美国关键基础设施政策 研究专报 第6期 路云天网络安全研究院云天洞察第14期 2022年4月21日 信息时代下美国关键基础设施加强信息系统保护 ——2001年第13231号行政令《信息时代的关键基础设施 保护》解读 美国于1998年颁布的第63号总统令《关键基础设施保护》，把 保护美国关键基础设施安全作为明确的国家目标，并提出关键基础 设施保护工作的组织架构。9·11事件之后，布什政府于2001年10 月16日发布13231号行政令《信息时代的关键基础设施保护》（以 下简称“13231号行政令”），成立总统关键基础设施保护委员会 （PCIPB），全面负责美国关键基础设施信息系统安全的管理协调工 作，与信息安全相关的多个政府部门和联邦机构统一与PCIPB相协 调。针对信息系统保护的不同职能，PCIPB下设10个常设委员会分 别与私营部门、各州和地方政府以及学术界开展合作，涉及领域包 括信息安全保护协调、事故协调与危机响应、基础设施相互依存、 信息共享、行政部门信息系统安全、研究与开发、国际信息基础设施保护、执法协调、国家安全和金融信息系统基础设施安全等。另 外，13231号行政令还建立了国家基础设施咨询委员会（NIAC），与 之前成立的总统国家安全通讯咨询委员会一并组成总统咨询小组， 代表私营产业界向总统提供建议。随着13231号行政令的发布，美 国更加重视关键基础设施信息系统安全的保护，并持续加强政府之 间以及政府与私营部门之间的协调工作。 一、历史背景 2001年美国发生了震惊世界的9·11恐怖袭击事件，2000多条 宝贵生命随之消逝，事件对美国造成的经济损失高达2000亿美元， 对全球经济造成的损失甚至高达1万亿美元。9·11事件暴露了美国 在信息预警和应急通信等方面的巨大问题。联邦调查局事后调查报 告指出，事发前恐怖分子曾多次利用互联网传递信息、制定计划甚 至购买机票。恐怖袭击发生后，在最初的救援中，因通讯信号延迟 或中断，大量进入世贸大厦救援的消防员未能及时撤离，葬身在世 贸大厦的倾覆中，造成了严重的二次伤亡。 惨痛的代价使美国认识到关键基础设施信息系统的重要战略地 位，为有效改善关键基础设施信息系统保障不力的问题，布什政府 在恐怖袭击之后发布了13231号行政令，宣布成立总统关键基础设 施保护委员会，代表政府统一协调组织其他与关键基础设施信息系 统有关的联邦机构的工作。从此，美国开始建立国家级关键基础设 施信息系统保护的协调机构，不断强化与私营部门的沟通和协调， 持续为关键基础设施信息系统保护提供有效和实用的政策建议。 二、主要内容 2001年10月16日，美国发布13231号行政令，正式成立总统关键基础设施保护委员，全面负责美国关键基础设施信息系统的协 调保护工作，其下设的10个常设委员会与联邦政府机构紧密协调， 建立了信息系统保护的多方沟通渠道。此外，该行政令还成立了国 家基础设施咨询委员会，代表私营产业界向总统提供建议，为有效 识别和减轻风险提出实用解决方案，极大的促进了美国关键基础设 施保护的公私部门合作机制。 （一）提出关键基础设施信息系统保护方针并持续授权 二十一世纪初，美国认识到“信息技术革命改变了商业交易、 政府运作和国防的实施方式，而这些都依赖于相互依存的关键信息 基础设施网络”。13231号行政令提出了两个关键基础设施信息系统 保护的方针。一是持续努力确保关键基础设施信息系统的安全，包 括应急准备通信，以及支持此类系统的物理资产。二是防止中断关 键基础设施信息系统的运行，保护美国人民、经济、政府服务以及 国家安全，确保任何发生的中断次数最少，持续时间最短，造成损 害或损失最小。 13231号行政令还分别对行政部门信息系统安全和国家安全信 息系统进行授权，要求管理和预算办公室（OMB）负责监督和制定 政府范围内各部、局使用信息系统的安全政策、标准和指南。要求 国防部和中央情报局负责监督和制定相关政策、标准和指南，以确 保被其他行政部、局所依赖的国家安全信息系统的业务运转安全。 并明确规定各行政部门和机构负责人有责任提供和维护信息系统 （包括应急通信系统）的安全。 （二）设立关键基础设施保护委员会加强协调保护能力 为了加强对关键基础设施信息系统的协调保护，13231号行政 令建立了由近20个政府部门组成的协调机构“总统关键基础设施保护委员会”（PCIPB），代表联邦政府全面负责关键基础设施信息系 统保护的协调工作，并通过下设协调委员会和常设委员会的方式履 行对信息系统协调保护的不同职责。 图1：总统关键基础设施保护委员会组织结构 1.总统关键基础设施保护委员会人员组成 主席：应是总统网络空间安全特别顾问并由总统亲自任命，在 白宫办公厅内应该有相应规模的工作班子，各行政部、局可选派工 作人员进入主席的工作班子。主席的相关权职如下。 （1）向有关官员提出政策和方案，以确保国家关键基础设施信 息系统的保护，包括应急通信以及支持这些系统的物理资产。 （2）向国家安全事务总统助理和国土安全事务总统助理进行汇 报，以确保国家安全委员会（NSC）与国土安全办公室充分协调。 （3）就私营部门系统和经济影响相关的问题与总统经济政策助 理进行协调。 （4）就各行政部、局使用的信息系统涉及的预算和计算机网络 安全相关问题与行政管理和预算办公室主任进行协调。 （5）有权要求各行政部门和机构尽全力及时通报委员会工作范畴内所有信息系统安全工作情况。 （6）委员会主席具有绝密信息的定密权。 成员：必须是联邦政府的全职官员或雇员，或是永久性兼职官 员或雇员。成员应来自下述行政部、局和办公室的高级官员或代表。 表1：关键基础设施保护委员会成员构成 1、国务卿 11、联邦应急管理局主任 2、财政部长 12、总务管理局局长 3、国防部长 13、管理和预算办公室主任 4、司法部长 14、科技政策办公室主任 5、商务部长 15、副总统办公室主任 6、健康和公众服务部长 16、国家经济委员会主任 7、交通部长 17、国家安全事务总统助理 8、能源部长 18、国土安全事务总统助理 9、中央情报局局长 19、总统办公室主任 10、参谋长联席主席 20、可能指定的其他官员 此外，13231号行政令还要求在委员会下组成协调委员会，成 员包括下述官员。 表2：协调委员会成员构成 1、商务部下属的关键基础设施保障 办公室主任4、司法部联邦调查局国家关键基础 设施保护中心主任 2、国家通信系统委员会主任 5、中情局副局长 3、首席信息官委员会副主席 6、国家安全局信息保障主任 2.总统关键基础设施保护委员会具体职责 13231号行政令规定总统关键基础设施保护委员会应具备两大 职责，提供政策建议和对关键基础设施信息系统的保护工作进行协调（包括对应急通信及支撑这些系统的物理资产的保护）。为履行相 关职责，行政令还规定委员会应做好如下九个方面工作。 图2：总统关键基础设施保护委员会九大工作方向 工作方向一：与私营部门以及州和地方政府的合作协调 工作职责：委员会应当协调与私营部门的合作，并向私营部门 进行关于关键基础设施信息系统安全的咨询。（含应急通信以及支撑 这些系统的物理资产）包括： （1）委员会可以协助制定自愿性的标准及最佳实践。 （2）与可能受影响的业界协商，确定双方共同关注的领域。 （3）协调高级联络官的活动，负责与这些部门和机构所关注领 域内的私营部门组织就关键基础设施保护问题进行接触。 对应协调部门： （1）委员会要协调州和地方政府与私营部门、业界社区、学术 界代表和其他相关社会组织的合作。 （2）委员会应与关键基础设施保障办公室（CIAO）、商务部国 家标准和技术研究所、国家基础设施保护中心（NIPC）和国家通信系统（NCS）协调工作。 工作方向二：信息共享 工作职责：与工业界、州和地方政府以及非政府组织进行合作， 确保建立和维护其信息共享系统，以便在政府的网络运行中心、工 业界自愿建立的信息共享和分析中心以及其他有关网络运行中心之 间共享威胁预警信息、分析结果以及系统恢复所需的信息。 对应协调部门：委员会应当与国家安全系统委员会（NCS）、联 邦计算机应急响应中心、国家基础设施保护中心（NIPC）以及其他 有关部、局进行协调。 工作方向三：事件协调和危机应对 工作职责：协调项目和政策，以应对威胁关键基础设施信息系 统安全的事件，包括应急通信和支持此类系统的物理资产。 对应协调部门：委员会应通过国家基础设施保护中心（NIPC） 和国家安全系统委员会（NCS）及其他部门机构与司法部协调工作。 工作方向四：行政部门安全专业人员的招募、留任和培训协调 工作职责：与行政部门和机构协商，协调各项计划，确保负责 保护关键基础设施信息系统(包括应急准备通信和支持这些系统的物 理资产)的政府雇员得到充分的培训和评估。 对应协调部门：人事管理办公室应酌情与委员会协调工作。 工作方向五：协调研究和开发 工作职责：协调联邦政府在关键基础设施信息系统领域的研究 和开发计划，确保政府在这一领域的活动与企业、大学、联邦资助 的研究中心和国家实验室进行协调。 对应协调部门：委员会应与国家科学基金会、国防高级研究计 划局以及其他部门和机构酌情协调工作。工作方向六：与国家安全机关的执法协调 工作职责：推动打击网络犯罪的项目，协助联邦执法机构从行 政部门和机构获得必要的合作。支持联邦执法机构调查涉及关键基 础设施信息系统的非法活动（包括应急通信以及支持此类系统的有 形资产），并支持这些机构与其他有责任保卫国家安全的部门和机构 进行协调。 对应协调部门：委员会应通过国家关键基础设施保护中心 （NIPC）与司法