2024美国能源部网络安全战略

Cyb e rse curity Strate g y 2024年1月 公司nte nts的Tab le TableofContents.......................................................................................................................................................2Message从theDeputy秘书… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … 3Message从theChief信息官员.............................................................................................................4Message从the导演,网络安全,能源安全,and紧急情况Response..........................................5Message从theChief信息安全官员...............................................................................................6ExecutiveSummary....................................................................................................................................................7介绍… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … 9The威胁..............................................................................................................................................................9支持the能源Mission..............................................................................................................................9我们的Vision............................................................................................................................................................10我们的进近......................................................................................................................................................10引导原则… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … …11支柱1:理解the风险................................................................................................................................13支柱2:缓解风险............................................................................................................................................15支柱3:启用Mission弹性… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … …17支柱4:开发the网络劳动力.................................................................................................................19支柱5:保护Critical能源基础设施… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …21实施情况… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …23Conclusion...............................................................................................................................................................23 我为De p uty Se cre的职务 网络安全是本届政府的首要任务。2021年5月，总统拜登发布第14028号行政命令，改善国家的网络安全为网络安全现代化做出重大贡献通过保护联邦网络，改善信息共享来防御美国政府和私营部门之间的网络数据，加强我们应对安全事件的能力。 2021年7月，总统发布了《国家安全备忘录》关键基础设施控制系统的网络安全，加强了与关键基础设施所有者和运营商合作的重要性解决运行工业控制系统(ICS)的部门面临的网络威胁。 2023年3月，白宫发布了《国家网络安全战略》。 这强调了一种集体防御的方法，在这种方法中，美国将与盟国合作，合作伙伴推进我们的数字生态系统，提高其防御性、弹性和与美国的一致性值。 能源部（DOE）正在将网络安全挑战作为一项全企业的努力来应对，整合了我们的项目办公室和国家实验室的资产和能力。DOE网络安全战略不仅将注意力集中在保护DOE的联邦系统和资产上，而且也保护我们国家的关键能源基础设施。网络安全不仅仅是首席信息官办公室（OCIO）和网络安全，能源安全和紧急情况办公室响应（CESER），这对部门的日常运作和确保电力流动至关重要，石油和天然气遍布全国数百万美国人。这一战略试图使使命和整个部门的网络安全目标。这是如何将我们的优先事项转化为行动的关键路线图保护美国能源部和美国能源部门最宝贵的资产。网络安全是一项集体努力，需要重要的伙伴关系和协作。成功将需要持续的资源、精力、重点、坚持和实践。 担任DOE网络和信息技术（IT）/运营技术（OT）执行主席理事会，我有幸与IT和网络安全政策和技术领导者会面和合作整个部门推进整体网络安全方法。这个策略定义了几个具体的我们必须实现的目标，以确保我们集体网络安全努力的持续成功。这些措施包括识别我们的网络安全风险，减轻该风险，实现任务弹性，开发网络安全劳动力，并保护我们国家的关键能源基础设施。 网络安全是能源部每个人共同的责任，我相信，我们可以一起改变并加强DOE的企业网络安全态势和美国能源部门的态势，以实现我们的代表美国人民的多样化和重要的使命。 David M. Turk能源部副部长 我为Chie f Inform atio O ffice r 2023年3月的国家网络安全战略概述了网络安全植根于协作和问责制。国家战略中提到的优先事项，OCIO已经制定了这DOE网络安全战略，定义一种集成的方法来减少对部门的网络安全风险。此策略还概述了DOE如何将通过参与一系列高识别、阻止、检测和响应威胁的影响活动我们的关键资产。 DOE有一套独特的任务，跨越关键的行政优先事项包括能源和核安全，电网现代化，促进科学研究和发现，清理国家的环境遗产和应对气候变化。这一系列广泛的任务， 结合DOE的联邦结构，提出了独特的网络安全挑战，需要敏捷，基于风险的方法，以提高IT和OT系统的安全性，同时实现我们的任务。 DOE网络安全战略概述了一种方法，该方法将管理转型变革并实现在解决与日益复杂的网络威胁相关的挑战的同时取得预期成果景观。成功的实施将需要透明、包容和协作的治理跨部门要素(DE)、计划办公室、站点、工厂和国家实验室。展望未来，我们必须对网络安全采用“集体防御”方法，而不是不仅彼此合作，而且在联邦政府、私营部门以及与盟友和与世界各地的合作伙伴分享最佳实践并利用经验教训。 不幸的是，我们不必走远就能看到不良行为者对我们生活的影响-勒索软件对医疗保健设施、石油管道、铁路系统和其他关键基础设施的攻击；无数记录和个人信息被盗并用于犯罪目的-以及更多影响DOE的使命以及我们的日常生活。全球网络安全事件表明这项工作确实很重要。我们的IT和OT基础架构使我们在我们必须采取措施确保其防御性和弹性。 DOE的网络安全计划必须灵活，并适应新出现的事件和要求。写这篇文章，新的攻击正在发生，新的指导和要求正在从管理。DOE网络安全战略旨在帮助我们应对不断变化的威胁和我们今天面临并将在未来面临的脆弱性。 Ann Dunkin, P. E.首席信息官 我从可怕的cto r，Cyb e rse curity，Ene rg y Se curity，和 新 兴 研 究 世界越来越相互联系和数字化，美国能源部门也不例外。网络安全是必要的，拜登-哈里斯行政部门已经适当地优先发展和实施网络安全战略，这将推动我们的整体安全。美国能源部网络安全战略是一份统一的文件，定义了DOE如何在内部工作以保护我们自己的资产，信息和技术，以及我们将如何与能源部门合作保护和保护美国的关键能源基础设施。 我们面临的威胁是巨大的，它们正在演变。复杂的网络罪犯和团体对瞄准我们的能量非常感兴趣考虑到这一点，DOE可以发挥独特而重要的作用， 通过与公用事业和公司合作，引领整个行业