[行政命令]

PDF版本

2017年5月11日第13800号行政命令

加强联邦网络和关键基础设施的网络安全

根据美国宪法和法律赋予我总统的权力，为了保护美国的创新和价值观，特此命令如下:

第一节。联邦网络的网络安全。

(一)政策。行政部门代表美国人民经营其信息技术(IT)。它的信息技术和数据应该利用美国政府的所有能力负责任地加以保护。总统将使执行部门和机构的负责人(机构负责人)负责管理其企业的网络安全风险。此外，由于机构负责人做出的风险管理决策会影响到整个行政部门的风险，进而影响到国家安全，因此作为行政部门企业对网络安全风险进行管理也是美国的政策。

(b)发现。

(i)网络安全风险管理包含的全部活动进行保护和数据从未经授权的访问和其他网络威胁,维护网络威胁的认识,来检测异常事件影响和数据,并减轻的影响,应对,从事件中恢复过来。信息共享促进并支持所有这些活动。

(ii)行政部门已接受过时及难以为其辩护的意见太久。

(iii)有效的风险管理不只是保护现有的资讯科技和数据。它还需要计划，以便以协调的方式和适当的规律性进行维护、改进和现代化。

（iv）已知但未缓解的漏洞是执行部门和机构（机构）面临的最高网络安全风险之一。已知漏洞包括在供应商的支持生命周期之外使用操作系统或硬件、拒绝实施供应商的安全修补程序或未能执行特定于安全的配置指南。

（v） 有效的风险管理要求机构负责人领导由具有IT、安全、预算、收购、法律、隐私和人力资源方面专业知识的高级管理人员组成的综合团队。

(c)风险管理。

（i） 总统将追究机构负责人的责任，以实施与未经授权访问、使用、披露、破坏、修改或销毁信息技术和数据所造成的危害的风险和程度相称的风险管理措施。根据《美国法典》第44编第二分章第35章，他们还将由总统负责确保网络安全风险管理流程与战略、运营和预算规划流程相一致。

（ii）立即生效，各机构负责人应使用国家标准与技术研究所制定的《改善关键基础设施网络安全框架》（框架）或任何后续文件来管理机构的网络安全风险。各机构负责人应在本命令发布之日起90天内向国土安全部部长和管理和预算办公室（OMB）主任提交一份风险管理报告。风险管理报告应：

(A)记录各机构负责人自该命令发出之日起作出的风险缓解和接受选择，包括:
（1） 决定这些选择的战略、运营和预算因素；和

(2)任何可接受的风险，包括来自未减轻的漏洞的风险;和

（B） 描述机构实施该框架的行动计划。

根据《美利坚合众国法典》第44篇第35章第二分章，国土安全部长和行政管理和预算局局长，应联合评估每个机构的风险管理报告，以确定报告中所列的风险缓解和接受选择是否适当和足以在总体上管理行政分支企业的网络安全风险(该确定)。ReportsReports

（iv）OMB主任应与国土安全部部长协调，在商务部部长和总务署署长的适当支持下，在收到本节第（c）（ii）小节中概述的机构风险管理报告后60天内，向总统提交，通过总统国土安全和反恐助理，以下内容：ReportsReports

(一)确定;和

（B） 计划：

（1） 充分保护执行部门企业，应确定不足之处；

（2） 解决管理执行部门企业风险所需的未满足的预算需求；

(3)建立一个定期的程序，重新评估，并在适当时重新发布决定，并处理未来为管理行政部门企业的风险所必需的、经常未满足的预算需求;

(4)澄清,调和,补发,是必要的,在某种程度上法律允许的情况下,所有的政策、标准、和准则出具任何机构促成35章,分章标题的第二44岁的美国代码,,必要时,在某种程度上法律允许的情况下,问题的政策,标准,和指导方针促成这个订单;和

(5)使这些政策、标准和指导方针与框架保持一致。

(v)本节(c)(ii)小节中描述的机构风险管理报告以及本节(ReportsReportsc)(iii)和(iv)小节中描述的决定和计划可酌情全部或部分分类。

（vi）立即生效，行政部门的政策是建立和维护一个现代化、安全且更具弹性的行政部门it架构。

(A)机构负责人应在法律允许的范围内优先采购共享IT服务，包括电子邮件、云计算和网络安全服务。

(B)美国技术委员会主任应协调国土安全部长、管理预算局局长和总务署长向总统提交的一份关于联邦IT现代化的报告，并酌情与商务部长协商。报告应当:

(1)在本订单签署之日起90天内完成;和

（2） 描述与将所有机构或机构子集过渡到以下方面相关的法律、政策和预算考虑，以及技术可行性和成本效益，包括时间表和里程碑：

（aa）一个或多个整合网络架构；和

(bb)共享IT服务，包括电子邮件、云计算和网络安全服务。

（C） 本节第（C）（vi）（B）小节中所述的报告应评估所有机构或机构子集过渡到网络安全共享IT服务的影响，包括提出建议以确保与《国土安全法》（6 U.S.C.148）第227节保持一致以及遵守根据《美国法典》第44编第3553节发布的政策和惯例。所有机构负责人应提供有关其当前IT架构和计划的信息，以便按时完成本报告。

(vii)对于《美国法典》第44篇第3552(b)(6)条中定义的任何国家安全系统，国防部长和国家情报总监，而非国土安全部长和行政管理和预算局局长，应在最大可行和适当的范围内执行该命令。国防部长和国家情报总监应当提供一份报告,总统国家安全事务助理和副总统国土安全及反恐描述分段(c)的实施本节之日起150天内。本款所述的报告应包括任何偏离(c)款要求的理由，并可酌情进行全部或部分分类。

秒。2.关键基础设施的网络安全。

(一)政策。行政部门的政策是酌情利用其权限和能力支持国家关键基础设施(如美国法典第42卷第5195c(e)节所定义)(关键基础设施实体)的所有者和运营商的网络安全风险管理工作。

(b)支持面临最大风险的关键基础设施。国土安全部长与国防部长、司法部长、国家情报总监、联邦调查局局长以及相关部门的负责人协调，根据2月12日的总统政策指令21，2013年(关键基础设施安全与弹性)(部门特定机构)，以及所有其他由国土安全部长确定的适当机构负责人，应:

(i)确定各机构可用于支持根据2013年2月12日第13636号行政命令(改善关键基础设施网络安全)第9节确定的关键基础设施实体的网络安全工作的权限和能力，面临可能对公共健康或安全、经济安全或国家安全造成灾难性地区或国家影响的最大攻击风险(第9条实体);

（ii）与第9节实体接洽，并酌情征求意见，以评估根据本节第（b）（i）小节确定的权限和能力是否以及如何用于支持网络安全风险管理工作和任何障碍；

(iii)在本命令下达之日起180天内，通过总统的国土安全和反恐助理向总统提供一份报告，该报告可酌情全部或部分保密，包括以下内容:

(A)根据本节第(b)(i)款确定的权限和能力;

（B） 根据本节第（B）（ii）小节要求的聘用和决定结果；和

(C)关于更好地支持第9条实体的网络安全风险管理工作的调查结果和建议;和

(iv)其后每年向总统提供最新报告。

(c)支持市场的透明度。国土安全部长应与商务部长协调，通过国土安全和反恐事务总统助理向总统提交报告，，审查现有联邦政策和做法的充要性，以促进关键基础设施实体的网络安全风险管理实践的适当市场透明度，重点是公开交易的关键基础设施实体，在本命令生效之日起90天内。

(d)抵御僵尸网络和其他自动化、分布式威胁的弹性。商务部长和国土安全部部长应当共同领导一个开放和透明的过程识别和促进适当的利益相关者采取行动改善网络和通信系统的弹性,并鼓励合作显著降低威胁犯下自动化的目标以及分布式攻击(如僵尸网络)。商务部长和国土安全部部长和国防部长商量,总检察长,美国联邦调查局(Federal Bureau of Investigation)的负责人,负责人的专业机构,联邦通信委员会的主席和联邦贸易委员会(Federal Trade Commission),其他感兴趣的机构负责人,和适当的利益相关者执行本小节。在此命令下达之日起240天内，商务部长和国土安全部部长应就这一努力向公众公布初步报告。在本命令发布之日起一年内，各秘书应向总统提交本报告的最终版本。

（e） 评估电力中断事件响应能力。能源部长和国土安全部长应与国家情报局局长、州、地方、部落和领土政府以及其他相关部门协商，共同评估：

(i)针对美国电力分部门的2016年7月26日总统政策指令41(美国网络事件协调)中定义的与重大网络事件相关的长期停电的潜在范围和持续时间;

美国是否准备好处理这一事件的后果;和

(iii)减轻此类事件后果所需的资产或能力的任何缺口或缺陷。

应在本命令发布之日起90天内，通过总统国土安全和反恐助理向总统提供评估，并可酌情对评估进行全部或部分分类。

（f） 国防部作战能力和工业基地。在本命令发布之日起90天内，国防部长、国土安全部长和联邦调查局局长应与国家情报局局长协调，向总统提交报告，通过总统国家安全事务助理和总统国土安全和反恐事务助理，了解国防工业基地（包括其供应链）以及美国军事平台、系统、网络和能力所面临的网络安全风险，以及减轻这些风险的建议。报告可根据情况进行全部或部分分类。

秒。3。国家网络安全。

（a） 政策。为了确保互联网对子孙后代的价值，行政部门的政策是促进开放、互操作、可靠和安全的互联网，促进效率、创新、通信和经济繁荣，同时尊重隐私，防止干扰、欺诈和盗窃。此外，美国寻求支持在网络安全和相关领域熟练的劳动力的成长和维持，以此作为实现我们在网络空间中的目标的基础。

（b） 威慑和保护。在本命令发布之日起90天内，国务卿、财政部长、国防部长、司法部长、商务部长、国土安全部长和美国贸易代表与国家情报局局长协调，应通过总统国家安全事务助理和总统国土安全和反恐事务助理共同向总统提交一份报告，说明国家威慑对手和更好地保护美国人民免受网络威胁的战略选择。

（c） 国际合作。作为一个高度互联的国家，美国尤其依赖于全球安全和有弹性的互联网，必须与盟国和其他合作伙伴合作，以维持本节规定的政策。在本命令发布之日起45天内，国务卿、财政部长、国防部长、商务部长和国土安全部长与司法部长和联邦调查局局长协调，应向总统提交关于其国际网络安全优先事项的报告，包括关于调查、归属、网络威胁信息共享、应对、能力建设和合作的报告。在提交报告后90天内，国务卿应与本小节所列机构负责人和任何其他机构负责人（视情况而定）协调，通过总统国土安全和反恐助理向总统提交报告，记录网络安全国际合作的参与战略。ReportsReports

（d） 劳动力发展。为了确保美国保持长期的网络安全优势：

(我)商务部长和国土安全部部长,与国防部长协商,劳工部长、教育部长、办公室主任人员管理、和其他机构共同确定的商务部长和国土安全部部长,应当:
(A)联合评估教育和培训美国未来网络安全工作人员的范围和充分程度，包括从小学到高等教育的网络安全相关教育课程、培训和学徒计划;和

(B)之日起120天内这秩序,提供一个向总统报告,通过助理总统国土安全、反恐、发现和建议关于如何支持经济增长和维护国家网络安全的员工在公共和私营部门。

(ii)国家情报总监应与国家情报总监指定的其他机构负责人协商后:
(A)审查潜在外国网络同行的劳动力发展工作，以帮助确定可能影响美国长期网络安全竞争力的外国劳动力发展做法;和

（B） 在本命令发布之日起60天内，通过总统国土安全和反恐助理向总统提交一份关于根据本节第（d）（ii）（a）小节进行的审查结果的报告。

(iii)国防部长应与商务部长、国土安全部长和国家情报总监协调:
(A)评估美国为确保美国保持或增加其在国家安全相关网络能力方面的优势所作努力的范围和充分性;和

（B） 在本命令发布之日起150天内，通过总统国土安全和反恐助理向总统提交一份报告，报告中包含根据本节第（d）（iii）（a）小节进行的评估的结果和建议。

(iv)本款所述的ReportsReports报告可酌情全部或部分分类。

秒。4。定义。为本命令的目的:

（a） “适当利益相关者”一词是指选择参与商务部长和国土安全部长根据本命令第2（d）节建立的公开透明流程的任何非行政部门个人或实体。

(b)“信息技术”一词具有《美国法典》第40编第11101(6)节中“信息技术”一词的含义，并进一步包括监测和控制物理设备和过程的机构的硬件和软件系统。

（c） 术语“IT架构”指的是机构内部IT的集成和实施。

(d)“网络架构”一词是指能够或便利两个或多个IT资产之间通信的IT架构要素。

5秒。。一般规定。(a)本顺序中的任何内容不得解释为损害或影响:

（i） 法律授予执行部门或机构或其负责人的权力；或

(ii)管理及预算局局长有关预算、行政或立法建议的职能。

（b） 本命令的执行应符合适用法律，并视拨款情况而定。

(c)根据本命令采取的所有行动均应符合保护情报和执法来源及方法的要求和当局。本命令的任何内容均不得被解释为取代法律授权下为保护直接支持情报或执法行动的具体活动和协会的安全和完整而制定的措施。

（d） 本命令不旨在也不创造任何一方针对美国、其部门、机构或实体、其官员、雇员或代理人或任何其他人在法律或衡平法上可强制执行的任何实质性或程序性权利或利益。

签名:唐纳德·特朗普

白宫

2017年5月11日。