(行政命令)
2013年2月12日的执行订单13636
改善关键基础设施网络安全根据美利坚合众国宪法和法律赋予我总统的权力,特此命令如下:
第一节。政策.反复网络入侵到关键基础设施中表明需要改进的网络安全。对关键基础设施的网络威胁继续增长,代表我们必须面对的最严重的国家安全挑战之一。美国的国民和经济安全取决于国家在面对这种威胁面前的批判性基础设施的可靠运作。它是美国政策,加强全国关键基础设施的安全和恢复力,并维持网络环境,鼓励效率,创新和经济繁荣,同时促进安全,安全,商业机密性,隐私和公民自由。我们可以通过与关键基础设施的业主和运营商的合作伙伴关系来实现这些目标,以改善网络安全信息共享和协作发展和实施基于风险的标准。
秒。2。关键基础设施.关键基础设施,是秩序,这个词意味着系统和资产,无论是物理或虚拟,对美国至关重要的无能或破坏系统和资产将产生衰弱影响安全、国家经济安全、国家公共健康或安全或任何组合的问题。
秒。3。政策协调.对于本文描述和分配的功能和项目,政策协调、指导、争议解决和定期进行中的审查应通过2009年2月13日总统政策指示-1(国家安全委员会系统组织)或任何后续机构建立的跨部门程序提供。
秒。4.网络安全信息共享.(a)美国政府的政策是增加与美国私营部门实体共享的网络威胁信息的批量,及时性和质量,以便这些实体可以更好地保护和防御自己反对网络威胁。在本次订单日期的120天内,国土安全秘书(“秘书”)和国家情报局长的司法部长应每个发布与其当局一致的指示以及第12(C)第12(C)的要求of this order to ensure the timely production of unclassified reports of cyber threats to the U.S. homeland that identify a specific targeted entity. The instructions shall address the need to protect intelligence and law enforcement sources, methods, operations, and investigations.
(b)秘书和总检察长应与国家情报主任协调,建立一个程序,将根据本命令第4(a)条产生的报告迅速传播给目标实体。ReportsReports该过程还应符合保护国家安全信息的需要,包括向授权接收机密报告的关键基础设施实体传播机密报告。ReportsReports部长和司法部长应与国家情报总监协调,建立跟踪这些报告的制作、传播和处置的系统。ReportsReports
(c)协助所有者和运营商在保护其系统免受未经授权的访问,剥削或危害,秘书,秘书,与6 U.C.C.143年和与国防部长合作,应在本次订单日期的120天内,建立将增强的网络安全服务计划扩展到所有关键基础设施部门的程序。这项自愿信息共享计划将为政府提供分类的网络威胁和技术信息,以符合关键的基础设施公司或商业服务提供商,为关键基础设施提供安全服务。
(d)秘书作为在2010年8月18日的执行订单13549(国家,地方,部落和私营部门实体)的执行订单中创建的分类国家安全信息计划的执行代理人,应加快处理关键基础设施所有者和运营商雇用的适当人员的安全许可,优先考虑该命令第9节中确定的关键基础设施。
(e)为了使网络威胁信息与私营部门共享的网络威胁信息分享,秘书应暂时扩大利用将私营部门主管专家纳入联邦服务的方案。这些主题专家应提供有关对危认基础设施所有者和运营商最有用的信息,结构和类型的信息,以减少和减轻网络风险。
5秒。。隐私和公民自由保护.(a)机构应根据其高级机构官员为隐私和公民自由协调其活动,并确保将隐私和公民自由保护纳入此类活动。此类保护应基于公平信息实践原则和其他隐私和民权和公务员自由政策,原则和框架适用于每个机构的活动。
(b)首席隐私官员和国土安全部的民权和公民自由人员(DHS)应评估DHS按此顺序所要求的职能和方案的隐私和公民自由风险,并建议局长在公开的报告中最小化或减少此类风险,以在本订单之日期的1年内发布。在本次订单下从事活动的其他机构的高级机构隐私和公民自由官员应对其代理活动进行评估,并为DHS提供评估,以便在报告中审议和纳入该报告。该报告应每年审查并根据需要修订。如果有必要,该报告可能包含分类附件。评估应包括对公平信息实践原则和其他适用隐私和公民自由政策,原则和框架的活动的评估。机构应考虑报告的评估和建议,以便执行机构活动的隐私和公民自由保护。
(c)在制定本条第(b)款所需的报告时,首席隐私官员和DHS的民权和公民自由人员应与隐私和公民自由监督委员会磋商并与管理办公室协调预算(OMB)。
(d)私人实体根据本命令根据《联合法典》第6条第133条自愿提交的信息应在法律允许的最大范围内不被披露。
秒。6。咨询过程.秘书应制定协商进程,以协调对关键基础设施的网络安全的改进。作为协商进程的一部分,秘书应聘请并审议符合本次规定的事项的建议,以其符合此次裁定基础设施伙伴关系咨询委员会的事项;部门协调委员会;关键的基础设施所有者和运营商;特定部门的机构;其他相关机构;独立监管机构;国家,地方,领土和部落政府;大学; and outside experts.
秒。7。降低关键基础设施网络风险的基线框架.(a)商务部长应指示国家标准与技术研究所所长(下称“所长”)牵头制定一个框架,以降低关键基础设施的网络风险(下称“网络安全框架”)。网络安全框架应包括一套标准、方法、程序和流程,与应对网络风险的政策、业务和技术方法相一致。网络安全框架应尽可能充分地纳入自愿共识标准和行业最佳实践。网络安全框架应与自愿国际标准保持一致,前提是该国际标准将促进本订单的目标,并应符合经修订的《美国国家标准与技术协会法案》(15 U.S.C. 271 et seq.)的要求。1995年《国家技术转让和进步法》(公法104-113)和经修订的行政管理和预算局通告A-119。
(b)网络安全框架应提供优先、灵活、可重复、基于性能和具有成本效益的方法,包括信息安全措施和控制,以帮助关键基础设施的所有者和运营商识别、评估和管理网络风险。网络安全框架应侧重于确定适用于关键基础设施的跨部门安全标准和指南。网络安全框架还将确定未来应通过与特定部门和标准开发组织合作解决的改进领域。为实现技术创新并考虑组织差异,网络安全框架将提供技术中立的指导,使关键基础设施部门能够从符合标准、方法、程序的产品和服务的竞争市场中受益,以及处理网络风险的程序。网络安全框架应包括衡量实体在实施网络安全框架时的表现的指南。
(c)网络安全框架应包括识别和减轻网络安全框架和相关信息安全措施或控制商业机密性的影响的方法,并保护个人隐私和公民自由。
(d)在制定网络安全框架时,主任应聘请公开的公开审查和评论流程。董事还应咨询秘书,国家安全机构,专利特定机构等兴趣机构,包括关键基础设施的OMB,业主和经营者,以及通过本次订单第6条所设立的协商进程。国家情报局局长和其他有关机构的负责人应提供威胁和脆弱性信息和技术专长,以告知网络安全框架的发展。秘书应根据本次订单第9条下工作的网络安全框架提供绩效目标。
(e)在本命令发出之日起240天内,署长应公布网络安全框架的初步版本(“初步框架”)。在本命令生效之日起一年内,并在与局长根据本命令第8条进行协调以确保合适后,署长应公布网络安全框架的最终版本(“最终框架”)。
(f)与法定职责一致,董事将确保在必要时根据需要进行网络安全框架和相关指导,同时考虑技术变更,网络风险的变化,从事基础设施的所有者和运营商的业务反馈,实施的经验第8节,以及任何其他相关因素。
秒。8。自愿关键基础设施网络安全计划.(a)局长与部门专利机构协调,应建立一个自愿计划,以支持通过关键基础设施的所有者和运营商和任何其他感兴趣的实体(“计划”)的网络安全框架通过。
(b)特定行业机构应与部长和其他相关机构协商,与行业协调委员会协调,审查网络安全框架,并在必要时制定实施指南或补充材料,以应对特定行业风险和运营环境。
(c)专利部门的机构应通过秘书每年向总统报告,总统于本次订单第9条所通知的所有者和运营商正在参加该计划。
(d)秘书应协调一系列旨在促进参与该计划的激励措施。在本令日期的120天内,秘书和财政部和商业秘书各自应通过主席助理和经济事务总统主席助理分别向总统分开提出建议,这应包括分析此类激励措施的益处和相对有效性,以及奖励是否需要立法,或者可以在现有法律和当局提供该计划的参与者。
(e)在本命令下达之日起120天内,国防部长和总务署长应与国防部长和联邦收购管理委员会协商,向总统提出建议,通过总统的国土安全和反恐助理和总统的经济事务助理,探讨将安全标准纳入收购计划和合同管理的可行性、安全效益和相对优点。该报告应说明可采取哪些步骤来协调并使与网络安全相关的现有采购要求保持一致。
秒。9。以最大的风险确定关键基础设施.(a)本次订单日期150天内,秘书应采用基于风险的方法来确定临界基础设施,其中网络安全事件可以合理地导致灾难性的区域或国家对公共卫生或安全,经济安全或国家的影响。安全。在为此目的识别关键基础设施时,秘书应使用本次订单第6节规定的咨询程序,并借鉴部门特定机构的专业知识。秘书应适用于确定此类关键基础设施的一致,客观标准。秘书不得识别本节下的任何商业信息技术产品或消费者信息技术服务。秘书应每年审查并更新本节规定的关键基础设施清单,并通过主席助理和经济事务总统助理向总统提供此类名单。
(b)专利部门的机构和其他有关机构的负责人应向秘书提供本条下履行责任所需的信息。秘书应制定其他相关利益攸关方的进程,以提交信息,以协助制定本节第(a)款所需的标识。
(c)局长与专门的部门专利机构协调,应当保密地通知根据本节(a)款所确定的关键基础设施的所有者和运营商,以至于它们已被确定,并确保提供了已确定的所有者和运营商的基础决心。秘书应制定一项过程,通过该过程,通过该进程通过关键基础设施的所有者和运营商提交有关信息,并根据本条第(a)款提供重新审议。
10秒。。通过框架.(a)负责规范关键基础设施安全的机构应与DHS,OMB和国家安全人员进行咨询过程,以审查初步网络安全框架,并确定当前的网络安全监管要求是否足够给予当前和预测的风险。在进行这些决定方面,这些机构应考虑确定本次订单第9条所需的关键基础设施。在初步框架出版的90天内,这些机构应向总统提交一份报告,通过助理,主席,omin主任,omom主任和经济总裁助理,这些国家原子能机构是否有明确的权威,以便根据网络安全框架建立要求,以充分解决当前和预期的网络风险,以确认现有的当局以及所需的任何其他权力。
(b)如果当前的监管要求被认为是不够的,在最终框架公布后的90天内,本节(a)小节中确定的机构应按照1993年9月30日第12866号行政命令(监管规划与审查)提出优先、基于风险、有效和协调的行动,2011年1月18日第13563号行政命令(改善监管和监管审查)和2012年5月1日第13609号行政命令(促进国际监管合作)旨在降低网络风险。
(c)在出版最终框架后2年内,与2012年5月10日(识别和减少监管负担)的执行订单和执行令13610持符合条件,本条(a)款中确定的机构应协商关键基础设施的所有者和运营商,向OMB上的任何关键基础设施都有无效,冲突或过度繁琐的网络安全要求。本报告应描述各机构所作的努力,并提出进一步行动的建议,以尽量减少或消除这些要求。
(d)秘书应协调关于(a)款所确定的关于其网络安全劳动力和方案的款所确定的机构提供技术援助。
(e)鼓励有责任监管关键基础设施安全责任的独立监管机构与秘书,相关部门专利机构和其他受影响缔约方的协商进程进行磋商,以考虑对Cyber持股的关键基础设施进行减轻的优先行动他们的当局。
秒。11.定义.(一)“机构”系指美国《美国法典》第44条第3502(1)款规定的任何“机构”,但《美国法典》第44条第3502(5)款定义的被视为独立监管机构的机构除外。
(b)“关键基础设施伙伴关系咨询委员会”指国土安全部根据《U.S.C. 451》第6条设立的委员会,旨在促进联邦政府之间关键基础设施保护活动的有效互动和协调;私营部门;以及州、地方、领土和部落政府。
(c)“公平信息实践原则”系指《网络空间可信身份国家战略》附录A中列出的八项原则。
(d)“独立监管机构”的含义在44 U.S.C. 3502(5)中给出。
(e)“部门协调委员会”是指私营部门协调议会由国家基础设施保护计划或任何继任者建立的关键基础设施的特定部门的业主和运营商代表组成。
(f)“特定于部门的机构”具有鉴于2013年2月12日的总统政策指令 - 21(关键基础设施安全和恢复力)或任何继承者的含义。
12秒。。一般规定.(a)本命令的执行应符合适用的法律并视拨款情况而定。本命令中的任何内容均不得解释为,除现有法律规定的权限外,或在更大程度上向机构提供监管关键基础设施安全的权限。本命令的任何内容均不得解释为改变或限制现有法律下机构的任何权力或责任。
(b)此订单中的任何内容都不会被解释为损害或以其他方式影响与预算,行政或立法提案有关的董事的职务。
(c)根据该命令采取的所有行动应与保护情报和执法来源和方法的要求和当局一致。该命令中的任何内容都不会被解释为取代法律权威设立的措施,以保护直接支持情报和执法行动的具体活动和协会的安全和完整性。
(d)本命令的执行应符合美国的国际义务。
(e)该命令并非旨在,并没有创建任何针对美国,其部门,机构或实体,其军官,雇员的法律或股权的任何权利或福利,实质或程序,强制执行或者代理人或任何其他人。
签名:巴拉克•奥巴马(Barack Obama)
白宫,2013年2月12日。