Chính sách an ninh mạng toàn thành phố

Thành phố và Quận San Francisco (Thành phố) cam kết xây dựng một chương trình an ninh mạng mạnh mẽ để hỗ trợ, duy trì và bảo vệ cơ sở hạ tầng và hệ thống dữ liệu quan trọng. Chính sách sau đây nhằm mục đích duy trì và tăng cường các yếu tố chính của chương trình an ninh mạng toàn thành phố.

Chính sách An ninh mạng của COIT đặt nền tảng cho toàn bộ Chương trình An ninh mạng của Thành phố và thể hiện sự hỗ trợ ở cấp lãnh đạo đối với nỗ lực này. Các hoạt động an ninh mạng trên toàn Thành phố đang ở các giai đoạn triển khai khác nhau. Chính sách An ninh mạng hỗ trợ Chương trình An ninh mạng của Thành phố được thiết lập để:

• bảo vệ cơ sở hạ tầng quan trọng được kết nối của chúng ta
• bảo vệ thông tin nhạy cảm được giao phó cho chúng tôi.
• quản lý rủi ro
• liên tục cải thiện khả năng phát hiện các sự kiện an ninh mạng.
• Ngăn chặn và loại bỏ các sự cố xâm phạm, khôi phục nguồn thông tin về trạng thái an toàn và hoạt động bình thường.
• Đảm bảo việc xử lý rủi ro là đầy đủ và phù hợp với mức độ quan trọng của nguồn thông tin.
• Tăng cường nhận thức về rủi ro đối với hoạt động của chúng ta trong bối cảnh an ninh mạng.

Các yêu cầu được nêu trong chính sách này áp dụng cho tất cả các nguồn thông tin do Thành phố và Quận San Francisco cùng các sở, ban ngành và ủy ban trực thuộc vận hành hoặc quản lý. Các quan chức được bầu, nhân viên, tư vấn viên và nhà cung cấp làm việc thay mặt cho Thành phố và Quận San Francisco đều phải tuân thủ chính sách này.

Chính sách an ninh mạng của COIT yêu cầu tất cả các bộ phận phải:

1. Bổ nhiệm một Cán bộ An ninh Thông tin cấp Phòng (DISO) để điều phối các nỗ lực an ninh mạng. Các Phòng ban lớn hơn có thể bổ nhiệm một Giám đốc An ninh Thông tin (CISO) để thể hiện phạm vi trách nhiệm ngày càng mở rộng.
2. Hãy áp dụng một khuôn khổ an ninh mạng làm cơ sở để xây dựng chương trình an ninh mạng của mình. Thành phố khuyến nghị áp dụng Khuôn khổ An ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) làm phương pháp luận để bảo vệ các nguồn thông tin.
3. Hỗ trợ ứng phó sự cố mạng khi cần thiết theo Chức năng Hỗ trợ Khẩn cấp 18 (ESF-18) của Bộ Chỉ huy An ninh mạng Thống nhất.
4. Tiến hành và cập nhật, ít nhất mỗi năm một lần, đánh giá rủi ro an ninh mạng của bộ phận. Các bộ phận có nhân viên quản lý rủi ro chuyên trách có thể lựa chọn tích hợp quản lý rủi ro an ninh mạng vào chương trình quản lý rủi ro của bộ phận.
5. Xây dựng và cập nhật, ít nhất mỗi năm một lần, các yêu cầu về an ninh mạng của phòng ban để giảm thiểu rủi ro và tuân thủ các yêu cầu pháp lý và quy định về an ninh mạng. Phòng ban sẽ xây dựng và áp dụng các yêu cầu về an ninh mạng tương đương hoặc cao hơn các yêu cầu an ninh mạng toàn thành phố.
6. Tham gia các cuộc họp diễn đàn an ninh mạng toàn thành phố.

Chính sách an ninh mạng yêu cầu tất cả các bộ phận phải áp dụng một khuôn khổ an ninh mạng để hướng dẫn hoạt động của mình.

Để bảo vệ đầy đủ các nguồn thông tin, hệ thống và dữ liệu phải được phân loại đúng cách dựa trên mức độ nhạy cảm và tầm quan trọng của thông tin đối với hoạt động. Phương pháp tiếp cận dựa trên rủi ro giúp chuẩn hóa kiến ​​trúc bảo mật, tạo ra sự hiểu biết chung về rủi ro được chia sẻ hoặc chuyển giao khi các hệ thống và cơ sở hạ tầng được kết nối, và giúp việc bảo mật hệ thống và dữ liệu trở nên đơn giản hơn.

Khung NIST cung cấp năm yếu tố cho một chương trình an ninh mạng:

• Xác định: Phát triển nhận thức về tổ chức để quản lý rủi ro an ninh mạng đối với các hệ thống, tài sản, dữ liệu và năng lực.
• Bảo vệ: Phát triển và thực hiện các biện pháp bảo vệ thích hợp để đảm bảo việc cung cấp các dịch vụ cơ sở hạ tầng.
• Phát hiện: Phát triển và triển khai các hoạt động phù hợp để xác định sự xảy ra của một sự kiện an ninh mạng.
• Ứng phó: Phát triển và triển khai các hoạt động phù hợp để ứng phó với sự cố an ninh mạng.
• Khôi phục: Phát triển và thực hiện các hoạt động phù hợp để duy trì kế hoạch phục hồi và khôi phục mọi khả năng hoặc dịch vụ bị ảnh hưởng bởi sự cố an ninh mạng.

Các phòng ban, sau khi tham khảo ý kiến ​​của Giám đốc An ninh Thông tin Thành phố (CCISO), có thể lựa chọn các giải pháp thay thế cho Khung An ninh mạng NIST. Tuy nhiên, tất cả các phòng ban đều phải triển khai hoặc sử dụng các tiêu chuẩn và dịch vụ trung tâm từ khung tương ứng của mình, chẳng hạn như kiểm soát và quản lý truy cập, đánh giá và quản lý rủi ro, nâng cao nhận thức và đào tạo, và phân loại dữ liệu.

Theo định nghĩa trong ấn phẩm đặc biệt 800-30 của NIST, “Hướng dẫn thực hiện đánh giá rủi ro”, đánh giá rủi ro là quá trình xác định, ước tính và ưu tiên các rủi ro an ninh thông tin. Đánh giá rủi ro đòi hỏi phải phân tích cẩn thận thông tin về mối đe dọa và lỗ hổng để xác định mức độ mà các tình huống hoặc sự kiện có thể ảnh hưởng tiêu cực đến một tổ chức [ví dụ: các phòng ban của Thành phố] và khả năng xảy ra của các tình huống hoặc sự kiện đó.

Mục đích của việc đánh giá rủi ro là cung cấp thông tin cho người ra quyết định và hỗ trợ các biện pháp ứng phó rủi ro bằng cách xác định:

• các mối đe dọa liên quan đến [các bộ phận]
• các lỗ hổng bảo mật cả bên trong và bên ngoài [các phòng ban]
• Tác động (tức là thiệt hại) đối với [các bộ phận] có thể xảy ra do khả năng các mối đe dọa khai thác các lỗ hổng bảo mật
• xác suất xảy ra thiệt hại

Kết quả cuối cùng là việc xác định rủi ro (tức là, thường là một hàm số của mức độ thiệt hại và khả năng xảy ra thiệt hại).

Để đảm bảo các chương trình an ninh mạng của họ tuân thủ khuôn khổ an ninh mạng đã được phê duyệt, bao gồm NIST CSF, ISO 2700x và CIS Top 20, và phương pháp tiếp cận dựa trên rủi ro, Kiểm toán viên Dịch vụ Thành phố tiến hành đánh giá mức độ sẵn sàng để đo lường việc thực hiện.

Đánh giá mức độ sẵn sàng phù hợp với khuôn khổ an ninh mạng đã được phê duyệt và cho phép các phòng ban xác định khả năng an ninh mạng hiện tại của họ, đặt ra các mục tiêu riêng cho trạng thái mục tiêu và thiết lập kế hoạch cải thiện và duy trì các chương trình an ninh mạng. Đánh giá mức độ sẵn sàng cũng hỗ trợ Bộ Công nghệ và Kiểm toán viên trong việc lập kế hoạch các hoạt động an ninh mạng một cách hiệu quả và tiết kiệm chi phí.

Các phòng ban được yêu cầu xây dựng và cập nhật các yêu cầu về an ninh mạng để giảm thiểu rủi ro và tuân thủ các yêu cầu pháp lý và quy định về an ninh mạng. Giám đốc An ninh Thông tin Thành phố sẽ xây dựng các yêu cầu an ninh mạng cơ bản để giải quyết hồ sơ rủi ro toàn thành phố. Tất cả các yêu cầu được đề xuất sẽ được Hội đồng Chính sách và Đánh giá Kiến trúc (APRB) xem xét và phê duyệt. Sau khi được APRB thông qua, các phòng ban cần phải xây dựng các yêu cầu an ninh mạng tương đương hoặc cao hơn các yêu cầu an ninh toàn thành phố để giải quyết các rủi ro của phòng ban. APRB nên thiết lập các mốc thời gian cụ thể để thông qua dựa trên độ phức tạp của các yêu cầu được đề xuất.

Các yêu cầu về an ninh mạng trên toàn thành phố không được thay thế các yêu cầu của tiểu bang hoặc liên bang có thể áp dụng cho một số phòng ban cụ thể của thành phố.

Trưởng các phòng ban sẽ:

• Thúc đẩy văn hóa nhận thức về an ninh mạng và tuân thủ chính sách an ninh mạng của Thành phố. Trưởng các phòng ban phải nhắc nhở nhân viên và nhà thầu của mình về các chính sách, tiêu chuẩn, quy trình, hướng dẫn và thực tiễn tốt nhất về an ninh mạng của Thành phố.
• Trong phạm vi nguồn lực cho phép, hãy lập ngân sách và bố trí nhân sự cho chức năng an ninh mạng đối với các hệ thống được mua sắm, vận hành hoặc ký hợp đồng bởi các bộ phận của họ để đảm bảo rằng tất cả các hệ thống và dữ liệu chứa trong đó được bảo vệ theo đúng loại/phân loại dữ liệu và hệ thống đó.
• Chỉ định một Cán bộ An ninh Thông tin cấp Phòng (DISO) hoặc một Giám đốc An ninh Thông tin.

Trưởng phòng An ninh Thông tin Thành phố (CCISO) sẽ có nhiệm vụ:

• Thiết lập và duy trì một đội ngũ an ninh có khả năng xác định, bảo vệ, phát hiện, ứng phó và phục hồi sau các cuộc tấn công nhằm vào các nguồn thông tin của Thành phố.
• Xây dựng và duy trì một chương trình ứng phó sự cố tập trung có khả năng giải quyết các sự cố nghiêm trọng về nguồn thông tin của Thành phố.
• Xem xét lại phụ lục của Bộ Chỉ huy Tác chiến Mạng Thống nhất về Chức năng Hỗ trợ Khẩn cấp 18 hàng năm và đảm bảo cập nhật khi cần thiết.
• Hỗ trợ các buổi diễn tập ứng phó sự cố an ninh mạng của các sở ban ngành và tiến hành các buổi diễn tập ứng phó sự cố an ninh mạng định kỳ trên toàn thành phố với các lãnh đạo thành phố.
• Đảm bảo rằng các Sở, Ủy ban và Chương trình An ninh mạng Công nghệ Thông tin Tập trung áp dụng chương trình đánh giá và xử lý rủi ro dựa trên cơ sở rủi ro, đồng thời thường xuyên báo cáo tình trạng hồ sơ rủi ro còn lại của Thành phố cho lãnh đạo Thành phố.
• Xây dựng phương pháp đánh giá rủi ro an ninh mạng và cung cấp đào tạo cho các DISO về cách thực hiện đánh giá rủi ro an ninh mạng.
• Đưa ra hướng dẫn về việc xây dựng tổ chức an ninh ở cấp phòng ban.
• Đảm bảo rằng kết quả đánh giá rủi ro an ninh mạng của các phòng ban được bảo vệ đầy đủ và quyền truy cập chỉ giới hạn ở một số nhân viên an ninh mạng nhất định của thành phố.
• Ít nhất mỗi năm một lần, cần xây dựng và cập nhật các yêu cầu an ninh mạng trên toàn thành phố để giảm thiểu rủi ro còn lại của thành phố và tuân thủ các yêu cầu pháp lý và quy định về an ninh mạng. Tất cả các yêu cầu về an ninh mạng sẽ được Hội đồng Chính sách và Đánh giá Kiến trúc (APRB) phê duyệt trước khi có hiệu lực.
• Hỗ trợ các phòng ban triển khai các yêu cầu an ninh mạng trên toàn thành phố.
• Hỗ trợ các DISO thuộc bộ phận an ninh mạng trong các trách nhiệm về an ninh mạng, bao gồm thông qua chương trình ứng phó sự cố tập trung, năng lực phòng thủ an ninh mạng và bộ công cụ an ninh mạng toàn thành phố.
• Tổ chức các cuộc họp diễn đàn an ninh mạng toàn thành phố.

Các cán bộ an ninh thông tin cấp phòng ban (DISO) sẽ:

• Đảm bảo các nguồn thông tin được bảo vệ đúng cách thông qua các chiến lược xử lý rủi ro đáp ứng ngưỡng rủi ro chấp nhận được đối với loại/phân loại nguồn thông tin đó.
• Xây dựng các tổ chức an ninh cần thiết dựa trên nguồn lực và ngân sách hiện có.
• Thông báo cho Giám đốc An ninh Thông tin Thành phố ngay khi có sự cố nào làm ảnh hưởng đến quyền kiểm soát, tính bảo mật, tính toàn vẹn hoặc tính khả dụng của hệ thống hoặc dữ liệu liên quan đến Thông tin Nhận dạng Cá nhân, Thông tin Được Bảo vệ theo Quy định (như HIPAA hoặc Số An sinh Xã hội) và/hoặc dữ liệu không được coi là công khai.
• Hãy tham gia các cuộc họp bàn tròn về an ninh mạng trên toàn thành phố.
• Tiến hành và cập nhật, ít nhất mỗi năm một lần, các đánh giá rủi ro an ninh mạng của phòng ban và chia sẻ kết quả một cách bảo mật với Giám đốc An ninh Thông tin của Thành phố.
• Hàng năm, các bộ phận sẽ họp với Điều phối viên Chuẩn bị Ứng phó Thảm họa để xem xét kết quả đánh giá rủi ro mạng và cập nhật phụ lục an ninh mạng trong kế hoạch hoạt động liên tục (COOP) của bộ phận khi cần thiết. Các bộ phận có chức năng Quản lý Khẩn cấp chuyên trách sẽ xem xét kết quả đánh giá rủi ro an ninh mạng của bộ phận mình và cập nhật quy trình ứng phó sự cố khi thích hợp.
• Ít nhất mỗi năm một lần, các phòng ban tiến hành diễn tập khẩn cấp về an ninh mạng với sự tham gia của lãnh đạo phòng ban, các đối tác của Thành phố và các bên thứ ba quan trọng. Các phòng ban có chức năng quản lý tình huống khẩn cấp chuyên trách có thể lựa chọn tích hợp an ninh mạng vào các cuộc diễn tập khẩn cấp của phòng ban mình.
• Xây dựng và cập nhật, ít nhất mỗi năm một lần, các yêu cầu về an ninh mạng của phòng ban để giảm thiểu rủi ro cho phòng ban và tuân thủ các yêu cầu pháp lý và quy định về an ninh mạng, đồng thời chia sẻ các yêu cầu này một cách bảo mật với Giám đốc An ninh Thông tin của Thành phố. Các yêu cầu của phòng ban phải tương đương hoặc cao hơn các yêu cầu an ninh toàn thành phố.
• Khi cần thiết, hãy tham khảo ý kiến ​​của Giám đốc An ninh Thông tin Thành phố trong quá trình thu thập yêu cầu đối với các hệ thống thông tin mới để đảm bảo thiết kế bảo mật được kiểm tra kỹ lưỡng trước khi lựa chọn và triển khai.

Cục Quản lý Tình trạng Khẩn cấp

• Kích hoạt trung tâm điều hành khẩn cấp của thành phố để phối hợp ứng phó với sự kiện mạng cấp độ khẩn cấp như đã nêu trong Chức năng hỗ trợ khẩn cấp 18 - Bộ chỉ huy mạng thống nhất.
• Hỗ trợ cuộc diễn tập khẩn cấp an ninh mạng toàn thành phố dành cho các lãnh đạo thành phố, phối hợp với Giám đốc An ninh Thông tin thành phố.

Điều phối viên chuẩn bị ứng phó thảm họa của Sở (DPC)

• Đào tạo lãnh đạo các phòng ban và nhân viên ứng phó sự cố an ninh mạng về vai trò và trách nhiệm của họ trong Phòng ban và Trung tâm Điều hành Khẩn cấp.
• Phối hợp với DISO để áp dụng các quy trình báo cáo cho Chức năng Hỗ trợ Khẩn cấp 18 Bộ Chỉ huy Mạng Thống nhất.
• Tham gia ít nhất mỗi năm một lần vào cuộc diễn tập ứng phó khẩn cấp về an ninh mạng của bộ phận.

COIT và Văn phòng Ngân sách Thị trưởng sẽ:

• Trong phạm vi có thể, hỗ trợ và cấp kinh phí đầy đủ cho các hoạt động an ninh mạng của Thành phố và các Sở, phù hợp với đánh giá rủi ro.

Giám đốc dữ liệu sẽ:

• Phối hợp với Giám đốc An ninh Thông tin Thành phố để phát triển và duy trì hệ thống phân loại thông tin, đồng thời hỗ trợ các phòng ban trong nỗ lực phân loại dữ liệu của họ.

Kiểm toán viên dịch vụ thành phố sẽ:

• Đánh giá các nỗ lực an ninh mạng của Thành phố thông qua các đánh giá mức độ sẵn sàng thường xuyên và hỗ trợ đánh giá các biện pháp kiểm soát kiểm toán an ninh mạng.
• Ít nhất mỗi năm một lần, xem xét lại kế hoạch triển khai của các phòng ban về việc áp dụng các yêu cầu an ninh mạng chung của thành phố và của từng phòng ban.
• Tiến hành kiểm tra an ninh cho các phòng ban theo đúng yêu cầu an ninh mạng toàn thành phố để xác nhận rằng các phòng ban thực hiện hiệu quả các yêu cầu đó.
• Chia sẻ kết quả thử nghiệm này với Trưởng phòng và, khi được yêu cầu, hỗ trợ thảo luận về các chiến lược giảm thiểu rủi ro tiềm năng giữa phòng ban và Giám đốc An ninh Thông tin (CISO) của Thành phố.

Nhân viên thành phố, nhà thầu và nhà cung cấp phải:

• Tuân thủ các quy định, yêu cầu về an ninh mạng và thỏa thuận sử dụng hợp lý, đồng thời báo cáo kịp thời mọi sự cố cho các cơ quan chức năng có thẩm quyền.

Trong phạm vi nguồn lực cho phép:

1. Trưởng các bộ phận chịu trách nhiệm đảm bảo rằng các hệ thống được mua sắm, vận hành hoặc ký hợp đồng bởi bộ phận hoặc ủy ban tương ứng đáp ứng các biện pháp bảo vệ an ninh phù hợp theo yêu cầu của loại/phân loại rủi ro của hệ thống, ngoài ra còn tuân thủ mọi yêu cầu quy định.
2. Theo Chính sách Sử dụng Hợp lý, nhân viên, tư vấn viên và nhà cung cấp phải đảm bảo rằng các nguồn thông tin được sử dụng, quản lý và vận hành một cách phù hợp và an toàn trong thời gian được cấp quyền truy cập.
   1. Kiểm toán viên Dịch vụ Thành phố sẽ đánh giá các nỗ lực an ninh mạng của Thành phố và xác nhận việc thực hiện các yêu cầu an ninh hiện hành của các phòng ban.

Sẽ không có bất kỳ trường hợp ngoại lệ nào được chấp thuận đối với chính sách này.

Điều 22A.3. của Bộ luật Hành chính Thành phố quy định: “Ủy ban CNTT Thành phố (COIT) sẽ xem xét và phê duyệt các khuyến nghị của Giám đốc CNTT Thành phố về các tiêu chuẩn, chính sách và quy trình CNTT để đảm bảo việc phát triển, vận hành, bảo trì và hỗ trợ thành công hệ thống CNTT của Thành phố.”

• Khung an ninh mạng NIST
• An ninh mạng SF

• Ấn phẩm thuộc chuỗi kỹ thuật của NIST