患和威胁发生的可能性,确定哪些应该接受进一步风险评估。隐患发生的可能性由所定义的复发率、有记录的历史事件发生频率或靠谱估计来确定。

3.1.1节列举了可获取威胁/隐患可能性的信息来源,包括联邦、州、地方、部落或领地机构以及高校。隐患信息的另一重要贵来源是规划参与者和利益相关者的经验和知识。对最可能发生的威胁/隐患进行优先级排序是谨慎做法,但在时间和资源允许的情况下,可对所有隐患进行评估。

注意:

重要的是要认识到,威胁/隐患情况会随着时间的推移而变化,所造成影响的类型、频率或程度可能与过去不同。气候、社会和经济条件、构建的环境和技术等因素是动态变化的,在描述威胁和隐患背景时应予以考虑。考虑到未来情况的基础设施方案才是健全和具有韧性的方案,才具有改变风险格局的可能性。

4.1.1 威胁和隐患信息来源

威胁和隐患信息来源包括:

  • 国家天气在线资源,如国家气候数据中心和美国空间灾害事件和损失数据库(SHELDUS)
  • 国家气象局的本地或地区办事处
  • 本地资源,如报纸、商会、本地历史学会或记录历史事件的其他资源
  • 联邦和州灾难申报历史记录
  • FEMA地区办事处
  • 应急管理/国土安全机构
  • CISA区域安全保护顾问
  • CISA区域网络安全顾问
  • CISA跨部门安全委员会区域顾问
  • CISA化学安全巡查人员
  • CISA应急通信协调人员
  • 美国计算机应急响应小组(US-CERT)
  • 工业控制系统网络应急响应小组(ICS-CERT)
  • SLTT隐患整治办公室
  • 州和主要城市地区融合中心
  • 部落政府
  • 具有威胁和隐患相关项目或扩展服务的高校和其他研究机构

可用资源:

隐患信息和分析资源

提供隐患信息和分析资源(包括单一隐患和多重隐患数据以及建模和分析工具)的外部链接,包括国家海洋和大气管理局(NOAA)、美国地质调查局(USGS)、国家跨部门火灾管理中心(NIFC)等联邦项目的链接。

具体资源,参见基础设施韧性规划资源

干旱与基础设施:规划指南

本指南由CISA与国家抗旱合作组织(NDRP)共同制定,概括介绍了旱灾及其对基础设施系统可能产生的直接和间接影响,列举了用以评估和缓解干旱风险的联邦资源。

具体资源,参见基础设施韧性规划资源

4.1.2 网络威胁说明

网络空间领域及其基础设施存在物理和网络方面的各种威胁和隐患。此外,物理基础设施系统中出现了越来越多的自动化控制系统,这些系统面临同样的网络威胁。恶意行为尝试利用漏洞窃取信息或金钱,或中断、破坏或威胁基本服务的提供。

网络威胁行为主体包括:

  • 黑客
  • 犯罪组织
  • 恐怖组织
  • 国家支持的/外国情报机构

网络攻击类型包括:

  • Web应用攻击
  • SQL注入
  • 跨站点脚本攻击
  • 网络钓鱼
  • 垃圾邮件
  • 应用程序攻击
  • 高级持续性威胁(APT)
  • 恶意软件
  • 广告软件
  • 僵尸程序
  • 勒索软件
  • Rootkit
  • 间谍软件
  • 木马
  • 病毒
  • 蠕虫
  • 分布式拒绝服务(DDoS)和拒绝服务(DoS)

4.2 评估基础设施的脆弱性

参与者/利益相关者应评估社区重点基础设施是否容易受到已识别威胁/隐患的影响。脆弱性评估是对基础设施的具体威胁和隐患进行评估,发现薄弱环节,避免产生令人担忧的后果。

脆弱性评估能够揭示可被攻击者利用或受隐患/潜在故障点影响的内外部因素,为韧性方案提供重要信息。对已识别的问题进行记录和说明,后续可基于此制定安全和韧性建设行动方案。评估过程中要考虑的脆弱性因素包括:

  • 可访问性:基础设施资产是否可公开访问。
  • 可识别性:基础设施资产是否易于被普通人识别。
  • 可恢复:基础设施资产在破坏性事件发生后是否可轻松恢复;对资产恢复正常运营能力进行定性评估时,要考虑到资产对外部服务的依赖性、资产的运营能力以及稳健性。
  • 易感性:基础设施资产是否具有安全措施和程序。
  • 临近性:资产是否临近其他脆弱资产。
  • 冗余性:资产是否会造成单点故障,进而影响整个系统。

4.3 评估对基础设施系统造成的后果

识别威胁和隐患后,参与者/利益相关者应考虑这些隐患的可能后果,据此划分关键基础设施的优先级。后果是事件、事故或意外带来的影响,通常从四个方面进行衡量:

  1. (受伤、疾病或死亡)
  2. 经济(与基础设施业务中断相关的成本以及重置成本)
  3. 使(组织或团体实现战略目标或履行职能的能力)
  4. 心理(导致认知和/或行为发生变化的个人或群体的心理或情绪状态)

评估社区基础设施风险时要考虑的后果因素包括安全问题(基础设施无法再支持安全或国防任务时产生的成本)和可能让局部事件扩大化造成更大破坏(依赖性)的其他变量。可根据历史事件估计对关键基础设施造成的破坏性。

4.4 基础设施系统风险

识别威胁并评估脆弱性和后果后,可以综合使用这些信息确定重点基础设施的风险。规划团队应比较每种威胁/隐患、脆弱性和后果场景,根据所带来的风险确定其优先级。

可用资源:

风险评估方法

本文档总结了各种风险分析方法并提供了相关外部资源链接。

具体资源,参见基础设施韧性规划资源

 五、制定行动计划

IRPF的这一步骤旨在指导社区梳理和选择能促进关键基础设施韧性的项目和方案并制定实施战略。

5.1 细化大小目标

在梳理和实施韧性方案之前,社区应根据识别关键基础设施评估风险步骤中的发现,再次验证其愿景,细化关键基础设施的韧性目标。

5.2 梳理缓解风险的韧性方案

IRPF的核心成果是社区基础设施的风险缓解方案。韧性方案可以是政策、战略、计划、法规条例、韧性提升项目和/或实际的基础设施项目。下面列举了可提升韧性的各项活动。实际活动远不止于此,这里只是提供了可能的出发点。

  • 使用土地利用规划工具。社区可引入叠加区或新的分区条例,限制高风险地区的基础设施开发/建设。
  • 更新规范和标准。基于风险评估过程中识别的威胁、隐患和漏洞,更新规范和标准,缓解社区基础设施所面临的最大风险。

所有法规更新都应包括相关的实施条例。

  • 投资建设基础设施。社区可利用风险评估过程中获取的信息来确定如何增强关键基础设施对威胁和隐患的抵抗力。可选方案包括建设备用服务能力、建设多样化服务网络及供应链、设计灵活的系统以及通过合理使用资源减少服务需求。
  • 更新基础设施维护和设施改建计划。社区可列出重点基础设施和相关依赖关系,供服务商确定维护和更新优先级时参考。扩充现有的检查项目,识别需要改进的基础设施系统,在进行维护时加以重点考虑。
  • 制定连续性和应急计划。关键基础设施所有者和运营者可以根据依赖关系制定出灵活机变、考虑全面的连续性计划,用以在紧急情况下维护关键基础设施的公共服务。社区还能利用这些信息制定有效的应急计划。
  • 引入绿色基础设施。绿色基础设施有助于缓解气候风险,提高能源效率,减少资源需求,不仅带来环境效益,还带来社会和经济效益。
  • 建立基础设施委员会。基础设施委员会由地方政府机构、公私营基础设施所有者和运营者组成,关键利益相关者可借此讨论当前的活动和问题、依赖关系、未来发展以及合作伙伴关系和创新资金机会。

可用资源:

韧性方案数据源

有关概念化韧性方案的来源,参见基础设施韧性规划资源

FEMA缓解行动资源

以下FEMA资源(缓解活动资源下)列举了可进行的缓解活动:

《缓解思路:减少自然灾害风险资源》例举了一些缓解行动,以增强社区基础设施对各种和特定自然灾害的抵御能力。

缓解最佳实践案例集提供了最佳实践故事和案例研究,社区可以深入了解其他社区的减灾行动。

《隐患整治计划:管道附近土地利用规划和开发实践》概要介绍了输配管道系统相关风险以及可实施的风险缓解策略。

建筑科学分会刊物提供了多重隐患缓解实施指南和思路。

还有一个资源是FEMA的缓解行动组合,可从建设韧性基础设施和社区(BRIC)网站下载。

5.2.1 梳理韧性方案时考虑网络安全

由于社区的大部分物理基础设施现在已由计算机完全或部分控制并通过互联网连接,因此,规划应考虑采用合理的政策和程序,将网络安全建设纳入基础设施开发生命周期。社区考虑网络威胁时可参考以下资源,采取适当措施保护自己的关键基础设施。

网络安全资源

  • CISA负责增强国家网络和通信基础设施的安全性、韧性和可靠性。有关CISA网络安全培训和教育、刊物和指南、告警和通讯、技术援助以及项目和服务的信息,参见该链接
  • CISA的网络安全评估提供了一系列产品和技术服务。合作伙伴可以要求进行从自助调查到现场访问的免费、自愿评估。
  • CISA开发并提供从威胁指标信息到公告和咨询的一系列信息共享和意识产品。CISA还发起建立了基于行业的信息共享和分析中心以及信息共享与分析组织,以促进网络信息和最佳实践的共享。其他信息,参见此链接
  • NIST网络安全框架根据现有标准、指南和实践为组织提供非强制性指导,以更合理地管理网络安全问题,降低网络安全风险,修补漏洞。
  • CISA关键基础设施网络社区自愿计划旨在帮助关键基础设施所有者和运营者使用网络安全框架管理网络风险时对齐现有资源,同时提供针对具体行业的指导和实践。

针对韧性基础设施系统涉及的共同利益,可在行动计划中加入请求其他公私营实体支持实施的内容。识别和评估社区以及关键基础设施所有者和运营者的资源和能力后,社区可确定韧性实施方案的优先级。

下图列举了确定方案优先级时应考虑的一些最常见的现有资源和能力类型。

可用资源:

能力评估表样例

该表格用以评估社区的现有资源和能力,可根据社区需要进行修改。

该表要求规划小组列举出所有现有的相关计划和政策,方便在韧性过程中进行监督。能力有以下几类:监管、管理/技术、财政和公用事业。表格的最后几页要求规划小组参与者基于之前的表格评估自己的能力,并提出一系列其他问题来辅助评估过程。

具体资源,参见基础设施韧性规划资源

5.4 选择要实施的韧性方案

在制定了韧性方案清单并确定了能力后,社区应重点确定哪些公私营实体需要采取行动来实现目标。

通过评估和优先级排序,可以权衡不同韧性方案的利弊。第一步是制定评估韧性方案清单的评估标准。标准应涵盖基础设施的关键性、脆弱性和威胁/隐患发生的可能性,以及满足社区目标和绩效指标的能力。

韧性方案评估的其他考虑因素包括:

  • 社区和关键基础设施所有者和运营者的规划和运营要求(例如综合/总体规划、应急行动计划、业务连续性计划、检查和维护计划等)
  • 资金限制,包括运营和维护
  • 合作机会
  • 相关政治优先事项
  • 社区关注点
  • 经济影响

其他评估标准,参见FEMA的《本地隐患整治规划手册》。无论何种评估标准,使用时都应得到规划参与者/利益相关者的同意。

可用资源:

缓解备选方案评估问题

这组问题可用于支持引导式讨论,定性分析增强韧性的备选方案。

具体资源,参见基础设施韧性规划资源

对方案的经济性评估:

NIST开发了经济决策指南软件(EDGe$),帮助社区评估韧性投资的经济影响(成本和收益)。

具体资源,参见基础设施韧性规划资源

效益成本分析(BCA)工具包:

FEMA提供效益成本分析(BCA)工具包,通过权衡项目的风险降低效益与总体项目成本来确定缓解项目的成本效益。

该工具包可从以下网址下载:

fema.gov/grants/guidance-tools/benefit-cost-analysis

方案评估标准:

FEMA2013年3月发布的《本地隐患整治规划手册》提出了以下评估标准供方案分析时使用:

  • 效益成本:与可能的收益相比,估计成本是否合理?
  • 社会:计划采取的行动是否会对一部分人口产生不利影响?这一行动是否会破坏现有社区、破坏投票区或导致低收入人群迁移?
  • 生命安全:该行动将如何有效地保护生命、防止伤害?
  • 财产保护:该行动能在多大程度上消除或减少对结构和基础设施的损害?
  • 技术:韧性方案在技术上是否可行?是否为长期方案?
  • 管理:社区是否具备实施和维护韧性方案的人员和管理能力?是否需要外部援助?
  • 政治:公众是否支持韧性方案?是否有政治意愿表示支持?
  • 法律:社区是否有权实施韧性方案?
  • 环境:韧性方案会对环境造成什么样的潜在影响?是否符合环境法规?
  • 本地支持者:当地部门和机构是否大力支持该行动或项目的实施?
  • 其他社区目标:该行动是否能够推进其他社区目标的实现,如设施改建、经济发展、环境质量或开放空间保护?是否支持综合计划政策?

5.5 制定实施策略

在评估了韧性方案并确定了优先级后,社区可以着手制定实施策略。实施策略要阐述社区如何实施和管理各韧性方案。实施计划应包含的要素简述如下:

  • 责任方:指派特定机构、部门或职位/人员实施韧性方案。
  • 合作方/伙伴机构/私营部门合作伙伴:  其他合作机构或合作方协助实施韧性方案。
  • 初步实施步骤:韧性方案的初步实施步骤说明。负责人/机构/部门和任何合作方/合作伙伴机构可就初步实施步骤提供意见。这些步骤在条件、情况、资源等发生变化时,可以根据需要进行修改。
  • 预计时间线:韧性方案实施时间表。时间表可以详细说明韧性方案何时开始启动以及何时应全面实施。
  • 实施所需资源:所需资源包括资金、技术援助、人员和材料。
  • 实施的潜在障碍和可能的解决办法:描述实施过程中存在的潜在障碍以及克服这些障碍的可能解决办法。

可用资源:韧性方案策略表

韧性方案策略表是一个样例,可用于来填写各韧性方案的实施策略元素。

具体资源,参见基础设施韧性规划资源

六、实施及评效

本节介绍了社区如何利用现有社区规划机制以及潜在的资金和技术援助来源按照优先级实施韧性方案。

可用资源:

IRPF计划集成

本文档介绍了IRPF可与哪些社区规划工作/流程集成。

具体资源,参见基础设施韧性规划资源

6.1 通过现有规划实施

从长远来看,成功降低威胁和隐患风险的一个最好办法是按照优先级将韧性方案纳入现有的社区计划、政策和项目。

规划参与者和其他社区利益相关者应调查社区的运营、优先事项和现有规划机制,了解韧性项目和策略的集成方法和切入点。可集成韧性方案的现有计划和项目包括:

  • 设施改建计划
  • 综合/总体规划
  • 经济发展计划
  • 应急通信计划
  • 应急行动计划
  • FEMA隐患整治计划
  • FEMA威胁和隐患识别及风险评估(THIRA)
  • 增长管理计划
  • 住房计划
  • 土地利用计划
  • 长期恢复计划
  • 社区特有的其他计划
  • 灾前恢复计划
  • 特殊/区域开发计划
  • 运输计划
  • 流域管理计划

6.1.1 实施所需的潜在资金和技术援助来源

社区可以通过多种方式为实施所选的韧性方案提供资金。来源包括传统的基础设施机制(如税收、费用和债券)、联邦/州政府机构的拨款、慈善组织的捐赠等。

在各级政府资源有限的情况下,社区还应考虑建立公私伙伴关系,发展创新的融资机制。这些机制为基础设施的发展带来了额外资源,通过分散风险来提高效率。

联邦和SLTT政府的各个部门和机构以及非营利组织和专业组织也可以提供技术援助。技术援助是指提供专业技术,协助社区设计和开发基础设施项目,在其中加入增强韧性的最佳实践。

6.2 监控及评效

社区的所有计划都应包含维护程序,以监控和评估韧性方案在实现社区目标方面的有效性。衡量绩效为后续修改方案和计划提供了基础。

可以通过演习来评估行动计划和韧性方案的有效性。社区和关键基础设施利益相关者可使用CISA桌面演习包(CTEP)开发、实施计划和程序演习。

可用资源:

基础设施韧性资金计划和机制目录

《基础设施韧性资金计划和机制目录》列示了潜在的资金和技术援助来源并附有链接。

具体资源,参见基础设施韧性规划资源

除本目录外,FEMA隐患整治援助资金页面提供了FEMA补助金的更多详细信息。

评估计划时的主要考虑因素:

  • 威胁或隐患的性质或程度是否发生了变化?
  • 是否存在影响社区的新威胁或隐患?
  • 制定的目标和方案是否解决了当前和预期的风险状况?
  • 韧性方案是否已实施和完成?
  • 方案的实施是否产生了预期结果?
  • 目前资源是否足够支持方案的实施?
  • 实施方案还需要哪些资源?
  • 哪些因素促成了解决方案的成功实施?
  • 实施过程中遇到了哪些障碍?如何克服这些障碍?

6.2.1 制定韧性方案监控和评效框架

社区应制定框架,用以监控、评估规划工作的有效性。规划者至少应确定:

  • 责任方:谁或哪个机构负责监控实施情况?谁或哪个机构协调监控和评估过程?
  • 时间表:何时评估韧性规划和实施工作?
  • 流程:用什么流程或方法监控和评估计划?使用什么标准来评估韧性方案的有效性?

更新计划的主要事由:

  • 社区发展的变化,如最近或潜在的新发展或人口变化,这些变化会影响基础设施需求;
  • 发生了重大事件/灾难;
  • 可能影响基础设施系统开发或维护/运营的运营资源(政策、人员、设施、设备或组织结构)发生了变化;
  • 基础设施系统开发、维护和运营指南或标准发生了变更;
  • 政治优先事项发生了变化,影响了对实施社区基础设施韧性方案的支持;
  • 对各种风险的接受度发生了变化或基础设施系统发生了重大破坏事件。

6.3 更新计划

社区应有计划更新流程。社区监控、评估其规划活动的有效性时,要反馈计划的完成度、遇到的障碍和可供未来参考的经验教训。社区应考虑谁或什么机构来领导和协调计划更新以及如何和何时启动更新。

在灾难事件发生后或在制定恢复或灾后重建计划时,可以加快更新进度。这样,社区才能应对灾难事件发生后的脆弱性、优先事项和目标上的变化。灾难发生后,会有额外的资金来源,社区能够利用这些资金实施韧性方案。灾难事件会加深公众对韧性的认识,提高对韧性的兴趣,社区应利用这个机会,将基础设施韧性纳入更多的社区规划工作和策略。

全部资源

概述

IRPF与联邦规划和风险管理流程对齐

格式:矩阵

类型:PDF

页数:2

简介:通过矩阵展示了基础设施韧性规划框架与现有的各种联邦风险和/或韧性规划流程和指南的一致性及互补性。

[查看PDF]

 

区域基础设施韧性评估方法

格式:文档

类型:PDF

页数:118

简介:CISA的《地区韧性评估计划》(RRAP)已实施十年有余,《地区基础设施韧性评估方法》从中吸取经验教训,用经过前者验证的通用流程来评估和解决复杂的基础设施韧性问题。

[查看PDF]

 

第1步:基础工作

数据收集资源列表样例

格式:表格

类型:带有嵌套表格的PDF文档

页数:2

简介:概要介绍了可供参考的资源,按资源所有者/创建者排序。创建者包括地方/县/地区机构、关键基础设施所有者/运营者、州机构、联邦机构。规划人员在使用IRPF识别之前相关工作时可用到该表。

[查看PDF]

 

现有社区计划之比较

格式:指南

类型:在线PDF

页数:142

简介:韧性计划集成记分卡是国土安全部(DHS)科技局通过其德克萨斯州农工大学沿海韧性卓越中心合作伙伴开发的一种计划评估方法。各社区可使用记分卡评估和协调自己的各种计划(例如运输、经济发展、隐患整治、应急管理等),这样有助于保证策略的一致性,共同减少隐患风险。

[资源链接]

 

计划参与者联系信息表

格式:模板(数据表)

类型:PDF文档

页数:2

简介:规划官员可使用该表格记录规划小组参与者的联系信息(包括接口人、电话号码、电子邮件等)。这些利益相关者按机构/部门类型排序。

[查看PDF]

 

利益相关者邀请函

格式:模板(信函)

类型:PDF文档

页数:1

简介:此邀请函样例为项目推动人和/或规划团队负责人提供了示例内容,用于邀请和鼓励利益相关者参与规划过程。可以直接使用本样例的全部内容,也可以根据拟邀请利益相关者的类型选取合适的内容。

[查看PDF]

 

目标样例

格式:模板(列表)

类型:PDF文档

页数:2

简介:该模板列出了更多目标,用以引导基础设施韧性讨论。

[查看PDF]

 

第2步:识别关键基础设施

基础设施资产矩阵:建议的数据字段

格式:表格

类型:带有嵌套表格的PDF文档

页数:3

简介:该表为关键基础设施资产评估中的关键数据收集提供了建议字段。数据字段包括相关联系信息、所有者姓名、纬度/经度、类型、状态等。

[查看PDF]

 

基础设施依赖性基础指南

格式:网站

类型:在线网站

页数:-

简介:基础设施依赖性基础指南作为IRPF的补充,提供在线教育,旨在回答规划者和决策者可能遇到的基本问题,包括:

  • 何为基础设施依赖性?为什么需要关注?
  • 何为韧性?它与依赖性有何关系,如何进行韧性规划?
  • 有何资源可以用于减少依赖风险,增强社区韧性?

这一网络资源可公开访问,用户可以根据自己的兴趣和需求加以利用。该指南不要求用户接受过相关培训或具有相关知识。

[资源链接]

 

基础设施识别数据集

格式:文档

类型:PDF文档

页数:7

简介:该资源基于国土基础设施基础级数据(HIFLD)。文件按类别提供了各种数据集(通信、能源、交通、水、其他、危险)。

[查看PDF]

 

依赖关系识别表

格式:工作表

类型:可填写的PDF表格

页数:7

简介:本工作表要求规划参与者逐一确定每个基础设施资产对以下基础设施的潜在依赖性:能源、天然气、通信、运输、水、废水、网络和关键产品。

[查看PDF]

社区系统依赖性讨论指南

格式:指南

类型:PDF文档

页数:2

简介:规划团队、其他参与者或利益相关者群体可参考本指南讨论依赖性。该指南提出了一系列问题用以引发讨论,最终发现关键社区功能和/或设施对基础设施系统的依赖性。

[查看PDF]

 

系统所有者/运营者依赖性访谈指南

格式:指南

类型:PDF文档

页数: 1

简介:本指南包含一系列问题,对关键基础设施系统的所有者和/或运营者进行单独访谈时可加以参考。这些问题可用于识别和了解系统的依赖性和以及破坏性事件发生期间提供服务的能力。

[查看PDF]

 

会议便利化指南

格式:指南

类型:PDF文档

页数:2

简介:本指南为召集规划会议提供指导,参会者可以此为参考识别社区功能、设施、基础设施系统以及对社区韧性最为关键的相互依赖性。

[查看PDF]

 

 

第3步:评估风险

隐患信息和分析资源

格式:带有外部链接的表格

类型:带有嵌套表格的PDF文档

页数:4

简介:提供隐患信息和分析资源(包括单一隐患和多重隐患数据以及建模和分析工具)的外部链接,包括国家海洋和大气管理局(NOAA)、美国地质调查局(USGS)、国家跨部门火灾管理中心(NIFC)等联邦项目的链接。

[查看PDF]

 

干旱与基础设施:规划指南

格式:指南

页数: 10

简介:本指南由CISA与国家抗旱合作组织(NDRP)共同制定,概括介绍了旱灾及其对基础设施系统可能产生的直接和间接影响,列举了用以评估和缓解干旱风险的联邦资源。

[VIEW PDF]

 

风险评估方法

格式:指南

类型:带有图片和外部链接的PDF文档

页数: 6

简介:概要介绍了NIST CRPG风险分析过程,提供了风险分析可用的外部资源链接,包括:

[VIEW PDF]

 

第4步:制定行动计划

韧性方案数据源

格式:带有外部链接的表格

类型:带有嵌套表格的PDF文  

页数:9

简介:按灾难类型列举了韧性方案来源并提供了外部链接。每一链接有个简要说明。

[查看PDF]

 

能力评估表样例

格式:工作表

类型:可填写的PDF表格

页数:6

简介:该表要求规划小组列举出所有现有的相关计划和政策,方便在韧性过程中进行监督。能力有以下几类:监管、管理/技术、财政和公用事业。

表格的最后几页要求规划小组参与者基于之前的表格评估自己的能力,并提出一系列其他问题来辅助评估过程。

[查看PDF]

 

缓解备选方案评估指南

格式:指南

类型:PDF文档

页数:1

简介:提供了一系列问题,以支持引导式讨论,定性分析增强韧性的备选方案。

[查看PDF]

 

NIST经济决策指南软件(EDGE$)

格式:软件

类型:在线软件

页数:-

简介:NIST开发了经济决策指南软件(EDGe$),用于评估投资的经济影响。可参考该资源计算和比较与新资本投资相关的当前和未来的韧性成本和收益。有关EDGe$资源,可访问edges.nist.gov

[资源链接]

 

韧性方案策略表

格式:工作表

类型:可填写的PDF表格

页数:3

简介:社区可使用此示例工作表填写每个韧性方案的实施策略。

[查看PDF]

 

第5步:实施及评效

计划集成

格式:表格

类型:带有嵌套表格的PDF文档

页数:3

简介:本文档介绍了IRPF可与哪些社区规划工作/流程集成。一般性建议。

[查看PDF]

 

基础设施韧性资金计划和机制目录

格式:指南

类型:PDF文档

页数:40

简介:IRPF提供了可用资金和资源目录文档,介绍了可助力社区实现规划的资金机会和技术援助。

[查看PDF]

 

术语表

关键术语

术语 定义
社区 同属一个地区或共享基础设施走廊的一个或多个地方管辖区或特区。
后果 事件、事故或意外带来的影响,通常从四个方面进行衡量:人、经济、使命和心理。
关键基础设施 对地区或国家至关重要的资产、系统和网络(无论有形还是虚拟),一旦无法正常运转或被破坏,将会削弱安全保障、经济及/或国家公共卫生或安全。
关键性 衡量与基础设施损失或性能下降相关的重要性。
信息基础设施 电子信息和通信系统及服务。
依赖性 基础设施系统内部和基础设施系统之间的依赖关系,是系统保持运行或提供服务的必要因素。依赖性具有双向性。
评估 评估规划在实现既定目标和绩效指标方面的有效性。
引导人 负责召集利益相关者并引导会议讨论以制定行动计划和承诺的个人或实体。引导人可以同时兼任规划团队负责人。
大目标 概述了期望的最终状态,即社区通过实施关键基础设施韧性方案来实现的目标。
人为危险 可能破坏或利用社区基础设施的犯罪或恐怖袭击,如爆炸、生物、网络或化学制剂。
缓解 通过减少灾害影响来减少生命和财产损失的必要能力。
监控 按照优先级跟踪韧性方案的实施情况。
自然灾害 可能破坏社区基础设施或使其无法运转的天气和地质事件,如洪水、飓风、龙卷风或地震。

 

 

术语 定义
小目标 为实现大目标而设置的可衡量的具体目标。
物理基础设施 为提供服务的社区或地区提供各种基础设施服务的有形结构或设施和组件。
规划框架 社区制定策略或优先行动清单时需要遵循的步骤,目的是增强关键基础设施的安全性和韧性。
规划小组 社区内来自不同部门、机构和组织的个人团体,他们推动韧性规划过程,并倾情参与整个过程。
规划团队负责人 参与并推动整个基础设施韧性规划过程的关键人员,对当地威胁、隐患和基础设施具备工作所需的必要知识和理解。可能同时兼任“引导人”这一角色。
韧性 应对和适应不断变化的条件、抵御破坏并迅速从中恢复的能力;包括抵御蓄意攻击、事故或自然威胁或事件并从中恢复的能力。
风险 产生不利结果(取决于威胁、脆弱性和后果)的事故、事件或意外发生的可能性,通常用于衡量和比较未来的不同情况。
风险评估 判断社区基础设施系统所面临的威胁和隐患类型并衡社区基础设施的脆弱性。
利益相关者 交付、依赖基础设施服务或设施的运营、计划或决策或受其影响的一方或实体。
技术隐患 可能破坏社区基础设施或使其无法运转的意外的人类活动,如水坝和防洪堤建设或危险材料的制造、运输、储存和使用。
威胁 可能对生命、信息、运营和/或财产造成危险的任何实体、行动或事件,无论是自然还是人为。
脆弱性 设计、位置、安全态势和/或运行具有某些特征,会置实体、资产、系统、网络或地理区域于被破坏、摧毁或利用的风险下。

 

缩略词

缩略词 定义
ASCE 美国土木工程师协会
CIP 设施改建计划
CISA 网络安全和基础设施安全局
CRPG 社区韧性规划指南
CTEP CISA桌面演习包
DDoS 分布式拒绝服务
DHS 国土安全部
DOE 能源部
DOT 交通部
DoS 拒绝服务
EDGe$ 经济决策指南软件
EPA 环境保护局
FEMA 联邦应急管理局
FIRM 洪水保险费率图
HUD 住房与城市发展
ICS-CERT 工业控制系统网络应急响应小组
IDR 基础设施开发与恢复
IRPF 基础设施韧性规划框架
IRVS 综合快速目视检查
IST 基础设施调查工具
LCAT 后勤能力评估工具
NIFC 国家跨部门火灾管理中心
NIPP 国家基础设施保护计划
NIST 国家标准与技术研究院
NOAA 国家海洋和大气管理局
PPD 总统政策令
PSA 安全保护顾问
SCADA 数据采集与监控系统
SHELDUS 空间灾害事件和损失数据库
SLTT 州、地方、部落和领地
SME 主题专家
SSA 部门对口机构
SSP 行业专属计划
THIRA 威胁和隐患识别及风险评估
US-CERT 美国计算机应急响应小组
USGS 美国地质调查局

 

关键基础设施部门

部门 部门对口机构(SSA)
化工 网络安全和基础设施安全局
商业设施 网络安全和基础设施安全局
通信 网络安全和基础设施安全局
关键制造业 网络安全和基础设施安全局
水坝 网络安全和基础设施安全局
国防工业基地 国防部
应急服务 网络安全和基础设施安全局
能源 能源部
金融服务 财政部
食品及农业 农业部和卫生与公众服务部
政府设施 总务署
医疗保健与公共卫生 卫生与公众服务部
信息技术 网络安全和基础设施安全局
核反应堆、材料和废物 网络安全和基础设施安全局
运输系统 交通部
水/废水系统 环境保护局

 

·   文章信息    ·   
发布机构:美国网络安全和基础设施安全局(CISA)发布时间:2022年11月22日
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author