Chính sách an ninh mạng toàn thành phố

San Francisco cam kết xây dựng một chương trình an ninh mạng mạnh mẽ để hỗ trợ, duy trì và bảo mật cơ sở hạ tầng và hệ thống dữ liệu quan trọng. Chính sách sau đây nhằm mục đích duy trì và tăng cường các yếu tố chính của chương trình an ninh mạng toàn thành phố.

Mục đích và phạm vi

Chính sách An ninh mạng COIT đặt nền tảng cho toàn bộ Chương trình An ninh mạng của Thành phố và nêu rõ sự hỗ trợ của cấp điều hành cho nỗ lực này. Các hoạt động an ninh mạng trên toàn Thành phố đang ở các giai đoạn triển khai khác nhau. Chính sách An ninh mạng hỗ trợ Chương trình An ninh mạng của Thành phố được thành lập để:

• bảo vệ cơ sở hạ tầng quan trọng được kết nối của chúng tôi
• bảo vệ thông tin nhạy cảm được giao phó cho chúng tôi
• quản lý rủi ro
• liên tục cải thiện khả năng phát hiện các sự kiện an ninh mạng của chúng tôi
• ngăn chặn và xóa bỏ các thỏa hiệp, khôi phục các nguồn thông tin về trạng thái an toàn và hoạt động
• đảm bảo việc xử lý rủi ro là đủ và phù hợp với tính quan trọng của nguồn thông tin
• tạo điều kiện nâng cao nhận thức về rủi ro đối với hoạt động của chúng tôi trong bối cảnh an ninh mạng

Các yêu cầu được xác định trong chính sách này áp dụng cho tất cả các nguồn thông tin do Thành phố và Quận San Francisco và các sở ban ngành và ủy ban của thành phố vận hành hoặc cho Thành phố và Quận San Francisco. Các viên chức được bầu, nhân viên, cố vấn và nhà cung cấp làm việc thay mặt cho Thành phố và Quận San Francisco phải tuân thủ chính sách này.

Tuyên bố chính sách

Chính sách an ninh mạng của COIT yêu cầu tất cả các phòng ban phải:

1. Chỉ định một Cán bộ An ninh Thông tin của Sở (DISO) để điều phối các nỗ lực an ninh mạng. Các Sở lớn hơn có thể chỉ định một Giám đốc An ninh Thông tin (CISO) để công nhận phạm vi trách nhiệm được mở rộng.
2. Áp dụng khuôn khổ an ninh mạng làm cơ sở để xây dựng chương trình an ninh mạng của họ. Thành phố khuyến nghị áp dụng Khuôn khổ an ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) làm phương pháp để bảo vệ tài nguyên thông tin.
3. Hỗ trợ ứng phó sự cố mạng khi cần thiết theo Chức năng hỗ trợ khẩn cấp 18 (ESF-18) của Bộ tư lệnh an ninh mạng thống nhất.
4. Tiến hành và cập nhật, ít nhất hàng năm, đánh giá rủi ro an ninh mạng của bộ phận. Các bộ phận có nhân viên Quản lý rủi ro chuyên trách có thể lựa chọn tích hợp quản lý rủi ro an ninh mạng vào chương trình Quản lý rủi ro của bộ phận.
5. Phát triển và cập nhật, ít nhất hàng năm, các yêu cầu về an ninh mạng của sở để giảm thiểu rủi ro và tuân thủ các yêu cầu về an ninh mạng theo luật định và quy định. Sở sẽ phát triển và áp dụng các yêu cầu về an ninh mạng phải tương đương hoặc cao hơn các yêu cầu về an ninh toàn thành phố.
6. Tham gia các cuộc họp diễn đàn an ninh mạng toàn thành phố.

Đã phê duyệt ngày 21 tháng 11 năm 2019