2015年2月13日第13691号行政命令
促进私营部门网络安全信息共享根据美利坚合众国宪法和法律赋予我总统的权力,特此命令如下:
第一节。政策。为了解决对美国公共健康和安全、国家安全和经济安全的网络威胁,私营公司、非营利组织、执行部门和机构(机构),其他实体必须能够共享与网络安全风险和事件相关的信息,并进行协作,尽可能实时地做出响应。
从事与网络安全风险和事件相关的信息共享的组织在美国集体网络安全中发挥着一种宝贵的作用。该命令的目的是鼓励这些组织的自愿组建,建立不断改进这些组织的能力和职能的机制,并更好地允许这些组织自愿地与联邦政府合作。
等必须进行信息共享的方式保护个人隐私和公民自由,保护商业机密性,保障信息共享,并且保护政府的能力来检测,调查,预防和应对网络威胁公众健康和安全,国家安全和美国的经济安全。
该命令基于2013年2月12日(改善关键基础设施网络安全)的执行订单13636(改进关键基础设施网络安全),2013年2月12日的总统政策指令-21(PPD-21)(关键基础设施安全和恢复力)。
政策协调、指导、争议解决,以及本协议中描述和分配的职能和项目的定期中期审查,应通过2009年2月13日(国家安全委员会系统组织)的总统政策指令-l (PPD-l)或任何后续机构建立的跨部门流程提供。
秒。2.信息共享和分析组织。(a)国土安全部长(秘书)强烈鼓励开发和形成信息共享和分析组织(ISAOS)。
(b)国际标准化组织可根据部门、分部门、区域或任何其他亲和性组织,包括针对特定新出现的威胁或漏洞。国际标准化组织的成员可以来自公共部门或私营部门,也可以由公共部门和私营部门组织组成。isao可以作为盈利性或非盈利性实体组成。
(c)根据2002年《国土安全部法案》(“法案”)第226(b)条成立的国家网络安全与通信集成中心(NCCIC)应与ISAOs就共享与网络安全风险和事件相关的信息进行持续、协作和包容性协调,应对此类风险和事件,并加强符合法案第212和226条的信息安全系统。
(d)在促进成立国际安全合作组织时,部长应与负责开展网络安全活动的其他联邦实体协商,包括特定部门机构、独立监管机构以及国家安全和执法机构。
秒。3。ISAO标准组织。(a)部长与负责进行网络安全及相关活动的其他联邦实体协商后,应通过公开和竞争性的过程,与非政府组织签订协议,担任ISAO标准组织(SO),为根据本命令创建和运作的国际标准化组织确定一套共同的自愿标准或指导方针。这些标准应进一步实现与国际标准化组织(isao)以及在国际标准化组织(isao)之间建立与网络安全风险和事件相关的强有力的信息共享的目标,以在全国范围内建立更深入、更广泛的信息共享网络,并促进信息共享自动化机制的发展和采用。这些标准将解决该订单下的ISAOs应该拥有并能够演示的基线功能。这些标准应涉及但不限于合同协议、业务流程、操作程序、技术手段和隐私保护,如最小化ISAO操作和ISAO成员参与。
(b)被选中,因此必须展示从事与网络安全风险和事件(包括伊索斯)和从事信息分享提供资料分享的有关的信息的广泛组织社区参与和工作的能力。顾客。
(c)第3(a)条提及的协议应要求开放的公开审查和评论流程,以便制定上述标准,征求从事与网络安全风险相关的现有实体的现有实体的观点。关键基础设施,相关机构和其他公共和私营部门利益攸关方的事件,业主和运营商。
(d)秘书应支持这些标准的制定,并在进行本节规定的要求时,应咨询管理和预算办公室,国家标准和工商部的国家标准和技术研究所司法,信息安全监督办公室在国家档案馆和记录行政当局,国家情报,专门机构和其他感兴趣的联邦实体的办公室。所有标准应符合自愿国际标准,当此类国际标准推动本次订单的目标,并应符合1995年国家技术转让和进展法的要求(公法104-113),欧姆通行证A-119,修订后。
秒。4。关键基础设施保护计划。依照部分(a) 213年和214年(h)的关键基础设施信息Act of 2002),本人指定NCCIC作为关键基础设施保护计划,并委托权威与isao进入自愿协议以促进关键基础设施安全对网络安全。
(b)负责开展网络安全及相关活动以应对对公共健康和安全、国家安全和经济安全的威胁,并符合本命令目标的其他联邦实体可参加这些协定项下的活动。(c)国务卿将根据2010年8月18日第13549号行政命令(针对州、地方、部落和私营部门实体的机密国家安全信息项目),确定isao及其成员获得与自愿协议相关的任何必要设施或人员安全许可的资格。1993年1月6日第12829号行政命令(国家工业安全计划),经修订,包括本命令所修订的。
5秒。。保护隐私和公民自由。(a)各机构应与其高级机构官员协调根据本命令开展的隐私和公民自由活动,并确保在此类活动中纳入对隐私和公民自由的适当保护。此类保护应基于公平信息实践原则以及适用于各机构活动的其他隐私和公民自由政策、原则和框架。
隐私和公民自由(b)高级官员机构从事活动在这种秩序应当进行评估机构的活动,并提供这些评估美国国土安全部(DHS)首席隐私官和民事权利和公民自由国土安全部办公室审议和包容13636号行政命令要求的隐私和公民自由评估报告。
秒。6。国家工业安全计划。经修订的行政命令12829现进一步修订如下:
(a)第二段通过插入“2004年的情报改革和恐怖主义法案”,“在1947年的国家安全法案”之后,修改了第二段,修正了,“;
秒。7。定义。(b)秒。101(b)修订如下:“国家工业安全计划”应根据2009年12月29日或任何前身或继承人命令的执行订单和原子能行为规定保护信息1954, as amended (42 U.S.C. 2011 et seq.).'';
(c)第102(b)条修订,将第一段改为:“经与国家安全顾问磋商,根据2009年12月29日第13526号行政命令,信息安全监督办公室主任应负责实施和监控国家工业安全计划,并应:”;
(d)第102(c)节修订如下:根据《1954年原子能法案》(《美国法典》2011年第42章等),本命令的任何内容均不得被解释为取代能源部长或核管理委员会的权力。或权威的国家情报总监(或任何情报界元素)在2004年情报改革和防范恐怖主义法》,1947年的国家安全法案,修订,或行政命令12333年12月8日,1981年,修改,或国土安全部部长的权威,作为根据2010年8月18日第13549号行政命令(州、地方、部落和私营部门实体的国家安全机密信息项目)设立的国家安全机密信息项目的执行代理”;
(e)秒。201(a)修订如下:“国防部长,与所有受影响机构进行协商,并随着能源秘书,核监管委员会,国家情报署署长和家乡秘书的同意安全,应发布和维护国家工业安全计划操作手册(手册)。能源和核监管委员会秘书应按1954年“修订”(42 U.S.2011 et SEQ)的原子能法案所讨论的信息,这些手册涉及本手册的一部分。国家情报总监应开出并发出与情报来源和方法有关的手册,包括敏感的舱室信息。国土安全秘书应规定并发出与在指定的关键基础设施保护计划下共享的分类信息的手册中的一部分。'';
(f)完整删除第201(f)节;
(g)第201(e)条被重新指定为第201(f)条,并将“2009年12月29日第13526号行政命令或任何后续命令”替换为“1982年4月2日第12356号行政命令”;
(h)第201(d)条被重新指定为第201(e)条并修订,将“中央情报总监”改为“国家情报总监和国土安全部长”;
(i)在第201(c)条之后插入新的201(d)条,内容如下:“本手册还应规定必要的安排,以允许和实现在指定的关键基础设施保护计划下,向国土安全部部长确定的授权个人和组织安全共享机密信息。”
(j)秒。202(b)修订如下:“国家情报署署长留住智力资源和方法的权限,包括敏感的舱室信息。国家情报总监可以检查和监控承包商,被许可方和受让人的计划和设施,涉及获取此类信息或可以与国防部长,作为执行代理人或中央情报局署署长签订书面协议在总经理的情况下,在整个或部分地检查和监督这些方案或设施。“';
(k)秒。202(d)作为秒重新设计。202(e);和
(l)在秒。202在第(c)款以审议之后,将进展新的第(d)款(c),如下所示:``国土安全部长可确定资格,以获得承包商,持牌人,授权人及其各自雇员指定关键基础设施保护计划,包括与此类计划协议的缔约方;国土安全部长可以检查和监控承包商,被许可方和受让人计划和设施,或者可以与国防部长,作为执行代理人或中央情报局主任的书面协议,以检查和监控这些方案或全部或部分的设施,代表家乡安全部长。“
(一)“关键基础设施信息”含义见2002年《关键基础设施信息法》第212(3)条。
秒。8。一般规定。(a)本顺序中的任何内容不得解释为损害或影响:(b)“关键基础设施保护计划”的含义见2002年关键基础设施信息法案第212(4)条。
(c)“网络安全风险”含义见2002年《国土安全法》(经2014年《国家网络安全保护法》修订)第226(a)(1)条。
(d)“公平信息实践原则”指《网络空间可信身份国家战略》附录A中规定的八项原则。
(e)“事件”含义见2002年《国土安全法》(经2014年《国家网络安全保护法》修订)第226(a)(2)条。
(f)“信息共享和分析组织”的含义见2002年《关键基础设施信息法》第212(5)条。
(g)“部门特定机构”具有PPD-21或任何后续术语的含义。
(i)法律或行政命令授予某机构或其负责人的权力;或
(b)该命令应与适用法律一致,符合拨款的可用性。本次订单中的任何内容都不会被解释为改变或限制现行法律下的机构的任何权限或责任,包括与刑事和国家安全威胁的私营部门进行的这些活动。在此订单中没有任何内容被解释为提供一个机构,该机构在除了原子能机构根据现行法律下的权威之外或更大程度地提供关键基础设施的安全。(ii)管理和预算办公室主任关于预算、行政或立法提案的职能。
(c)根据本命令采取的所有行动均应符合保护情报和执法来源及方法的要求和当局。
(d)本命令不打算,也不创造任何一方针对美国、其部门、机构或实体、其官员、雇员或代理人或任何其他人可在法律或衡平法上强制执行的任何实质性或程序性权利或利益。
签名:巴拉克•奥巴马(Barack Obama)
白宫,2015年2月13日。