資源收集
全市網路安全政策
網路安全政策旨在維護和增強全市網路安全計畫的關鍵要素,以支援、維護和保護關鍵基礎設施和資料系統。
舊金山致力於建立強大的網路安全計劃,以支援、維護和保護關鍵基礎設施和資料系統。以下政策旨在維護和加強全市網路安全計畫的關鍵要素。
目的和範圍
COIT 網路安全政策為整個城市的網路安全計畫奠定了基礎,並明確了行政層對此工作的支持。全市的網路安全行動正處於不同的部署階段。網路安全政策支持該市的網路安全計劃,旨在:
- 保護我們互聯的關鍵基礎設施
- 保護我們信任的敏感訊息
- 管理風險
- 不斷提高我們偵測網路安全事件的能力
- 遏制並消除危害,將資訊資源恢復到安全和可操作的狀態
- 確保風險處理充分並與資訊資源的重要性一致
- 提高我們在網路安全背景下營運的風險意識
本政策中確定的要求適用於由舊金山市、縣及其部門和委員會運營或為其運營的所有資訊資源。代表舊金山市和縣工作的民選官員、員工、顧問和供應商必須遵守本政策。
政策聲明
COIT 網路安全政策要求所有部門:
- 任命一名部門資訊安全官 (DISO) 來協調網路安全工作。較大的部門可能會任命首席資訊安全官 (CISO),以認識到責任範圍的擴大。
- 採用網路安全框架作為建置網路安全計畫的基礎。該市建議採用美國國家標準與技術研究所 (NIST) 網路安全框架作為保護資訊資源的方法。
- 根據緊急支援職能 18 (ESF-18) 統一網路司令部的規定,根據需要支援網路事件回應。
- 至少每年進行一次部門網路安全風險評估並進行更新。擁有專門風險管理人員的部門可以選擇將網路安全風險管理整合到部門的風險管理計畫中。
- 至少每年制定和更新部門網路安全要求,以降低風險並遵守法律和監管網路安全要求。該部門將制定並採用應等於或高於全市安全要求的網路安全要求。
- 參加全市網路安全論壇會議。