第3級：國家信息基礎(chǔ)設(shè)施部門

A．聯(lián)邦政府

3.A.1 最佳實(shí)踐措施和標(biāo)準(zhǔn)（Best Practices and Standards）：針對各類聯(lián)邦政府機(jī)構(gòu)和/或IT系統(tǒng)所支持的各種（機(jī)構(gòu)）職能來說，是否應(yīng)該有一套IT安全最佳實(shí)踐措施、策略，和/或標(biāo)準(zhǔn)？應(yīng)怎樣去制定？詳細(xì)程度如何？是否應(yīng)符合法律法規(guī)的要求？

3.A.2 可追究性、責(zé)任以及監(jiān)督（Accountability, Responsibility and Oversight）：應(yīng)該對聯(lián)邦政府的IT安全執(zhí)行何種常規(guī)審計(jì)？誰負(fù)責(zé)執(zhí)行？應(yīng)向誰報(bào)告？對結(jié)果應(yīng)采取何種行動(dòng)？怎樣才能將這些審計(jì)與必要的及時(shí)矯正行為聯(lián)系起來？

3.A.3 撥款（Funding）：在很多聯(lián)邦機(jī)構(gòu)的IT安全狀況中，是不是常規(guī)的年度預(yù)算有時(shí)不足以充分地改善其安全狀況？與此相關(guān)的撥款活動(dòng)是否要與聯(lián)邦政府在修復(fù)千年蟲問題時(shí)所采取的方法相類似？如果是的話，該如何去運(yùn)行？

3.A.4 跨越各部的活動(dòng)（Cross-Department Activity）：哪些IT安全職能應(yīng)在聯(lián)邦部級的級別上履行？哪些應(yīng)集中履行？各部局之間怎樣才能更好地合作，以在履行某些涉及IT安全的職能時(shí)實(shí)現(xiàn)規(guī)模經(jīng)濟(jì)？

3.A.5 關(guān)鍵職能連入Internet（Connecting Critical Functions to the Internet）：網(wǎng)絡(luò)中的路由器以及其他系統(tǒng)容易受到來自Internet的拒絕服務(wù)以及其他類型的攻擊，當(dāng)聯(lián)邦的某些關(guān)鍵職能通過這些網(wǎng)絡(luò)履行時(shí)，如何最好地解決由此帶來的風(fēng)險(xiǎn)？

3.A.6 IT安全人員（IT Security Personnel）：聯(lián)邦政府在合格的IT安全人員方面的短缺程度如何？聯(lián)邦政府怎樣才能改善其對合格IT安全人員的招募、教育、在職培訓(xùn)以及留任？

3.A.7 采購（Procurement）：采購政策在改善聯(lián)邦I(lǐng)T安全中發(fā)揮著什么作用？

3.A.8 意識(shí)（Awareness）:IT安全意識(shí)培訓(xùn)怎樣才能適用于大多數(shù)聯(lián)邦雇員？

3.A.9 事故報(bào)告（Event Reporting）：聯(lián)邦政府應(yīng)怎樣更好地滿足各部局對其網(wǎng)絡(luò)和系統(tǒng)上發(fā)生的惡意行為的報(bào)告的需求？怎樣處理這種報(bào)告？

3.A.10 預(yù)警、分析、事件響應(yīng)和恢復(fù)（Warning, Analysis, Incident Response and Recovery）：聯(lián)邦政府應(yīng)該擁有哪些系統(tǒng)和能力，以針對IT安全事件去發(fā)布預(yù)警，執(zhí)行分析并做出響應(yīng)？

3.A.11 組織（Organization）：為了改善聯(lián)邦I(lǐng)T安全，是否需要對組織結(jié)構(gòu)進(jìn)行進(jìn)一步的改革？如果有必要，應(yīng)做什么樣的改革？

3.A.12 國家安全（National Security）：對那些涉及國家安全的聯(lián)邦機(jī)構(gòu)來說，是否需要有進(jìn)一步的IT安全計(jì)劃、組織結(jié)構(gòu)或功能？

B．私營部門

3.B.1 各私營部門職責(zé)（Sectors）：每類私營部門應(yīng)承擔(dān)何種IT安全角色？怎樣組織這些私營部門級的活動(dòng)？

3.B.2 信息共享（Information Sharing）：信息共享和分析中心（ISCA）的角色是什么？怎樣提高它們的工作效果？聯(lián)邦政府怎樣做才能促進(jìn)與私營部門在脆弱性、威脅、預(yù)警信息以及分析活動(dòng)等方面實(shí)現(xiàn)共享？

3.B.3 最佳實(shí)踐措施和標(biāo)準(zhǔn)（Best Practices and Standards）：最佳實(shí)踐措施和標(biāo)準(zhǔn)在私營部門中扮演何種角色？

3.B.4 事件響應(yīng)和恢復(fù)（Incident Response and Recovery）：在事件響應(yīng)和恢復(fù)方面，應(yīng)該有哪些私營部門級的合作機(jī)制？

3.B.5 數(shù)字控制系統(tǒng)（Digital Control Systems）：數(shù)字控制系統(tǒng)以及SCADA系統(tǒng)面臨著哪些獨(dú)特的威脅？怎樣解決？

3.B.6 關(guān)鍵職能連入Internet（Connecting Critical Functions to the Internet）：某些私營部門的關(guān)鍵職能在其網(wǎng)絡(luò)與Internet以及其他開放的公共交換系統(tǒng)斷開連接后，安全性和可靠性是否能得到更大的提高？

3.B.7 針對某幾個(gè)特定部門，國家戰(zhàn)略中將分別各有一節(jié)討論其具體問題和計(jì)劃，包括：

銀行與金融；

能源；

運(yùn)輸；

電信；

信息技術(shù)；

通用制造業(yè)；

化學(xué)制造業(yè)。

C．州和地方政府

3.C.1 組織（Organization）：州政府是否應(yīng)成立州級的負(fù)責(zé)信息共享和事件管理的組織？如果需要，這樣的組織應(yīng)包括州政府內(nèi)的機(jī)構(gòu)嗎？應(yīng)包括市級以及縣級機(jī)構(gòu)嗎？應(yīng)包括州內(nèi)與關(guān)鍵基礎(chǔ)設(shè)施有關(guān)的私營部門實(shí)體嗎？州和地方政府是否應(yīng)參與國家機(jī)制中的IT安全活動(dòng)？聯(lián)邦政府在州和地方政府成立的上述組織中承擔(dān)何種角色？

3.C.2 執(zhí)法和應(yīng)急服務(wù)（Law Enforcement and Emergency Services）：除了州和地方政府的其他IT安全需求與活動(dòng)外，執(zhí)法和應(yīng)急服務(wù)機(jī)構(gòu)還面臨哪些獨(dú)特的需求以及問題？如何最好地加以解決？

D．高等教育

3.D.1 防范來自大學(xué)的攻擊（Preventing Attacks from Universities）：怎樣才能既確保學(xué)術(shù)研究自由，又能防止大學(xué)內(nèi)的大規(guī)模計(jì)算能力被攻擊者利用，以免被用來向其他地方發(fā)動(dòng)拒絕服務(wù)攻擊以及其他的惡意行為？

3.D.2 防范大學(xué)內(nèi)的攻擊（Preventing Attacks within Universities）：大學(xué)內(nèi)哪些職能需要高級別的IT安全（如醫(yī)療記錄、研究試驗(yàn)、發(fā)明專利等）？在大學(xué)這樣的學(xué)術(shù)環(huán)境中如何才能達(dá)到這樣的安全級別？

3.D.3 組織（Organization）：大學(xué)應(yīng)怎樣去最好地實(shí)現(xiàn)相關(guān)的組織化，以解決它們普遍面臨的IT安全問題？是否應(yīng)在國家級別上就大學(xué)內(nèi)的最佳實(shí)踐措施或標(biāo)準(zhǔn)達(dá)成一致？