全市網路安全政策

三藩市市及縣（以下簡稱「市」）致力於建構強大的網路安全體系，以支援、維護和保障關鍵基礎設施和資料系統的安全。以下政策旨在維護和加強全市網路安全體系的關鍵要素。

COIT網路安全政策為整個城市網路安全計畫奠定了基礎，並闡明了高層對這項工作的支持。全市的網路安全行動處於不同的部署階段。此網路安全政策支持城市網路安全計劃，該計劃旨在：

• 保護我們互聯的關鍵基礎設施
• 保護委託給我們的敏感訊息
• 風險管理
• 不斷提升我們檢測網路安全事件的能力
• 遏制並消除安全漏洞，將資訊資源恢復到安全且可運行的狀態。
• 確保風險治療充分且與資訊資源的迫切性相符
• 提高對網路安全背景下營運風險的認識

本政策中規定的要求適用於三藩市市及縣及其各部門和委員會運作或為其運作的所有資訊資源。代表三藩市市及縣工作的民選官員、員工、顧問和供應商均須遵守本政策。

COIT網路安全政策要求所有部門：

1. 任命一名部門資訊安全官 (DISO) 來協調網路安全工作。規模較大的部門可以任命一名首席資訊安全官 (CISO)，以反映其職責範圍的擴大。
2. 以網路安全框架為基礎建置網路安全計畫。市政府建議採用美國國家標準與技術研究院 (NIST) 網路安全框架作為保護資訊資源的方法。
3. 根據緊急支援職能 18 (ESF-18) 聯合網路司令部的要求，為網路事件回應提供必要的支援。
4. 至少每年進行並更新部門網路安全風險評估。設有專門風險管理人員的部門可以選擇將網路安全風險管理納入部門的風險管理計畫。
5. 至少每年制定並更新部門網路安全要求，減緩風險並遵守法律法規的網路安全要求。部門將制定並採用網路安全要求，其標準應等於或高於全市安全要求。
6. 參加全市網路安全論壇會議。

網路安全政策要求所有部門採用網路安全框架來指導其營運。

為了充分保護資訊資源，必須根據資訊的敏感度和對營運的關鍵性對系統和資料進行適當分類。基於風險的方法論可以規範安全架構，在系統和基礎設施連接時，對共享或轉移的風險達成共識，並使系統和資料的安全保護更加直接。

NIST框架為網路安全計畫提供了五個要素：

• 明確：培養組織對管理系統、資產、資料和能力所面臨的網路安全風險的理解。
• 保護：制定並實施適當的保障措施，以確保基礎設施服務的交付。
• 檢測：制定並實施適當的活動，以識別網路安全事件的發生。
• 應對：制定並實施適當的措施來應對網路安全事件。
• 恢復：制定並實施適當的活動，以維持復原計劃，並恢復因網路安全事件而受損的任何能力或服務。

各部門經與市府首席資訊安全長 (CCISO) 協商，可選擇 NIST 網路安全框架的替代方案。但是，所有部門都必須實施或使用各自框架中的核心標準和服務，例如存取控制和管理、風險評估和管理、意識提升和培訓以及資料分類。

根據美國國家標準與技術研究院 (NIST) 特別出版物 800-30《風險評估指南》的定義，風險評估是識別、評估和確定資訊安全風險優先順序的過程。風險評估需要仔細分析威脅和漏洞訊息，以確定各種情況或事件可能對組織（例如市政部門）造成不利影響的程度，以及此類情況或事件發生的可能性。

風險評估的目的是透過識別以下因素，告知並支持風險應對措施：

• 對[各部門]的相關威脅
• 部門內部和外部的漏洞
• 鑑於存在利用漏洞的威脅，可能會對[各部門]影響（即損害）。
• 發生傷害的可能性

最終結果是風險的判定（即，通常是危害程度和危害發生可能性的函數）。

為確保其網路安全計畫符合已核准的網路安全框架（包括 NIST CSF、ISO 2700x 和 CIS Top 20）以及基於風險的方法，城市服務稽核員會進行準備情況評估，以衡量實施情況。

準備評估與已批准的網路安全框架一致，使各部門能夠確定其當前的網路安全能力，設定各自的目標狀態，並製定改進和維護網路安全計畫。準備情況評估也有助於科技署和財務主管有效率、有效地規劃網路安全活動。

各部門須制定並更新網路安全要求，減緩風險並遵守法律法規的網路安全要求。市首席資訊安全官將制定基準網路安全要求，以應對全市風險狀況。所有擬議要求均須經架構政策審核委員會 (APRB) 審查和批准。 APRB 採納後，各部門應制定與全市安全要求同等或更高的網路安全要求，以應對部門風險。 APRB 應根據擬議要求的複雜程度，制定合理的採納時間表。

全市範圍的網路安全要求不得凌駕於可能適用於某些特定市政府部門的州或聯邦要求之上。

部門負責人應：

• 倡導網路安全意識，並法規遵循市政府的網路安全政策。部門負責人必須提醒員工和承包商注意市政府的網路安全政策、標準、程序、指南和最佳實務。
• 在資源允許的範圍內，為各部門採購、營運或承包的系統配備網路安全職能部門的預算和人員，以確保所有系統及其包含的資料均按照資料和系統的類別/分類得到保護。
• 指定一名部門資訊安全官 (DISO) 或首席資訊安全官

城市首席資訊安全官（CCISO）應：

• 建立並維護一支安全團隊和職能部門，具備識別、保護、偵測、回應和從針對城市資訊資源的攻擊中恢復的能力。
• 建立並維護一個集中式事件回應程序，能夠應對城市資訊資源遭受的重大破壞。
• 每年審核緊急支援職能 18 統一網路司令部附件，並確保根據需要進行更新。
• 支持各部門進行網路安全緊急演練，並定期與市領導一起進行全市網路安全緊急演練。
• 確保各部門、委員會和集中式資訊科技網路安全計畫採用基於風險的評估和治療計劃，並定期向市領導報告該市的剩餘風險狀況。
• 制定網路安全風險評估方法，並為國防資訊安全官 (DISO) 提供網路安全風險評估的培訓。
• 為部門層面安全組織的建構提供指引。
• 確保各部門的網路安全風險評估結果得到充分保護，且存取權限僅限於有限的市政網路安全人員。
• 至少每年制定並更新全市網路安全要求，減緩城市剩餘風險，並遵守法律法規的網路安全要求。所有網路安全要求在生效前均須經建築政策與審核委員會 (APRB) 批准。
• 支援各部門落實全市網路安全要求。
• 支援部門的網路安全資訊安全官履行其網路安全職責，包括透過集中式事件回應計畫、網路安全防禦能力和全市網路安全工具集。
• 組織全市網路安全論壇會議。

部門資訊安全官（DISO）應：

• 透過風險治療策略確保資訊資源得到妥善保護，這些策略應符合資訊資源類別/分類的可接受風險閾值。
• 根據現有資源和預算，建立必要的安全組織。
• 如果發生危及涉及個人識別資訊、受監管保護的資訊（例如 HIPAA 或社會安全號碼）和/或不被視為公共資料的系統或資料的控制、保密性、完整性或可用性的事件，應盡快通知市首席資訊安全官。
• 參加全市網路安全圓桌會議。
• 至少每年進行一次部門網路安全風險評估並更新評估結果，並將結果以保密方式與市府首席資訊安全官分享。
• 每年與部門災害防備協調員會面，審核網路風險評估結果，並根據需要更新部門的網路安全應急計畫附錄。設有專門緊急管理職能的部門應審核其部門的網路安全風險評估結果，並視情況更新其事件回應程序。
• 至少每年一次與部門領導、市政府合作伙伴和重要第三方進行部門網路安全緊急演練。設有專門緊急管理職能的部門可以選擇將網路安全納入其部門應急演練。
• 至少每年制定並更新部門網路安全需求，減緩部門風險並符合法律法規的網路安全要求，並將這些需求以保密方式分享給市府首席資訊安全官。部門需求應等於或高於全市安全需求。
• 在收集新資訊系統需求時，如有必要，請諮詢市首席資訊安全官，以確保在選擇和部署之前對安全設計進行審查。

三藩市應急管理局

• 啟動城市緊急行動中心，協調應對緊急等級網路事件，如《統一網路司令部緊急支援職能 18》所述。
• 支持市領導與市府首席資訊安全官協調進行全市網路安全緊急演練。

部門災害防備協調員 (DPC)

• 對部門領導和網路安全事件回應人員進行培訓，使其了解部門和緊急行動中心的角色和職責。
• 與 DISO 合作，採用緊急支援職能 18 統一網路司令部的報告流程。
• 至少每年參加一次部門網路安全緊急演練。

COIT和市長預算辦公室應：

• 在風險評估的基礎上，盡可能為市、部門的網路安全營運提供充足的支援和資金。

首席數據長應：

• 與市府首席資訊安全官合作，開發和維護資訊分類系統，並支援各部門的資料分類工作。

城市服務審計員應：

• 透過定期準備評估來評估城市網路安全工作，並協助評估網路安全審計控制措施。
• 至少每年審核一次部門實施計劃，以確保全市和部門特定的網路安全要求得到落實。
• 根據全市網路安全要求對各部門進行安全測試，以驗證各部門是否有效實施了這些要求。
• 將此測試結果與部門主管分享，並在需要時協助部門與市府首席資訊安全長 (CISO) 討論潛在的風險降低策略。

市府員工、承包商和供應商應：

• 遵守網路安全規範、要求和可接受使用協議，並及時向相關官員報告任何事件。

在資源允許的範圍內：

1. 部門負責人有責任確保其各自部門或委員會採購、營運或承包的系統符合系統風險類別/分類所要求的適當安全保護措施，以及任何監管要求。
2. 員工、顧問和供應商應確保在獲得授權存取權期間，按照《可接受使用政策》對資訊資源進行適當、安全的利用、管理和操作。
   1. 城市服務審計員應評估城市網路安全工作，並驗證各部門對適用安全要求的執行情況。

本政策不設任何例外，恕不批准。

市行政法規第 22A.3 條規定，“市資訊技術委員會應審核並批准市首席資訊長關於資訊通訊技術標準、政策和程序的建議，以確保市資訊通訊技術的成功開發、運營、維護和支持。”

• NIST網路安全框架
• 網路安全舊金山

• 美國國家標準與技術研究院技術系列出版物