老化的联邦IT基础设施、老旧系统和软件的使用以及网络安全专业人员的缺乏为能源部完成任务带来了重大的网络安全和运营风险。《网络安全战略》代表了一种趋势:对于能源部的联邦IT基础设施及相关系统和服务,要从修复和维持转变为投资、升级换代以及执行人员发展计划。
网络安全战略实施规划(CSIP)(2018–2020财年)
介绍
老化的联邦IT基础设施、老旧系统和软件的使用以及网络安全专业人员的缺乏为能源部完成任务带来了重大的网络安全和运营风险。《网络安全战略》代表了一种趋势:对于能源部的联邦IT基础设施及相关系统和服务,要从修复和维持转变为投资、升级换代以及执行人员发展计划。《网络安全战略实施规划》(简称为“规划”)提供了运营蓝图作为《网络安全战略》的补充,基于广泛接受的风险管理概念,按照网络安全活动的原则、目标和任务,着力推进能源部的网络安全活动。该规划将根据能源部的预算编制和执行情况每年进行一次评审和更新。
概况
能源部的CIO代表部长主持该部门的网络安全项目。与国家能源部门有关的项目由网络安全、能源安全和应急响应办公室(CESER)管辖。
通过投资改善能源部的联邦IT基础设施将对能源部网络安全项目的功效产生相应影响。为此,副部长批准了一项针对联邦IT的《网络安全现代化计划》,该计划将在整个能源部范围内:
(1)改善能源部的网络安全状况;
(2)按需提供能力;培养IT企业能力,在商业/托管服务中配置和内置网络安全功能,同时为增强的网络安全工具、产品和功能提供基本要求;提高成本效益。
此外,通过CESER与行业合作,利用整个能源部的最高级人才(包括国家实验室),同时与联邦部门和机构合作,将强化能源部的网络安全措施;此外,通过采用通用培训平台、在整个行政部门部署工具(如持续诊断和缓解(CDM))、采用内部开发的创新解决方案满足能源部的独特要求,可以节约成本。
2018至2020财年的主要活动包括:
- 实施“网络安全现代化计划”项目;
- 与国土安全部合作,到2020年在能源部范围内广泛实施CDM计划;
- 将HVA计划与iJC3职能集成;
- 在能源部内广泛署尖端的网络安全产品和服务;
- 基于统一的分类标准,在能源部范围内共享网络安全信息。
网络安全拨款
与OCIO网络安全相关的计划和活动分属于《网络安全框架》中的三个预算项目:
- 保护—保护网络和信息
- 检测与响应—检测、分析和防护入侵
- 识别和恢复—塑造网络安全环境
此外,能源部已将此计划与附录C中的网络安全框架功能和组件类别进行了匹配。
IT项目管理办公室
要成功实施规划,以下几项必不可少:项目管理与网络安全项目办公室、专项资金、典型透明的治理、高素质的员工队伍以及持续评估和改进。OCIO建立了部门级的IT项目管理办公室(ePMO),为包括网络安全项目办公室在内的项目提供支持。ePMO将根据能源部的415.1号命令、信息技术计划管理等相关文件运作。
网络安全项目办公室
为了执行《网络安全战略》和规划,CIO重新调整了OCIO网络安全项目办公室(IM-30),以更好地与FISMA和NIST的网络安全框架对齐,利用行业最佳实践。IM-30负责协助CIO监督整个能源部的网络安全项目活动。有关IM-30的组织结构和详细功能,见附录E。
FITARA驱动的协作
部门级的IT采购以及IT预算必须遵守《联邦信息技术采购法案》(FITARA),由CIO批准,按照能源部命令以及《能源部2018财年采购指南》的39.3节实施。能源部的高级采购主管与CIO密切合作,确保能源部采购流程最大限度地减少行政负担,并集中跟踪和审批所有IT采购以减少重复采购并降低与IT采购相关的供应链风险。
同样,对能源部的IT和网络安全预算申请和拨款进行审查是OCIO与能源部首席财务官办公室(OCFO)的共同职责。IT投资组合从OCIO管理的电子资本规划和投资控制(eCPIC)工具中收集投资数据,作为能源部的IT预算记录数据。召集各机构的领域专家分析网络安全资金(网络安全分项),该项资金包含在能源部呈交总统的年度预算报告中。
OCIO将对流程进行清晰记录,确保一致性与透明度,以便有效使用资金,履行对能源部所负责任,管好纳税人的钱。值得注意的是,能源部已获OMB批准,根据新的《技术现代化资金》条款请求拨款,以整合该部门的众多电子邮件系统。
网络安全治理
CIO还要研究如何改进能源部的IT和网络安全治理结构和流程,首先要从副部长主持的网络委员会着手。此外,OCIO从《能源部205.1号命令:网络安全管理项目》开始,主导更新能源部的各项IT和网络安全命令。
人员聘用
CIO敏锐地意识到,招聘和留住世界一流的员工是执行规划的关键。因此,CIO除了要根据FITARA的授权审批能源部CIO或同类职位的人员聘用并参与相关绩效评估[注意:目前约13个职位],还要根据副部长要求对普通级别2210职位的所有招聘人员进行审批。CIO与首席人力资源官办公室合作,在能源部内行使直接雇用权,并着力提升能源部在薪酬和福利及培训资金方面的使用比例,以招聘、培养和留住顶尖的IT和网络安全人才。
总结
《网络安全战略实施规划》(见后续章节介绍)为期三年,每年都会重新评审,或根据网络委员会的要求增加评审频率,以适应不断变化的网络安全情况,及时响应不断发展的国家安全要求。
附录G中的指标计划列出了规划的具体内容,包括能源部的IT和网络安全战略目标、具体目标、预算项目和相关活动的操作细节。尤其要注意的是,该计划跨度两年,分别描述了各年的主要任务和活动,第一年代表当前预算年度2018财年,第二年为2019财年,包括已获拨款和尚未获得拨款的优先需求。