美国正处于一个充满机遇的时刻。2023 年美国国家网络安全战略概述了网络安全的新愿景，一个以合作、创新和问责为基础的愿景。现在是国家做出选择的时刻：投资于一个未来，在这样的未来中，合作是一种默认，而不是一种例外；在这样的未来中，国防和复原力方面的创新大大超过那些试图伤害的人的创新；网络安全的负担分配给那些有能力的人。网络安全的负担分配给最有能力承担的人。必须清醒地认识到所追求的未来是这样的：破坏性的网络入侵只是一种令人震惊的异常现象，在这样的未来中，组织是安全和有弹性的，技术产品在设计和默认情况下是安全和可靠的安全的未来。这是一段共同的旅程，也是一项共同的挑战。作为美国的网络防御机构，CISA 有幸在全球网络安全界发挥着基础性作用，帮助在实现共同的最终目标方面取得可衡量的进展。

战略意图

《2023 年国家网络安全战略》和《2023-2025 财年 CISA 战略计划》保持一致，描述了将如何执行网络安全任务并提高网络安全能力。 CISA 网络安全战略计划介绍了将如何执行网络安全任务和提高网络安全能力。在 CISA 内部，本计划将作为实施、资源和运营规划的基石，并通过年度运营计划进一步执行。通过年度运营计划进一步执行。在外部，它将帮助利益相关者了解并参与长期网络安全规划和优先排序。
      网络安全是 CISA 的整体任务：尽管网络安全处提供独特的技术专长并执行许多核心网络安全任务，但 CISA 的每个组织、每个团队和每个人都为网络安全任务做出了贡献。认识到，有时网络安全风险可以通过非数字手段最有效地解决，例如投资于各种条件下的功能恢复能力。尤其是，不断壮大的地区团队正在为网络安全任务做出贡献。特别是，不断壮大的地区团队对于实现以下目标至关重要。

信息安全是整个政府的使命：在美国政府内部，CISA 发挥着独特的作用，这种作用有赖于与机构间合作伙伴的密切协作。与以下机构保持着宝贵的业务合作关系联邦调查局、国家安全局、美国网络司令部和网络总监办公室、管理和预算办公室以及国家安全委员会密切协调，以推进国家优先事项和战略要务。必须继续将这些伙伴关系制度化，使其能够持久，并消除任何可能被对手利用这些漏洞。

网络安全是一项全民任务：所面临的网络安全挑战的广度超过了任何一个组织的能力。作为一个共同体。将努力实现这样一种模式，即合作是默认的应对方式，有关恶意活动（包括入侵）的信息被假定为对共同利益是必要的，并在行业和政府之间紧急共享，政府和行业在相互期望透明度和价值的前提下开展合作。最重要的是，成功基于合作伙伴的信任。还认识到，网络安全是一项全社会的任务，每个人和每个组织都应在其中发挥作用。

像任何组织一样，CISA 的资源是有限的：必须优先考虑行动，以实现对美国人民的最大影响。将把活动重点放在四大利益相关者身上：(1) 联邦文职行政机构，在这些机构中拥有独特的权力和能力；(2) 目标丰富、资源贫乏、最需要联邦援助和支持的实体、包括 SLTT 合作伙伴和国家的选举基础设施；(3) 对提供或维持国家关键职能具有独特关键作用的组织，利用国家风险管理中心的分析能力。(4) 有能力和知名度来推动大规模安全的技术和网络安全公司，包括工业控制系统和运营技术社区。虽然不会支持和参与仅限于这些群体，但优先顺序的确定将能够在必要时做出审慎的权衡，以最大限度地发挥贡献。

实现影响或快速失败：认识到我国面临的网络安全风险过高，美国人民期望 CISA 在推动积极变革方面发挥核心作用。必须确保所有努力都能在降低网络安全风险方面产生可衡量的影响，并严格利用现有数据，确定预期影响是否正在实现。如果确定某项计划、服务或能力没有产生预期的影响，将严守纪律并充分利用资源，灵活调整。

CISA 的网络安全目标和宗旨

网络安全战略计划包括目标和相关目的，这些目标将通过年度运营计划来执行，并为每个 CISA 组织对关键里程碑和指标的责任。重要的是，如下所示三个目标并非孤立运作。

相反，为应对直接威胁所做的工作将能够优先投资于最有效降低风险的安全控制、措施和能力。反过来，当提供帮助企业降低企业风险的指导和服务时，能够更清晰地定义安全可靠的技术产品的属性。最后，当在整个产品生命周期内推进安全工作时，将迫使威胁行为者采取更耗时、更昂贵的策略，从而降低攻击的发生率。只有通过这种良性循环，才能取得必要的进展。

内容主要整理自相关网站资料。

仅供学习参考，欢迎交流指正。

阅读英文原文

公众号内回复“DP101”

获取《FY2024-2026_Cybersecurity_Strategic_Plan》全文下载地址。