7.关于加强国家网络安全的行政命令.docxVIP

关于加强国家网络安全的行政命令

（译文仅供参考）

根据美利坚合众国宪法和法律赋予我的总统授权，现命令如下：

第1节。政策。美国面临着持续不断且日益复杂的恶意网络运动，这些运动威胁着公共部门，私

营部门，并最终威胁着美国人的安全和隐私。联邦政府必须加大努力，以识别，制止，防止，发现和

响应这些行动和行动的实施者。联邦政府还必须仔细检查任何重大网络事件期间发生的情况，并吸取

经验教训。但是，网络安全不仅需要政府采取行动。保护我们的国家不受恶意网络参与者的侵害，要

求联邦政府与私营部门合作。私营部门必须适应不断变化的威胁环境，确保其产品安全构建和运行，

并与联邦政府合作建立更安全的网络空间。最后，我们对数字基础架构的信任程度应与基础架构的可

信度和透明度成正比，并与这种信任关系放错位置所带来的后果成正比。

宪法赋予了我总统权力，我们所需要的安全不会通过逐步改善获得；联邦政府需要做出大胆的改

变并进行大量投资，以捍卫支撑美国生活方式的重要机构。联邦政府必须充分利用其权限和资源来保

护其计算机系统，无论它们是基于云的，本地的还是混合的。保围必须包括处理数据的系统（信息技

术（IT））和确保我们安全的重要机械运行的系统（运营技术（OT））。

预防，发现，评估和补救网络事件是本届政府的头等大事，他们对国家和经济安全至关重要。联

邦政府必须以身作则。所有联邦信息系统均应达到或超过该命令规定和发布的网络安全标准和要求。

第2节消除共享威胁信息的障碍

（a）联邦政府与IT和OT服务提供商签订合同，以在联邦信息系统上执行一系列日常功能。这

些服务提供商（包括云服务提供商）拥有对联邦信息系统上的网络威胁和事件信息的独特访问和洞察

力。同时，当前的合同条款或限制可能会妨碍负责对网络事件进行调查或补救的执行部门、机构，如

网络安全和基础架构安全局（CISA）、联邦调查局（FBI）和情报界（IC）的其他部门，共享此类威

胁或事件信息。消除这些合同障碍并增加有关此类威胁，事件和风险的信息共享是加快对事件威慑，

预防和响应的必要步骤，并能更有效地保护机构系统以及联邦政府收集、处理和维护的信息。

（b）在命令发布之日起60天内，管理和预算办公室（OMB）主任与国防部长，总检察长，国

土安全部长和国家情报局局长协商，应审查《联邦采购条例》（FAR）和《国防部联邦采购条例》补

充合同要求和语言，以便与IT和OT服务提供商签订合同，并向FAR委员会和其他相关机构建议更

新此类要求和语言。建议应包括拟用合同语言涵盖的承包商说明。

（c）本节（b）所述的推荐合同语言和要求应旨在确保：

（i）服务提供商收集并保存与网络安全事件预防，检测，响应和调查有关的数据，信息和报告，

这些数据，信息和报告与他们控制的所有信息系统（包括代表代理商操作的，符合代理商要求的系统）

有关；

（ii）服务提供商共享与网络事件或与同其签约的任何机构有关的潜在事件有关的数据，信息和

报告。这些机构在预算管理（OMB）主任与国防部长，总检察长，国土安全部长和国家情报局局长

协商后认为适当，并与适用的隐私法律，法规和政策保持一致的情况下，这些机构可与任何其他机构

共享；

（iii）服务提供商与联邦网络安全或调查机构合作，对联邦信息系统上的事件或潜在事件进行调

查和响应，包括通过实施技术功能，例如根据需要与其支持的机构合作，监控威胁网络；和

（iv）服务提供商与代理商共享网络威胁和事件信息，并在可能的情况下以行业认可的格式进

行事件响应和补救。

（d）收到本节（b）所述建议的90天内，FAR委员会应审查拟议的合同语言和条件，并应酌情

发布对FAR的建议更新以征询公众意见。

（e）在本命令发出之日起120天内，国土安全部部长和OMB局长应采取适当措施，最大限度

地确保服务提供商与联邦政府应对网络威胁、事件和风险所需的机构、CISA和FBI共享数据。

（f）联邦政府的政策是：

（i）与机构签订合同的信息和通信技术（ICT）服务提供商在发现涉及提供给此类机构的软件产

品或服务或涉及提供给此类机构的软件产品或服务的支持系统的网络事件时，必须立即向此类机构报

告；

（ii）ICT服务提供商在根据本节（f）（i）小节向联邦民政执行部门（FCEB）机构报告时也必

须直接向CISA报告，并且CISA必须集中收集和管理此类信息；和

（iii）必须根据本节（g）（i）（E）款确定的适当机构接收和管理本命令第10（h）节中定义

的与国家安全系统有关的报告。

（g）实施本节（f）规定的政策：

（i）在本命令发出之日起45天内，国土安全部长应与国防部长协商，通过国家安全局局长、总

检察长和OMB局长，向FAR委员会推荐合同语言，以确定：

（A）需要报