關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.09.25
標準與框架/法規標準
OTCC 提出框架以規範網路安全成熟度,增強關鍵基礎設施的彈性
I. 提議背景與框架核心目標

營運技術網路安全聯盟 (Operational Technology Cybersecurity Coalition, OTCC) 正在提議一個框架,以解決近期關鍵基礎設施網路攻擊暴露出的一個關鍵國家安全漏洞。此建議模型將允許國家網路主管辦公室 (ONCD) 每年以 1 至 5 的等級SRMA(Sector Risk Management Agencies,部門風險管理機構)進行評估,評估內容涵蓋領域專業知識、政策、風險評估、事件回應和跨部門協調,尤其關注營運技術 (OT) 環境

該框架旨在與現有法規和標準保持一致,為聯邦預算、特定產業績效和產業協作建立一致的基準。其最終目標是透過識別《關鍵基礎設施防禦措施法案》(SRMA)的差距、引導投資,以及支持公共和私營部門持續改善網路安全,增強國家關鍵基礎設施的韌性


II. 成熟度量表與評分機制細節

OTCC 的執行董事 Tatyana Bolton 和國防民主基金會 (FDD) 網路與技術創新中心高級總監 Mark Montgomery 在一份文件中指出,ONCD 應以 1 到 5 的等級來評估 SRMA 的成熟度,其中 1 代表不一致的成熟度,而 5 代表優化的成熟度。為了達到指定的成熟度級別,SRMA 必須滿足該級別中 70% 的要求(適用於等級 2-3)。對於等級 4 和 5,則必須滿足所有指標。對於處於等級 1 或 2 成熟度的組織,ONCD 應要求其提交年度報告,概述改進計畫。

成熟度量表涵蓋了評估SRMA提供建議的能力、將特定OT網路安全標準(例如NIST SP 800-82IEC 62443標準)融入事件響應和風險管理計劃的能力、提出特定行業的最佳實踐以及衡量實時監控和事件響應的整體準備程度的標準。透過採取這些措施,各機構可以更有效地與私部門合作,以確保該產業的IT和OT環境及系統的安全。該框架也將作為深入部門特定專業知識的基礎。

OTCC 提出的評估標準將根據 ONCD 國家安全備忘錄 22 (NSM-22) 所規定的 SRMA 角色和職責,分為多個類別,包括:領域專業知識、政策、風險評估、事件回應和跨部門協調


III. 對齊標準與專注於成果

Bolton 和 Montgomery 強調,ONCD 應與網路安全和基礎設施安全局(CISA)協調,每年對每個 SRMA 的成熟度進行評級。此框架將衡量功能能力並考慮 OT 特有的挑戰,尤其是在嚴重依賴遺留系統即時操作的行業。

該提議將允許 ONCD 與管理和預算辦公室(OMB)協調,更有效地履行其職責,塑造聯邦網路安全預算並持續追蹤 SRMA 的成熟度。OTCC 強調,他們的重點是成果,而不是僅僅完成檢查清單。Bolton 表示:「我們 100% 專注於成果而非檢查清單...我們必須具有戰略性和效率,專注於最關鍵的優先事項,以在有限的時間內實現有意義的結果。」

OTCC 建議,SRMA 最實際的方法是超越全面的系統檢修,轉而專注於基於風險的、分階段的整合,納入 NIST 800-82 和 IEC 62443 等標準的關鍵原則。這意味著優先保護最關鍵的資產,並在影響最大的地方應用控制措施。例如,SRMA 可以指導運營商實施強大的網路分段(network segmentation)身份管理,即使內部遺留系統仍在使用中。


IV. 成熟度等級詳解與持續改進

該文件詳細定義了從等級 1(不一致成熟度)到等級 5(優化成熟度)的具體要求:

  • 等級 1(不一致成熟度): 機構網路安全領域專業知識有限,安全政策過時(超過五年未更新),不進行風險評估,缺乏事件回應計劃和跨部門協調機制。

  • 等級 2(基本成熟度): SRMA 具備初始知識,開始識別其部門獨特的網路安全需求。正在制定基本安全政策(例如風險管理框架、存取控制),雖然事件回應計劃已起草,但可能缺乏測試或協調。跨部門協調處於早期階段,資訊共享不一致。

  • 等級 3(結構化成熟度): SRMA 對其部門實體有總體概述,維護定期更新的文檔和指導方針。定期進行部門風險評估,並每年與 CISA 和 FBI 進行桌面演習。跨部門演習每年舉行,並與其他關鍵基礎設施部門進行協調。

  • 等級 4(管理成熟度): SRMA 定期審查和更新安全政策,並與部門夥伴協作制定網路績效目標(Cyber Performance Goals)。已建立完善的事件回應能力,並透過持續監控和定期演練支持。SRMA、ISACs 和 SCCs 之間的職責清晰界定,70% 的部門參與行業 ISACs 和 SCCs。

  • 等級 5(優化成熟度): SRMA 保持等級 4 的標準,並必須向 DHS CISA 國家風險管理中心和 ONCD 提交年度報告,描述該部門在隔離和復原 OT 系統、維持營運連續性方面的能力,並展示持續改進。SRMA 能夠繪製和衡量其部門與其他關鍵基礎設施部門的相互依賴性。

OTCC 的提議旨在透過此標準化的評估框架,促進供應鏈安全,並透過識別最小可行服務目標和創建可信賴的供應商名冊來強化整體國家韌性。這項措施是確保美國關鍵基礎設施面對日益複雜的威脅時,能夠有效、主動回應的重要一步。


資料來源:https://industrialcyber.co/critical-infrastructure/otcc-proposes-framework-to-standardize-cybersecurity-maturity-boost-critical-infrastructure-resilience/
 
營運技術網路安全聯盟(OTCC)提議一個新的框架,旨在透過標準化評估(1到5級) Sector Risk Management Agencies (SRMA) 的網路安全成熟度,特別針對OT環境,來填補國家安全漏洞,並增強國家關鍵基礎設施的整體韌性。