关键基础设施包括对国家至关重要的物理和虚拟资产和系统，它们的失效或破坏将对国家安全、国家经济安全或国家公共卫生或安全产生破坏性影响。它是多样和复杂的，包括分布式网络、不同的组织结构、操作模型、相互依赖的系统和治理结构。

美国正处于对国家基础设施进行世代投资的过程中。这种投资和新技术的出现为未来的建设提供了机会。在21世纪，美国将依靠新的能源、新的运输方式以及日益相互联系和相互依存的经济。这项现代化工作将确保关键的基础设施提供强大和创新的经济，保护美国家庭，并在灾难发生之前增强我们的集体应变能力——为子孙后代创造一个有弹性的国家。

美国还面临着一个与民族国家行为体进行战略竞争的时代，这些行为体以美国的关键基础设施为目标，容忍或允许非国家行为体进行恶意行为。对手利用合法和非法手段攻击我们的关键基础设施。在发生危机或冲突的情况下，美国的对手也可能加大对关键基础设施的破坏力度，以削弱美国公众的意愿，危及美国军事力量的投射。气候变化的影响越来越大，包括自然灾害发生的频率和强度以及稀缺性的变化;供应链冲击;潜在的不稳定、冲突或大规模流离失所会给美国人赖以生活和做生意的资产和制度带来进一步的压力。

这份备忘录促进了我们国家的团结努力，以加强和维护安全、正常运作和有弹性的关键基础设施。

01政策原则及目标

美国的政策是加强其关键基础设施的安全性和弹性，并遵循以下原则：

1共同责任

保护关键基础设施是联邦、州、地方、部落和领土实体以及关键基础设施的公共或私人所有者和运营商(所有者和运营商)共同的责任。所有利益攸关方都有独特的作用，为全国的团结努力作出贡献。公私合作对这一努力至关重要。

2基于风险的方法

推进关键基础设施的安全性和弹性需要基于风险的方法。国家努力的优先次序必须以具体基础设施与国家安全(包括国防)、国家经济安全、国家公共卫生或安全以及联邦政府履行基本职能和服务的能力之间的关系为依据。风险评估必须考虑所有威胁和危害、可能性、脆弱性和后果，包括冲击和压力因素，以及关键基础设施部门内部和之间的依赖关系的范围和规模、即时和长期后果以及级联效应。业主和运营商在管理各自业务和资产的风险方面具有独特的优势，包括与其他实体和部门的相互依赖关系。

3最低要求

联邦、州、地方、部落和地区的监管和监督实体有责任优先考虑建立和实施风险管理的最低要求，包括那些处理特定部门和跨部门风险的要求。在适用的情况下，这些要求还应该利用现有的指导。在可行的情况下，监管框架应以风险和绩效为基础;根据现有的要求、标准和指导方针;减少不必要的重复;补充自愿公私合作;并可扩展和适应不断变化的风险环境。要求和执行最低弹性和安全要求，并提出建议，指导关键基础设施资产和系统预先和按设计建立弹性，应是联邦政府的主要责任。

4问责制

来自联邦、州、地方、部落、领土和私营部门实体以及独立第三方的强有力的问责制和执法机制是关键基础设施有效风险管理的重要组成部分。问责机制应不断发展，以跟上国家风险环境的步伐。

5信息交换

在联邦、州、地方、部落和地区实体之间适当共享及时、可采取行动的信息，其中可能包括相关的机密和非机密情报以及执法敏感信息;业主及经营者;以及其他相关利益相关者，对于有效的风险管理至关重要。联邦政府将支持一个强有力的信息共享环境和公私合作，以实现降低风险的行动和结果。

6专业知识和技术资源

联邦政府将利用所有相关联邦部门和机构的专业知识和技术资源，以成熟每个联邦领导的努力的能力和能力，在国家努力保护美国关键基础设施的保护下管理特定部门的风险。这项工作的主要目标是为业主和运营商创造一致的体验;州、地方、部落和地区政府；以及与联邦政府合作的其他重要利益攸关方。

7国际事务

认识到关键基础设施的全球互联性和相互依赖性，联邦政府将与国际伙伴密切合作，加强美国所依赖的国际关键基础设施的安全性和弹性。

8 政策的一致性

保护关键基础设施的努力将与互补的联邦政策和框架充分整合和协调，包括国内事件管理和国家准备;国家连续性，包括联邦任务复原力;以及反恐、反情报、网络安全和其他威胁、危害或特定部门的政策和框架。

02在美国努力下，美国的目标是:

1. 完善和明确联邦政府在关键基础设施安全、弹性和风险管理方面的角色和责任。
2. 根据风险确定关键基础设施的安全性和复原力并确定优先次序，并实施协调一致的国家方法来评估和管理特定部门和跨部门的风险。
3. 为关键基础设施的安全性和弹性建立最低要求和问责机制，包括通过一致和有效的监管框架。
4. 利用联邦政府协议，包括赠款、贷款和采购流程，要求或鼓励业主和运营商达到或超过最低安全性和弹性要求。
5. 加强和改进与关键基础设施威胁有关的情报收集和分析的质量。
6. 在联邦、州、地方、部落、领土、私营部门和国际合作伙伴之间，以尽可能低的分类级别，改进及时、可操作的情报和信息的实时共享，以促进减轻关键基础设施的风险。
7. 促进及时和具有成本效益的技术和解决方案投资，以减轻关键基础设施不断变化的威胁和危害带来的风险。

8. 通过与国际伙伴和盟友合作，建立态势感知和能力，促进业务协作，促进全球有效的基础设施风险管理，并制定和促进国际安全和复原力建议，加强关键基础设施的安全和复原力。

联邦部门和机构应以符合适用法律的方式实施本备忘录;总统指令;以及联邦法规，包括保护隐私、公民权利和公民自由的法规。

03角色和职责

联邦政府依靠联邦部门和机构的专门权力、能力和专业知识来确保有效的、全政府的努力来确保关键基础设施的安全。根据这一努力，国土安全部长将提供战略指导并协调联邦跨部门风险管理和恢复活动。部门风险管理机构(srma)应作为其指定的关键基础设施部门的日常联邦接口，并开展针对特定部门的风险管理和弹性活动。情报界(IC)和执法、监管以及其他联邦部门和机构也在提高关键基础设施的安全性和弹性方面发挥关键作用，包括应对可能影响关键基础设施的所有威胁和危害。

国土安全部(DHS)、srma和其他相关联邦部门和机构(包括执法部门和IC)之间的密切和持续协调，对于确保全国统一努力和实现本备忘录的目标至关重要。联邦政府还寻求鼓励和促成与业主和经营者的强有力合作;州、地方、部落和地区政府;国际合作伙伴;和其他实体。虽然国家的大多数关键基础设施由非联邦实体拥有和运营，这些实体主要负责个人资产的安全性和弹性，但政府和私营部门都有共同的责任和动力来降低关键基础设施的风险。

国土安全部长

国土安全部长应根据国家优先事项和特定部门或跨部门的风险评估和计划，根据法规要求，包括通过《国家基础设施风险管理计划》(national Plan)，协调国家努力，以增强美国关键基础设施的安全和弹性，并就此提供战略指导。国土安全部长应保持对新兴趋势、迫在眉睫的威胁、漏洞以及可能危及关键基础设施安全和恢复能力的事件后果的态势感知。国土安全部长应与srma和其他相关部门和机构协调，就指定的关键基础设施部门、分部门和srma的名单向总统提出建议，优先考虑国家安全和弹性工作的关键基础设施。

国土安全部长，通过网络安全和基础设施安全局(CISA)局长作为关键基础设施安全和弹性国家协调员(国家协调员)，应与srma及其他联邦部门和机构协调：

1. 与区域管理机构协调，履行其作用和责任，根据战略指导和国家计划实施国家优先事项，不断加强关键基础设施安全和复原力的统一方法;
2. 根据国家优先事项和国家韧性评估进展情况，并支持衡量和增强关键基础设施部门和伙伴关系实力的努力;
3. 识别和评估部门和跨部门风险，分析构成关键基础设施的资产和系统之间的依赖关系，并考虑与物理和网络威胁和漏洞相关的潜在部门和跨部门后果的关键相互依赖性，以支持关键基础设施风险管理和优先级排序;
4. 评估部门和SRMA指定，向总统提供建议;
5. 建议保护美国关键基础设施的措施;和
6. 确定与所有关键基础设施部门有效的公私合作所必需的安全和弹性功能。

提供专业知识以支持

在国家关键基础设施安全和复原力方面，CISA局长应与SRMAs和其他相关机构协调，并酌情:

1. 提供能力和资源，如网络安全专业知识、风险评估和其他服务，以支持srma和国家关键基础设施安全和弹性工作;
2. 为大规模的网络防御活动制定计划并实施综合行动，以减轻对全国关键基础设施的风险;
3. 与国际伙伴合作，加强全球关键基础设施的安全性和韧性;和
4. 向州、地方、部落和领土政府提供技术和业务援助、基于现有标准和指南的最佳做法以及能力发展;其他联邦实体;业主及经营者;国际合作伙伴加强关键基础设施的安全性和弹性。

国土安全部的其他活动

正如法规和总统政策所反映的那样，国土安全部长负责协调美国的联邦准备活动和响应行动，包括涉及关键基础设施影响的情况。国土安全部长是负责国内事件管理的主要联邦官员，根据现行联邦法律和政策，包括2003年2月28日第5号国土安全总统指令(国内事件管理)，国土安全部可以协调联邦政府资源，用于应对恐怖袭击、重大灾难或其他紧急情况，或根据总统的其他要求或指示。此外，国土安全部长通过联邦紧急事务管理局(FEMA)署长采取行动，通过尽量减少灾害的影响和保护国家免受各种危害，努力减少生命和财产损失。根据2016年7月26日第41号总统政策指令(美国网络事件协调)(PPD-41)，国土安全部通过CISA主任担任网络资产响应活动的领导联邦机构。此外，国土安全部长通过运输安全管理局局长和美国海岸警卫队司令，拥有广泛的权力来评估海上运输系统和其他运输方式的安全风险，制定安全措施和法规，并寻求或确保这些措施和法规得到遵守。

行业风险管理机构

每个关键基础设施部门都有独特的特征、运营模式和风险概况，这些都受益于具有机构知识、专业技能和跨部门建立关系的已确定的SRMA。srma有助于推动国家努力加强关键基础设施的安全性和复原力。根据srma的法定角色和职责，srma应与国土安全部(包括国家协调员)以及其他相关部门和机构协调，在各自的部门履行以下角色和职责:

1. 担任联邦政府协调委员会主席，负责确定部门具体活动的优先次序和协调工作，包括提供技术专门知识和援助;并参与跨界别协调委员会。通过定期和适当的外联和参与机制，继续与其部门的所有者和经营者进行协作和沟通，促进使用降低风险的办法，包括政府为州、地方、部落和领土政府提供的能力和服务;业主及经营者;和其他非联邦实体。

2. 根据其现有权限，就安全和弹性问题与各自行业的业主和运营商进行外展。

3. 指定负责任的高级官员——相当于助理国务卿或以上级别的官员——担任SRMA职能的协调员，并有能力将职责委托给各自机构内的其他高级领导人。指定人员将对所有SRMA角色和职责的实施和绩效负责。

4. 领导行业内的行业风险管理，并支持跨行业风险管理，包括建立和实施项目或倡议，以帮助业主和运营商以及州、地方、部落和地区政府识别、理解、规划和减轻各自行业系统、资产或服务的风险。这应包括建议针对特定行业的措施，以保护关键基础设施。

5. 识别、评估特定部门的风险并确定优先级，支持跨部门和国家风险评估工作。

6. 促进识别关键基础设施相关的劳动力需求和安全和弹性的优先事项。

7. 将确定的国家优先事项，包括国防关键基础设施(DCI)、气候变化和新兴技术，纳入部门风险管理责任。

8. 与业主和运营商协商，确定特定行业的信息和情报需求和优先事项，并酌情促进有关特定行业关键基础设施风险的信息和情报交换。

9. 在适当的情况下，与IC协调，直接与关键基础设施的业主和营办商分享和接收信息和情报。

10. 支持国内事件管理、应急准备和国家连续性，包括联邦任务弹性。

11. 在符合现行联邦法律和政策的情况下，包括在总统的要求或指示下，作为主要影响各自部门的某些国内事件的领导联邦机构。

12. 为行业的业主和运营商提供、支持或促进技术援助，以降低风险，并与这些业主和运营商合作，确定共同的优先事项，提高行业的安全性和弹性。

额外的联邦角色和责任

1. 联邦高级领导委员会(FSLC)应是基于共识的机构，负责协调本政策下联邦部门和机构的共同责任和活动并消除冲突，并将通过与国家安全委员会的接触获得信息。FSLC由中钢协主任和一名非中钢协问责高级官员共同担任主席，任期2年。联合主席应定期与各SRMA各自的问责高级官员就所有特定行业的活动进行协调，并定期向FSLC介绍跨部门倡议，包括分享这些倡议的最佳实践、数据和工具。FSLC应至少每年向SRMA通报SRMA工作的国家和跨部门指导和优先事项。区域管理机构应定期向FSLC提供其角色和职责执行情况以及FSLC指南和优先事项执行情况的最新信息。FSLC应制定共享的SRMA流程和原则。如果成员之间发生冲突，在安全保障会议上无法达成一致意见，将提交国家安全保障会议(nsc)解决。
2. 国务院应与其他联邦部门和机构协调，领导与外国政府、国际组织和国际合作伙伴的合作，以促进合作和能力建设，并加强国家所依赖的外国关键基础设施的安全性和弹性。
3. 国防部(DOD)应与国家协调员、IC和相关srma协调，领导评估特定部门DCI的风险并确定缓解措施的优先顺序。国防部应向国土安全部、相关srma和其他联邦部门和机构提供建议，以进一步推进这些工作，并支持部门和跨部门外展，以加强非国防部所属DCI的安全性和弹性。作为国防任务的一部分，国防部支持关键基础设施的防御。
4. 司法部(DOJ)，包括联邦调查局(FBI)，应领导关键基础设施的反恐和反情报执法活动。这些活动包括对涉及关键基础设施的恐怖主义威胁和事件进行刑事调查和行动响应，包括涉及大规模杀伤性武器、破坏和反情报威胁的事件，以及确定关键基础设施所有者和运营商的信息需求，以便为收集和分析提供信息。联邦调查局应酌情与国土安全部、srma及其他执法实体或联邦部门和机构进行协调。在发生涉及关键基础设施的重大网络事件时，司法部应通过联邦调查局和国家网络调查联合特遣部队履行其作为PPD-41项下协调威胁应对活动的联邦牵头机构的职责。
5. 商务部应履行其法定职责，领导标准的制定，并促进和支持指南、最佳实践、方法、程序和流程，以降低关键基础设施的网络安全风险。商务部应与国土安全部协商，并与其他联邦部门和机构以及私营部门、研究组织、学术组织或其他政府组织合作，以:(1)提高与网络系统相关的硬件和软件技术及相关工具的安全性;(2)改进物理基础设施和社会或经济系统的弹性标准、指南、最佳实践、工具、技术、测试和参考;(3)促进与关键基础设施相关的其他工作的发展，使工业产品、材料和服务能够及时提供，以满足国土安全要求。
6. 能源部(DOE)应履行其法定职责，酌情与相关联邦部门和机构协调，解决国家面临的短期、中期和长期能源挑战，包括涉及电力、石油、天然气、核材料和其他能源资源和服务的挑战。根据有关当局的规定，能源部领导美国能源部门的政策、准备、风险分析、技术援助、研究与开发、业务合作和应急响应活动。
7. IC由国家情报总监(DNI)领导，应与国土安全部和SRMAs协调，以确定关键基础设施所有者和运营商的情报需求。IC应向国家协调员和srma提供有关关键基础设施威胁的情报，并酌情就与关键基础设施有关的情报和其他敏感或专有信息进行协调。在发生涉及关键基础设施的重大网络事件时，DNI应通过网络威胁情报整合中心主任履行其作为PPD-41项下情报支持及相关活动的联邦牵头机构的职责。
8. 作为国家安全系统(NSS)的国家经理，国家安全局局长应评估国家安全系统的整体安全态势，传播有关国家安全系统面临的威胁和漏洞的信息，并指导针对国家安全系统所需的网络安全相关改进行动。由联邦实体拥有、经营、管理或使用的NSS不受本备忘录要求的约束。此外，用于保障国家安全的信息安全政策、指令、标准和指南应在总统或适用法律的指示下进行监督，并应根据该指示在运营或行使该等国家安全的机构负责人的授权下实施。
9. 总务管理局(GSA)在与国防部、国土安全部及其他部门和机构协商后，应就关键基础设施资产和系统提供或支持政府范围内的合同，并应确保该等合同包括对关键基础设施的安全性和弹性的适当审计权，包括关键基础设施使能技术的网络安全。
10. 核管理委员会应监督持牌人对商用核反应堆及用于研究、试验及训练之非动力核反应堆之保护;医疗、工业和学术环境中的核材料，以及制造核燃料的设施;以及核材料和核废料的运输、储存和处置。核管理委员会应酌情与国土安全部、司法部、能源部、联邦调查局、联邦应急管理局和其他联邦部门和机构合作，加强关键基础设施的安全和恢复能力。
11. 联邦通信委员会将在法律允许的范围内，与国土安全部和其他联邦部门和机构协调:(1)通过收集有关通信网络的信息，确定通信基础设施并确定其优先级;(2)评估通信部门的风险，并通过酌情要求受监管实体采取具体行动来保护通信网络和基础设施，努力降低这些风险;(3)与通信行业成员、外国政府、国际组织和其他利益相关者合作，确定最佳做法并实施相应的法规。
12. 根据适用的法律和政策，联邦各部门和机构应及时与国土安全部交换必要的数据和信息，以评估和管理关键基础设施的风险，并与联邦调查局交换必要的数据和信息，以协助相关的执法活动。
13. 根据适用的法律和政策，拥有监管机构的联邦部门和机构应利用监管，酌情借鉴现有的自愿共识标准，为关键基础设施的安全性和弹性建立最低要求和有效问责机制。各部门和机构应通过参与联邦机构间工作组，如独立和行政部门监管机构网络安全论坛，尽最大可能协调这些努力。各部门和机构应继续支持制定自愿性共识标准，使关键基础设施创新能够以安全和有弹性的方式进行，并考虑到风险的影响和影响。
14. 联邦部门和机构负责人负责有关各自内部关键基础设施和支持任务基本功能的相关基础设施的识别、优先排序、评估、补救和安全的活动。支持主要任务基本功能的基础设施应在所有适用的行政命令、国家连续性政策、战略和指令的要求的计划和执行中予以解决。
15. 根据适用法律和政策，联邦部门和机构，无论是否被指定为SRMA，均应利用现有权限促进关键基础设施的安全性和弹性，包括但不限于:
16. 将安全和弹性整合到与关键基础设施相关的联邦采购计划中。
17. 利用赠款、贷款和其他联邦政府资金机制，确保在获得联邦资金的关键基础设施相关项目中纳入最低安全性和弹性要求以及有效的问责机制，在必要时，管理部门或机构决定降低风险。如果适用法律限制了联邦部门和机构通过协议制定最低要求的能力，他们应在提供联邦资金的同时，就适当的安全和弹性措施提供指导和建议。

18. 跨部门机构，如美国外国投资委员会和联邦收购安全委员会，通过审查外国投资交易，在保护和确保关键基础设施方面发挥着具体作用，并应利用现有权力，分别解决外国投资活动、供应链可靠性和非法获取敏感信息对关键基础设施构成的风险。

04风险管理

联邦政府，包括srma，应采用基于风险的共同方法来降低关键基础设施的风险。关键基础设施风险可以根据威胁或危害、脆弱性和后果进行评估。出于本工作的目的，术语“风险”是指由其可能性和后果决定的不希望的结果的潜在可能性。风险管理工作应基于这一共享定义进行优先级排序，这需要识别部门内部和跨部门的资产和系统的重要性。

资产层面的风险

关键基础设施所有者和运营商负有主要责任，并且处于独特的位置，以管理其运营和资产的大多数风险。联邦政府的政策应支持和指导拥有、运营或以其他方式控制关键基础设施资产和系统的实体，并酌情向这些实体提供信息、情报分析和其他支持，以管理和减轻资产级风险。

国家重大风险

有效的风险管理需要联邦政府在可行的范围内与业主和运营商协调，识别、评估、优先考虑、减轻和监测可能对国家安全(包括国防和政府的连续性)、国家经济安全或公共健康或安全产生潜在破坏性影响的风险。这些具有国家重大意义的风险可能在特定部门内部产生并影响到特定部门，也可能跨越多个部门。联邦部门和机构有责任根据法令、法规和本备忘录中列举的角色和职责，通过整个政府的努力，识别和减轻国家层面的风险。这项工作应由国土安全部与srma协调领导，并得到其他联邦部门和机构的支持，这些部门和机构具有必要的专业知识、资源和监管机构，以支持或指导风险缓解活动。联邦部门和机构应利用所有可用的资源、能力和权力——包括监管机构——确保业主和运营商实施风险缓解措施，限制国家层面的风险。此项工作应由国家协调员酌情与国家安全委员会工作人员和国家网络主任协商后进行协调。

行业风险

引起国家关注的某些风险对于某一特定部门内的实体来说是共同的。srma负责日常的优先排序和协调工作，以减轻每个部门的风险，作为包括国家协调员在内的国土安全部协调的更广泛的整体政府努力的一部分，以确保美国关键基础设施的安全。联邦政府将支持业主和运营商管理单个资产和系统的行业风险。

系统性和跨行业风险

由于数字化和电气化等现代经济趋势，关键基础设施日益相互依存和相互联系。由于联邦政府对国家基础设施现代化的历史性投资，这些趋势将在未来十年加速。因此，单个部门的风险可能会迅速蔓延到其他部门，因此需要采取协调行动来了解和减轻风险。

国家协调员应积极管理系统性和跨部门风险，与srma、联邦部门和机构以及行业合作，识别、分析、优先考虑和管理涉及多个部门的最重大风险。为了识别和管理跨行业风险，srma应定期向国家协调人提供各自行业内单个资产和系统的可用数据。国家协调员应汇总和分析这些数据，以改进跨部门和国家风险的识别、优先排序和缓解工作，并应向区域管理机构提供这种分析，以帮助管理特定部门的风险。

最低安全性和弹性要求

有效的风险管理将需要在关键基础设施部门内部和部门之间，尽可能根据已建立的基于共识的标准，始终如一地采用最低安全性和弹性要求。在过去十年中，加强关键基础设施安全和恢复能力的自愿方法有意义地降低了风险，但必须做更多的工作来确保国家关键基础设施的安全和抵御所有威胁和危害的能力。联邦政府必须专注于增加对关键基础设施面临的行业、国家和跨部门风险的要求。

国土安全部，包括国家协调员，srma，以及适当的监管机构，应协调制定跨部门和特定部门的指导，绩效目标和指标，以及符合其权限的要求，以充分降低风险。srma应酌情与监管机构协调，在符合其权限的情况下，根据需要为每个部门制定针对特定行业的最低安全性和弹性要求，并制定利用现有权限或其他工具有效实施这些要求的计划。srma应根据2021年7月28日第5号《国家安全备忘录》(改善关键基础设施控制系统的网络安全)支持制定特定部门的绩效目标。

国家协调员应审查拟议的特定部门的安全和弹性指导、绩效目标和要求与srma协调，并与监管机构协商，以促进这些指令和建议在国家和跨部门层面的协调。国家协调员还应为这些要求和建议的制定提供投入，以确保它们能够解决跨部门和国家层面的风险，同时将自愿性标准和强制性要求整合到总体风险管理计划中，并帮助防止跨部门颁布相互冲突的指令或要求。根据《国家网络安全战略》，国家网络主任应与管理和预算办公室主任协调，领导本届政府就安全和弹性要求协调网络安全监管的工作，本备忘录中概述的部分工作是其中的重要组成部分。

业务合作

为了进一步降低国家的风险，联邦政府必须提高与那些有手段和能力采取行动减轻脆弱性、应对事件和大规模建立复原力的合作伙伴直接合作的能力。这将补充个体业主和运营商降低风险的努力。联邦政府将与私营部门合作伙伴合作;州、地方、部落和地区政府;社区组织;国际合作伙伴可以采取行动，为美国和其他国家的业主和运营商提供弹性和安全效益。

05国家基础设施风险管理计划

国土安全部长应每两年定期制定并向总统提交一份《国家基础设施风险管理计划》(以下简称《国家计划》)，该计划应以以下内容为依据:(1)针对个别行业的风险评估和风险管理计划;(2)跨部门风险评估。

行业的组件

各SRMA应根据国土安全部部长提供的战略方向，或根据另一份《国家安全备忘录》的规定，制定特定行业的风险评估和特定行业的风险管理计划。

• 特定行业风险评估:除非另一份《国家安全备忘录》另有规定，各SRMA应每两年一次，在与其行业协调委员会协商后，确定其部门面临的最重大关键基础设施风险，包括关键跨行业风险和相互依赖关系。该审查应基于适当的联邦、州、地方、部落和地区政府层面的数据和分析、执法行动和指导，以及相关私营部门合作伙伴、监管机构、情报分析师和执法专业人员提供的信息。风险评估应使用所有可用的信息和情报来识别当前威胁环境对覆盖部门内关键基础设施带来的风险。
• 特定行业风险管理计划:各SRMA应在与其行业协调委员会协商后，每两年制定或更新特定行业风险管理计划，以利用各自的SRMA工具和权限以及其他联邦工具和权限，保护其部门的关键基础设施免受所有威胁和危害。该计划将考虑国家层面的优先事项和国土安全部部长的指导，以及关键基础设施风险环境的其他变化和该部门当前风险管理方法中的任何缺陷。特定行业的计划还应优先考虑特定风险，并建立相应的影响资源决策的努力线，以减轻关键基础设施的风险。该计划旨在根据特定部门的风险评估对威胁进行优先排序。这些努力应包括:
• 建议任何必要的当局确保联邦政府能够激励和迫使业主和运营商充分解决所有威胁和危害的行业层面风险，包括:
• 根据国家和跨部门的安全和弹性要求，确定、协调或制定与各自部门的权限一致的建议的特定部门最低安全和弹性要求，并制定使用现有工具和权限在整个部门实施这些要求的计划。srma应与相关监管机构协调，在向总统提交国家计划的同时，制定促进实施这些最低要求的法规。如现有授权不足，srma应与管理和预算办公室、国家安全委员会以及(如该等授权与网络安全有关)国家网络主任办公室协调，制定提案向国会申请新的授权。
• SRMA计划在未来两年内采取的优先努力方向，以减轻其部门关键基础设施的风险，包括:努力与执法部门合作;州、地方、部落和地区政府;以及其他国内或国际合作伙伴。

• 一项利用技术创新保持领先发展趋势的计划，包括与相关联邦实验室协调研究和开发。

• 描述每个部门的信息共享策略。

• 一套客观的成功衡量标准，跟踪部门和部门内关键资产或系统的整体安全性和弹性。

• 对于第二个两年期国家计划及其后的每一个两年期计划，评估前两年在执行前一个特定部门风险管理计划方面取得的进展。

以前由法规或行政行动指导的部门风险评估将在实际情况下与本备忘录中概述的部门特定风险评估相结合。这种集成改进了跨部门的安全性和弹性规划。国家协调员和srma将协调以同步风险报告的报告周期，以提高效率和减少重复工作。特定行业风险评估的政府特定部分也应与GSA共享。

跨行业风险评估

国家协调员应与区域管理机构协调制定跨部门风险评估，并与区域管理机构分享评估结果。

• 跨部门风险评估应确定美国关键基础设施面临的最重大的跨部门风险。该审查应基于联邦和州一级的数据和分析、执法行动和指导，以及与相关私营部门合作伙伴、SRMA员工、监管机构、情报分析师和执法专业人员的访谈。跨部门风险评估应利用所有可用的信息和情报，识别当前威胁环境对关键基础设施构成的风险，重点关注跨部门风险。这种跨部门风险评估将识别跨部门的风险，包括多个部门依赖相同的材料或技术的风险，以及如果没有跨部门的理解，可能难以识别或评估的跨部门级联后果的风险。

国家基础设施风险管理计划

国土安全部长应根据特定部门风险评估和风险管理计划以及跨部门风险评估，通过总统助理和国土安全顾问制定并向总统提交国家计划，以指导联邦政府减轻关键基础设施面临的跨部门和其他国家风险。

• 本前瞻性国家计划应确定途径，利用所有可用的联邦工具、资源和权力来限制国家层面的风险，包括跨关键基础设施部门的风险。国家计划还应优先考虑具体的跨部门风险，重点关注关键基础设施面临的新出现的威胁，并应确定创新方法，以限制这些新出现的威胁带来的风险，特别是针对日益相互依存和相互联系的资产和系统的风险缓解战略。本文件应是联邦政府减轻和管理跨部门风险的综合计划——确定和资助合理的减轻行动和跨部门投资，并不断为机构间决策者确定现有联邦工具或权力在应对迅速变化的威胁和危害情况方面的差距和局限性。国家计划还应包括：

• 拟议的基于特定部门和跨部门风险评估的长期缓解活动，以纳入设计复原力方法，增强关键基础设施防备、适应和从新出现的威胁和危害带来的不断变化的条件中恢复的能力。

• 确定、协调和制定建议的国家和跨部门最低安全和弹性要求，以减轻部门特定要求未涵盖的跨部门风险，并制定利用现有工具和权力实施这些要求的计划。如现有授权不足以满足上述最低要求，国家协调员应制定提案，与其他相关联邦部门和机构、管理和预算办公室、国家安全委员会以及(如该等授权与网络安全有关)国家网络主任办公室协调，向国会申请新的授权。

• 根据srma和其他相关联邦部门和机构的投入，协调所有部门的最低安全和弹性要求的计划。国家协调员应与监管机构、srma和其他适当的联邦部门和机构协调，领导这项所有危害的工作。国家网络主任将与管理和预算办公室主任协调，继续领导本届政府协调网络安全监管的工作。

• 由srma或国家协调员领导的试点工作建议，以限制跨部门依赖技术，能源生产或特定部门创新的新趋势或新兴趋势所带来的风险，这些趋势可能增加关键基础设施的攻击面。

如果特定部门战略和特定部门计划与国土安全部部长发布的战略指导不一致，国土安全部应与srma协调解决任何分歧，并在必要时将分歧提交给国家安全委员会工作人员。

具有系统重要性的实体

国家协调员应定期确定拥有、运营或以其他方式控制关键基础设施的组织，这些基础设施的破坏或故障可能对国家安全(包括国防和政府的连续性)、国家经济安全或国家公共卫生或安全造成全国性的重大和连锁负面影响。该系统重要实体(SIE)清单应根据srma和其他联邦部门和机构根据各自特定行业风险评估、跨行业风险评估和其他相关关键基础设施数据(包括srma提交的纳入SIE清单的特定组织)的输入来告知。本SIE清单应与srma协调制定，并酌情与其他相关联邦部门和机构以及其他非联邦实体协商。这份名单不会向公众公布。

该清单应为联邦活动的优先次序提供信息，包括向非联邦实体提供减轻风险信息和其他业务资源。根据本备忘录制定的SIE清单，以及该清单的任何更新，将满足国土安全部长制定2013年2月12日第13636号行政命令(改善关键基础设施网络安全)第9节所述清单的要求。在适当的情况下，监管机构将在实施足够的风险管理要求时考虑此清单。

工作范围

各部门和机构认识到关键基础设施通常是全球互联的，并应酌情考虑与美国以外的资产、系统和网络的依赖关系和相互依赖关系，作为部门风险管理流程的一部分。各部门和机构还应与私营部门合作伙伴合作;州、地方、部落和地区实体;外国政府;国际合作伙伴;以及其他能够采取行动，为美国和全球关键基础设施所有者和运营商提供弹性和安全效益的实体。这项工作应包括支持部门协调委员会，包括州、地方、部落和领土政府协调委员会。这些理事会应该具有包容性，包括业主和经营者、他们的行业协会和其他行业代表。

06情报共享和信息交换

关键基础设施风险管理要求拥有或运营基础设施的人了解人为或自然灾害造成的各种威胁，包括有关这些威胁或灾害的可操作和及时的情报和信息。为对美国关键基础设施建立全面、综合的威胁图景，国家情报总监应与国土安全部(包括国家协调员、srma和相关部门和机构)协商，领导IC工作，以便:

1. 使用适用的工具和权限从情报报告、数据和评估中收集、集成、分析和共享信息，以了解和识别关键基础设施面临的威胁。这应包括优先发布情报报告，并在符合保护来源和方法的前提下，以尽可能低的分类级别对此类威胁进行分析，例如通过大力使用热线，并与SRMAs协调，以可访问、可用和可共享的格式传播情报报告，供州、地方、部落和领土政府以及所有者和运营商使用。

2. 根据2022年7月12日第12号国家安全备忘录(总统的情报优先事项)或任何后续文件，以及相关的国家情报优先框架(NIPF)，利用国土安全部和SRMA优先情报要求，告知与关键基础设施威胁相关的收集和情报评估。

3. 协调国土安全部，SRMAs和其他相关联邦部门和机构;州、地方、部落和地区政府;私营部门加强利益相关者和IC对关键基础设施面临的相关威胁的理解，并酌情将行业风险观点纳入IC分析。

4. 生成、接收、整合和共享信息，包括来自情报评估和警告的信息，使联邦部门或机构领导层能够考虑最广泛的选择，以减轻风险或应对威胁，包括协调平衡国家利益、利益相关者权益和权力。

5. 酌情与监管机构共享有关关键基础设施威胁的信息，以确保他们了解此类威胁，并与保护来源、方法和调查相一致。

6. 在与国土安全部和司法部的协调下，国家情报总监应建立一个流程，以确保当情报机构意识到对美国关键基础设施的具体和可信威胁时，情报机构应尽可能及时通知适当的联邦机构，包括FBI、CISA和相关的srma。该过程的实施应符合对来源和方法的保护;调查;1981年12月4日第12333号行政命令(美国情报活动);13636号行政命令;适用的IC指令(包括ICD-191);联邦调查局及其各部门的主管部门，以及国土安全部，包括《美国法典》第6卷和第50卷。从IC收到此类信息的联邦机构应在最大可能范围内，以符合适用机构权限和调查权益的方式，及时向目标实体传达威胁警告。

7. 包括IC在内的所有部门和机构应酌情与本备忘录指定的国家协调员和srma协调，与srma各自部门内的实体进行外展，以告知部门和跨部门风险管理并传达威胁警告。对关键基础设施的威胁的收集和分析应由总统的情报优先事项框架提供信息，并通过NIPF进一步确定优先顺序和协调。

   CISA还应促进并共享信息和分析，以支持联邦、州、地方、部落、领土和私营部门实体针对关键基础设施的所有威胁和危害采取行动，包括作为联邦民用接口，实现信息的多向和跨部门共享，特别是与网络威胁指标、防御措施和网络安全风险相关的信息。管理机构还应直接从各自行业的船东和经营者处分享和接收信息。与由行业所有者和经营者、行业协会和其他行业代表组成的自组织和自治理事会(通常称为行业协调理事会)共享信息或情报，应通过或与行业各自的SRMA协调共享。

   各部门和机构应遵守所有相关的法律和政策程序，并使用所有适当的法律和政策机制来保护专有和敏感的商业和商业信息，以及敏感的情报来源、方法和活动。

指定关键基建界别及营运管理机构

该备忘录确定了16个关键基础设施部门，并指定了相关的srma。在某些情况下，指定联合SRMA，其中多个部门共享SRMA的角色和责任。国土安全部长应定期评估关键基础设施部门的变更需求并批准变更，并应根据法规并与总统助理和国土安全顾问协商后，向总统提出建议。各界别及最低管理标准如下:

化工：

部门风险管理机构:国土安全部

商业设施:

部门风险管理机构:国土安全部

通讯:

部门风险管理机构:国土安全部

关键的制造:

部门风险管理机构:国土安全部

大坝:

部门风险管理机构:国土安全部

国防工业基地:

部门风险管理机构:国防部

应急服务:

部门风险管理机构:国土安全部

能源:

部门风险管理机构:美国能源部

金融服务:

部门风险管理机构:财政部

粮食和农业:

共同部门风险管理机构:农业部和卫生与公众服务部(HHS)

政府服务和设施:共同部门风险管理机构:国土安全部和总务管理局

医疗保健和公共卫生:

部门风险管理机构:卫生与公众服务部

信息技术:

部门风险管理机构:国土安全部

核反应堆、材料和废物:部门风险管理机构:国土安全部

交通系统:

共同部门风险管理机构:国土安全部和交通部

水和废水系统;部门风险管理机构;环境保护局

本备忘录的实施

除非现有国家安全备忘录或行政命令另有指示:

1. 在本备忘录签署之日起30天内，SRMA应确定一名高级领导人，作为每个部门的部门利益相关者的主要代表和SRMA职能的日常协调员。
2. 自本备忘录发布之日起45天内，国土安全部长应发布战略指导，提供国家层面的优先事项和srma在制定其特定部门风险评估和特定部门风险管理计划时应使用的格式。
3. 在本备忘录发布之日起180天内，区域管理机构应与国家协调员协调，制定计划，以执行每个区域管理机构所需的作用和责任，以确保工作的连续性和政策和资源需求的协调。该计划应详细说明已确定的高级领导人将如何拥有足够的专业知识、支持能力和获取资源，以始终如一地执行SRMA的角色和责任。计划应包括潜在的托管选项;对当前结构的评估;国土安全部、srma和IC之间的详细安排;以及其他潜在的成熟度模型。国家协调员，srma和其他联邦部门和机构也应酌情通过谅解备忘录建立人员交流，以发展主题专业知识，机构间熟悉度和日常交叉授粉。
4. 在本备忘录签署之日起一年内，国土安全部应通过CISA正式设立或指定一个国家协调员办公室，作为整个联邦政府srma的单一协调点。该办公室应区别于执行SRMA职能的CISA各部门，并应与SRMA合作履行国家协调员的职责，包括管理与气候变化和DCI等重大跨部门风险领域相关的跨部门评估、指导、建议和其他优先事项的制作。它还应管理识别和支持系统重要性实体的过程。该办公室还应支持srma履行本备忘录中概述的角色和职责，酌情利用国土安全部的资源和权力帮助执行已确定的活动并实现部门级绩效目标。在切实可行的情况下，方案管理机构将考虑在有限的时间内将特定部门的专家派往该办事处，以加强全国的统一努力。另一种办法是，国家协调员将考虑派遣代表参加srma。
5. 各SRMA应在本备忘录发布之日起270天内，并在每年2月1日前，通过其部长或机构负责人，根据国土安全部制定的指导意见，定期向国土安全部长提交其特定行业的风险管理计划。该计划应参考作为附件的特定行业风险评估。每个SRMA应对最初270天的可交付成果进行初步的针对特定行业的临时风险评估，之后每两年进行一次更完整、更有力的风险评估。对于第一个特定部门的风险评估和风险管理计划周期，将在本备忘录发布之日起180天内向国家协调员提供特定部门的风险评估草案，以便为第一次跨部门风险评估提供信息。
6. 国土安全部长应在本备忘录签署之日起一年内，并在此后每两年的经常性基础上，于每年的6月30日前，向总统、总统助理和国土安全顾问提交国家计划，供其批准。本计划应以行业风险评估和跨行业风险评估为依据。
7. 在本备忘录发布之日起270天内，srma和国家协调员应向总统助理和国土安全顾问提交一份关于现有权力、激励措施和其他工具的审查报告，以鼓励和要求业主和运营商实施已确定的特定部门或跨部门的最低安全和弹性要求。这项审查应侧重于确定联邦政府要求和执行关键基础设施最低安全和恢复能力要求的能力中最关键的差距。作为这份一次性报告的一部分，国家协调员和srma应向管理和预算办公室提供一份立法建议，以提供任何必要的额外权力或能力，以实现关键基础设施的这些最低安全性和弹性要求。
8. 在本备忘录发布之日起一年内，国土安全部长应审查现有关键基础设施伙伴关系咨询委员会框架的充分性，并提出修改建议。这应包括部门协调理事会的要求。
9. 在本备忘录发布之日起180天内，此后每年9月30日前，国家情报总监与国防部长(通过负责情报与安全的副国防部长代理)、联邦调查局局长和国土安全部长(通过负责情报与分析的副部长代理)协调，并与srma协商，应向总统提交关于美国关键基础设施所受威胁的情报评估。情报评估应以机密形式提交给总统，这是充分描述威胁特征所必需的最高机密。在情报评估(包括首次发布和每年重复发布的评估)发布后90天内，国家情报总监与负责情报与安全的副国防部长(代表国防部长)、联邦调查局局长和国土安全部长(通过负责情报与分析的副部长)协调，应向总统提交本评估的保密版本，以便向获得适当许可的美国关键基础设施所有者和运营商以及srma发布，并在情报评估发布后180天内，在最大可能范围内，在符合对来源和方法保护的前提下，与联邦、州、地方、部落、领土和私营部门合作伙伴共享非保密版本的评估。
10. 自本备忘录签署之日起一年内，其后每年6月30日前，国家情报总监应与情报部门协调，向总统提交一份针对美国关键基础设施所受威胁的情报收集报告。报告将描述前一年的收集和报告情况，包括(按分类级别)数量、质量和收集类型;确定任何情报差距，并就如何弥补这些差距提出建议;并分析此类收集在多大程度上解决了当前的威胁、总统的情报框架和NIPF，指出任何改进的机会。
11. 自本备忘录签署之日起18个月内，其后每年6月30日前，国家情报总监应与情报情报部门协调，向总统提交一份与所有者、运营商和srma共享美国关键基础设施威胁情报和信息的报告。该报告将在战略层面描述上一年所有情报机构与这些实体的情报和信息共享情况。这将包括各情报单位与其他部门和机构之间信息共享的摘要;基础设施部门，包括业主和运营商;共享的内容类型(例如，口头简报，书面产品，如泪线等);以及分类级别。该报告还将确定共享数据的任何障碍，并就如何纠正这些障碍提出建议;评估审核降级要求的程序是否有效和有效率;并评估报告期内的共享在多大程度上满足了本备忘录和《2023年国家情报战略》(或其后续文件)的要求，以及任何改进的机会。
12. 国家情报总监、国土安全部部长和srma应确保美国政府与关键基础设施所有者和运营商的合作协调一致，消除冲突，符合机构权限、第三方协议，并保护资源和方法，从而最大限度地提高美国政府与关键基础设施所有者和运营商合作的效率和有效性。为此，国家情报总监和国土安全部长应在本备忘录发布之日起180天内共同制定政策、程序和指南，分别确保srma和IC成员充分参与确保这一结果。在本指导文件完成后不迟于180天内，国家情报总监应制定组织方法，包括建立或指定现有情报办公室或部门，以协调其业务跟踪和与关键基础设施所有者和运营商的信息共享，并在符合来源和方法保护及第三方协议的前提下，改进对这些情报业务的集中报告。组织方法应指定最低跟踪要求，例如与SIE的业务、业务的性质和日期，以及由于涉及来源、方法、合同、第三方协议和其他考虑因素的敏感性而排除在跟踪之外的业务的一般类别。
13. 在本备忘录发布之日起12个月内，国家情报总监应制定实施指南，以确保所有情报机构在情报机构意识到对美国关键基础设施的具体和可信威胁时，尽可能及时通知相关联邦部门和机构，包括FBI、CISA和相关srma。该过程的实施应符合对来源和方法的保护;调查;行政命令12333;13636号行政命令;适用的IC指令(包括ICD-191);情报界及其分支机构的权威，以及国土安全部。

内容主要整理自相关网站资料。

仅供学习参考，欢迎交流指正。

公众号内回复“DP103”，获取原文下载地址。

END