《提高关键基础设施网络安全框架》核心表中文版

美国网络安全行政令—提高关键基础设施网络安全美国网络安全行政令—提高关键基础设施网络安全一、背景介绍随着现代社会对信息技术的依赖程度不断增加，关键基础设施的网络安全问题也日益凸显。

为了防止潜在的网络攻击对国家安全、经济和公民生活造成的威胁，美国决定通过行政令来提高关键基础设施的网络安全。

二、关键基础设施网络安全评估为了全面了解关键基础设施的网络安全情况，我们将进行以下评估工作：1、评估关键基础设施的网络弱点和脆弱性，包括对物理设施和网络架构的评估。

2、评估各个关键基础设施部门的网络安全能力和措施，包括安全团队的组成和培训等。

三、加强网络安全防护针对关键基础设施的网络安全威胁，我们将采取以下措施来加强防护：1、提升防火墙和入侵检测系统的能力，及时发现并拦截潜在的网络攻击。

2、加强身份验证和访问控制措施，限制未经授权的访问。

3、推动采用最新的网络安全技术和设备，确保关键基础设施的网络安全性能达到最高水平。

四、应急响应和恢复计划为了有效应对网络安全事件，我们将制定应急响应和恢复计划：1、建立网络安全事件响应团队，确保在网络攻击事件发生时能够迅速响应并采取措施。

2、制定恢复计划，包括备份关键数据和系统的方法，以便在事件发生后能够尽快恢复正常运营。

3、定期进行演练和渗透测试，评估恢复能力并及时修正不足之处。

五、合规要求为了确保关键基础设施部门按照网络安全标准和最佳实践运行，我们将加强合规要求的监督和执行：1、制定网络安全合规框架，包括标准和指南，帮助各个部门满足网络安全要求。

2、设立网络安全合规部门，负责监督和审核各个关键基础设施部门的合规情况。

3、对合规性不达标的关键基础设施部门进行处罚，并要求其立即采取纠正措施。

六、附件本文档涉及的附件详见附件部分。

七、法律名词及注释1、关键基础设施：指对国家安全、经济和公民生活具有重要意义的基础设施，包括但不限于电力、通信、交通等。

2、网络弱点：指网络中存在的容易受到攻击的漏洞或脆弱性。

报告丨美国国防部（DoD）发布网络安全参考架构丨附下载网络安全参考架构（CSRA）是一个参考框架，旨在由国防部用来指导网络安全的现代化，这是 E0.14028号文件第3节，改善国家网络安全以及关于改善国家安全国防部和情报界系统的网络安全的国家安全备忘录的要求。

CSRA将推动国防商业系统、国防部国家安全系统（NSS）和国防部关键基础设施/关键资源（CIKR）——包括国防部信息技术（IT）和国防部操作技术（OT）——通过演变来整合ZT原则。

这种演变对于通过采用ZTA实现网络安全的现代化是必要的。

CSRA是通过整合情报产品和基干威胁的网络安全评估（例如，国防部网络安全分析宙查DODCAR）的威胁信息产品。

CSRA的目的是以原则、基本组件、能力和设计模式的形式建立网络安全架构的特征，以应对存在于传统网络边界内外的威胁。

CSRA与其他RA和解决方案架构的协调必须包括现有的指挥和控制(C2)命令和指令。

C2和CSRA的调整将提高网络空间的生存能力，增强行动和作战人员支持的弹性，以实现综合威慑。

1 摘要国防部首席信息官负责指导国防部雇用的NSS和CIKR的网络安全的现代化。

根据国家安全指令42的规定，国家安全局局长被指定为NSS的国家管理者。

国防部首首席信息官办公室和国家安全局之间的伙伴关系使国防部为支持作战人员而实现网络安全现代化的方法得到发展。

网络安全参考架构(CSRA)在历史上为与JIE企业架构相一致的架构系列提供网络安全指导。

它最初是为了传达企业级的技术指导，以满足JIE和国防部信息企业网络安全的目标·CSRA现在是按照E.O.14028和NSM-8第3条对联邦政府的指示，为国防部实理现网络安全的现代化。

1.1 宗旨CSRA的目的是以原则、基本组件、能力和设计模式的形式建立网络安全架构的特征，以应对存在于传统网络边界内外的威胁。

CSRA通过整合ZT原则指导网络安全实施的现代化，以支持威胁情报驱动的缓解和采购规划的调整。

美国提高关键基础设施网络安全的行政命令【译者按】当前国际上针对电力、金融等关键基础设施的网络攻击日益增多，严重威胁着各国经济发展、国家安全和社会稳定，成为悬在各国头上的达摩克利斯之剑。

为提高关键基础设施网络防御能力，2013年2月12日美国总统奥巴马签署了《关于提高关键基础设施网络安全的行政命令》。

该命令授权制定关键基础设施网络安全框架，明确应遵循的安全标准和实施指南，为关键基础设施所有者和运营商进行安全检查提供依据，促进其与政府分享机密信息并参与到政府制定和执行标准的决策中。

这对我国加强关键基础设施网络安全具有重要借鉴意义。

为此，赛迪智库信息安全研究所对该命令进行了全文翻译，希望能对我国政府相关决策部门提供参考。

第一条政策针对关键基础设施的网络入侵屡次发生，亟需提高关键基础设施网络安全防护能力。

关键基础设施面临的网络威胁日趋严峻，已经成为美国必须直面的最严重的国家安全挑战之一。

国家关键基础设施的可靠运转是美国国家安全和经济安全的前提。

本命令用于加强国家关键基础设施防护能力和容灾能力，致力于营造一种能够提高效率、鼓励创新、促进经济繁荣，同时提高内在安全水平和外在安全防护能力、保护隐私权和公民自由权的网络环境。

为此，我们需要与关键基础设施所有者和运营商合作，完善网络安全信息共享机制，共同研发和使用风险导向型标准。

第二条关键基础设施在本命令中，关键基础设施是指对美国至关重要的、实体的或虚拟的系统和资产，这些系统和资产遭到破坏或丧失功能将危及国家安全、国家经济安全、国家公共健康和社会稳定。

第三条政策协调对相关研究和项目进行的政策协调和监管、争端解决、周期性过程中审查等，应当遵循2009年2月13日发布的1号总统令（“国家安全委员会组织体系”）及其后续指令。

第四条网络安全信息共享（一）美国政府将与美国私营机构共享网络威胁信息，并将致力于提高相关信息的数量、质量和实时性，以便这些机构更好地进行自我保护和抵御网络威胁。

关键基础设施安全框架执行概要美国的国家和经济安全离不开关键基础设施的可靠性。

伴随着关键基础设施的复杂性和关联性的增加，信息安全威胁使得国家的安全、经济和公众的安全以及人民的健康面临着风险。

如同信誉和金融风险一样，信息安全风险对企业造成了影响，它不仅增加了消耗、影响了企业效益，而且还伤害了企业的创新能力，流失了固定的顾客。

为了更好的应对这些风险，总统于2013年2月12日签署了13636号执行指令--“提高关键基础设施安信息安全”。

该文件是“美国政府为提高国家关键基础设施的安全与可靠性，保障安全的网络环境；并在提高生产效率、创新能力与经济繁荣的同时，保证生产的安全稳定，保护企业商业机密、隐私、以及公民自由的政策文件”，该执行指令要求自发的形成一种基于风险的信息安全框架-----以一系列的标准和最佳实践来帮助企业管理信息安全风险。

这版由政府和私人组织合作创建的框架，用一种最普通的语言、在基于商业需求的前提下、用最经济有效的方法来描述和管理信息安全风险，该框架并不会增加另外的商业监管要求。

该框架利用商业驱动的方式来指导信息安全操作并且将信息安全风险作为企业风险管理过程的一部分。

该框架由三部分组成：框架核心（core）、框架剖面图(profiles)、框架实施层次。

框架核心是一系列的信息安全操作、实现效果以及关键基础设施邻域常见的信息参考文献的集合，它能提供详细的指导用来建立个人组织剖面。

通过使用框架剖面图，使得企业能将其信息安全操作与商业需求、风险容忍和资源结合起来。

实施层次能帮助企业认识和理解其管理信息安全风险的方法的特点。

该执行指令也要求框架包含相应的方法，使得关键基础设施组织者在设计信息安全操作时能保护个人隐私和公民自由。

尽管生产过程和需求不同，该框架仍然能将个人隐私和公众自由融合到综合信息安全规划中。

该框架适用于任何企业，不论其大小规模、信息安全风险程度和信息安全复杂度，企业都可以采用风险管理机制和最佳实践来提升关键基础设施的安全和恢复力。

美国NIST发布网络安全框架第二稿
佚名
【期刊名称】《网信军民融合》
【年(卷),期】2017(000)007
【摘要】发布时间:2017年12月12日美国国家标准与技术研究院(NIST)已经于2017年12月5日发布《改进关键信息基础设施网络安全框架》第二稿(即网络安全框架1.1版本第二稿)。

NIST方面指出,第二稿草案旨在澄清、改进及加强网络安全框架,扩大其价值与易用性。

新的草案反映了NIST迄今为止收到的意见,包括2017年1月启动的公开审查流程与2017年5月召开的研讨会活动。

【总页数】1页(P76-76)
【正文语种】中文
【中图分类】D771.2
【相关文献】
1.美国国家标准与技术研究院（NIST）发布第二版《网络安全框架草案》 [J], ;
2.NIST《改进关键基础设施网络安全框架》分析 [J], 贾浩淼;王石
3.从美国网络安全框架看网络秩序构建 [J], 李农
4.美国国家标准技术研究院(NIST) 发布森林火灾最新研究报告 [J],
5.美国国家标准技术研究院(NIST)召开网络会议-2020年NIST抗灾专题研讨会[J],
因版权原因，仅展示原文概要，查看原文内容请购买。

电子政务发展前沿本期内容：美国关键基础设施网络安全框架国家电子政务外网管理中心主办电子政务发展前沿E-Government Frontiers编者的话2013年2月12日，奥巴马政府发布美国总统第13636号行政令《提高关键基础设施网络安全》；240天后，国家标准与技术研究院（NIST）完成了《关键基础设施网络安全框架（V1.0）》初稿；2014年2月12日，奥巴马政府宣布框架正式发布。

此外，国土安全部（DHS）推出了关键基础设施网络社区（称为C3，读作C 立方）志愿计划，作为13636号行政命令执行的另一重要成果，鼓励基础设施部门采用框架，以加强关键基础设施网络安全。

框架提供了“优先、灵活、可重复、基于绩效的和成本效益”网络安全风险管理流程和方法，内容包括框架核心、框架简表以及实现层级，其中框架核心由五个环节组成：识别、防护、检测、响应、恢复，这些环节为网络安全风险管理生命周期提供了策略视图。

框架提出用“标准、指南和最佳实践”为关键基础设施部门管理网络安全风险提供指引。

另外，框架的配套项目C3志愿计划通过对自愿参考本框架的组织机构提供免费支持，以增强基础设施网络安全系统的可靠性。

这一框架对我国关键基础设施网络安全有很多值得借鉴的地方：首先，框架将基础设施部门的风险决策、商务财务行政手段以及技术结合起来，规范了网络安全的业务流程；其次，框架针对不同的关键基础设施部门，提出了相应的实施策略，有利于其自主提升网络安全能力；最后，在法律法规不够完善的情况下，国家将以政府协助等行政手段推进网络安全建设。

我国目前网络安全方面法律尚不健全，以行政手段推进网络安全建设也是提高网络安全能力的重要措施。

责任编译：冷默译审：冀俊峰目录编者的话 (I)1 网络安全框架发布通告 (1)2 提高基础设施网络安全的框架 (3)内容提要 (3)2.1 框架简介 (4)(1) 框架概览 (5)(2) 风险管理和网络安全框架 (6)(3) 文档概览 (7)2.2 基本框架 (7)(1) 框架的核心 (7)(2) 框架实现层级 (9)(3) 框架简表 (11)2.3 如何使用框架 (12)(1) 基本评价网络安全活动 (13)(2) 建立或完善一个网络安全计划 (13)(3) 利益相关者沟通安全需求 (14)(4) 更新或修订必要参考 (14)(5) 保护隐私和公民自由方法论 (14)附录B 词汇表 (17)附录C 缩略语表 (17)附录D 简表模板 (18)3关键基础设施网络社区志愿计划 (19)3.1 关于C3志愿计划 (19)3.2 C3计划三项主要活动 (20)(1)使用支持 (20)(2) 外联和通信 (20)(3) 收集反馈 (20)3.3 实现及可调度资源 (20)(1) 识别 (20)(2) 保护 (21)(3) 检测 (21)(4) 响应 (21)(5) 恢复 (21)(6) 可调度资源表 (21)电子政务发展前沿 E-Government Frontiers1 美国关键基础设施网络安全框架1 网络安全框架发布通告2014年2月12日，奥巴马政府宣布网络安全框架正式发布，这是由关键基础设施私营部门主导的自愿性增强网络安全计划的工作之一。

电子政务发展前沿E-Government Frontiers编者的话基础设施这个术语原意是指支撑城市的实际网络，包括道路、上下水设施、动力电缆和电信线路等。

当代的关键基础设施概念超出了实际结构的范围，定义为使社会得以生存且繁荣昌盛的互连机构和功能，其描述范围也包括将信息资源连接到网络空间的虚拟网络。

根据美国工业控制系统网络紧急应变小组(ICS-CERT)的报告显示，美国关键基础设施公司报告的网络安全事件数量从2009年的9起、2010年41起，急剧增加2011年198起。

包括美国国防部长帕内塔在内的众多政府高级官员多次表示，呼吁国会通过相关法律，有效保护关键基础设施网络安全，保障美国经济稳定。

为此，美国白宫于2013年2月12日宣布，由总统奥巴马当天签署行政命令，扩大联邦政府与私营企业的合作深度与广度，以加强“关键基础设施”部门的网络安全管理与风险应对能力。

该行政命令通过提供法律依据、行政支持的方式从信息共享与加强安全措施两个角度提高“关键基础设施”网络安全。

如扩大网络安全强化服务项目范围；制定降低“关键基础设施网络安全风险”的基本框架；充分利用网络安全框架规范，评估、修订各管理机构现行的网络安全规范等。

值得注意的是，该行政命令对上述措施实施过程的执行时间、执行流程以及责任主体要求明确，以此命令行之有效。

本期选译的《提高关键基础设施网络安全的行政命令》，对我国信息安全立法有极大的借鉴意义，我们将特别关注如下几个问题：有效提高标准应用能力，平衡信息开放与维护公民隐私权利，完善国际间合作机制。

此外，我们还系统性地搜集整理了北美、亚洲和欧洲部分国家重要信息安全立法情况，以供读者参考。

责任编译：冷默编译：焦迪吕品译审：贾一苇I电子政务发展前沿E-Government Frontiers I I目录提高美国关键基础设施网络安全 (1)一、政策 (1)二、关键基础设施 (1)三、政策协调 (1)四、网络安全信息共享 (2)五、个人隐私和公民自由权保护 (2)六、协商过程设立 (3)七、关键基础设施网络安全风险应对的基线框架 (3)八、关键基础设施网络安全计划 (4)九、关键基础设施最高风险识别 (5)十、网络安全架构采用 (5)十一、定义 (6)十二、总则 (6)世界部分国家及组织重要信息安全立法情况 (8)一、美国 (8)二、日本 (9)三、德国 (10)四、英国 (10)五、法国 (10)六、俄罗斯 (10)七、韩国 (12)八、印度 (12)九、新加坡 (12)十、欧盟 (13)电子政务发展前沿E-Government Frontiers 美国网络安全行政令——提高关键基础设施网络安全摘要奥巴马发表国情咨文时公布了这项期待已久的行政命令。

（水平有限，翻译粗糙，仅供参考）为改善关键基础设施网络安全框架Version 1.0国家标准与技术研究所February 12, 2014Table of ContentsExecutive Summary (1)1.0 Framework Introduction (3)2.0 Framework Basics (7)3.0 How to Use the Framework (13)Appendix A: Framework Core (18)Appendix B: Glossary (37)Appendix C: Acronyms (39)List of FiguresFigure 1: Framework Core Structure (7)Figure 2: Notional Information and Decision Flows within an Organization (12)List of TablesTable 1: Function and Category Unique Identifiers (19)Table 2: Framework Core (20)执行摘要美国的国家安全和经济安全取决于关键基础设施的可靠运作的。

网络安全威胁攻击日益复杂和关键基础设施系统的连接，把国家的安全，经济，风险公众安全和健康。

类似的财务和声誉风险，网络安全风险影响到公司的底线。

它可以驱动多达费用及影响收入。

它可能会损害一个组织的创新，以获得并保持客户的能力。

为了更好地解决这些风险，总统于2013年2月12日，其中规定“[I] t是美国的政策，加强国家的安全和弹性颁布行政命令13636，”改善关键基础设施的网络安全。

“关键基础设施和维护，鼓励高效，创新，和经济繁荣，同时促进安全，保安，商业机密，隐私和公民自由。

“在制定这项政策的网络环境，执行命令为自愿风险的发展需要基于网络安全框架- 一套行业标准和最佳实践，帮助企业管理网络安全风险。

美国⽹络空间安全体系（9）：《提升关键基础设施⽹络安全框架》介绍为有效保护美国关键基础设施⽹络安全，美国总统奥巴马于2013年2⽉12⽇签署名为“提⾼关键基础设施⽹络安全”的13636号⾏政命令，扩⼤联邦政府与私营企业的合作深度与⼴度，以加强“关键基础设施”部门的⽹络安全管理与风险应对能⼒，提出由美国商务部牵头、国⼟安全部配合，指导美国国家标准技术研究院（NIST，直属美国商务部）开发降低关键基础设施信息与⽹络安全风险的框架，此框架应包括⼀套标准、⽅法、程序、政策以及安全威胁定位的业务流程和技术⽅法。

2014年2⽉12⽇，美国⽩宫宣布发布由NIST经过多番修订形成的《提升关键基础设施⽹络安全框架》第⼀版（以下简称《框架》）。

本⽂对《框架》发布的作⽤和意义进⾏了阐释，对其主要内容和应⽤⽅法进⾏了重点分析和说明。

⼀、《框架》概述《提升关键基础设施⽹络安全的框架》的基本思想，是⼀套着眼于安全风险，应⽤于关键基础设施⼴阔领域的安全风险管控的流程。

按照美国联邦政府相关⾏政指令，要求该⽂件的开发应基于⼀系列的⼯业标准和最佳实践来帮助组织管理⽹络安全风险。

这个框架通过政府和私营部门的合作进⾏创建，并基于业务需要、以低成本⽅式、使⽤通⽤语⾔来处理和管理⽹络安全风险。

基于此⽬的，该⽂件的开发⽬的是形成⼀套适⽤于各类⼯业技术领域的安全风险管控的“通⽤语⾔”，同时为确保可扩展性与开展技术创新，此框架⼒求做到“技术中性化”，即：第⼀依赖于现有的各种标准、指南和实践，使关键基础设施供应商获得弹性能⼒。

第⼆依赖于全球标准、指南和实践（⾏业开发、管理、更新实践），实现框架效果的⼯具和⽅法将适⽤于跨国界，承认⽹络安全风险的全球性，并随着技术发展和业务需求⽽进⼀步发展框架。

因此，从某种⾓度上来观察，该⽂件就是⼀份“⽤于关键基础设施安全风险管控的标准化实施指南。

”⼆、《框架》核⼼Framework Core框架核⼼提供⼀系列为实现特定⽹络安全⽬标⽽进⾏的活动及指导⽰例作为参考。

提升关键基础设施网络安全框架（美国）V1.12018年4月16日核心内容：包括5大功能模块、22类、108子类功能缩写功能类别缩写类别ID 标识ID.AM 资产管理ID.BE 业务环境ID.GV 治理ID.RA 风险评估ID.RM 风险管理战略ID.SC 供应链风险管理PR 防护PR.AC 身份管理和接入控制PR.AT 意识和培训PR.DS 数据安全PR.IP 信息保护PR.MA 维护PR.PT 防护技术DE 监测DE.AE 异常和事件DE.CM 持续安全监控DE.DP 检测流程RS 响应RS.RP 响应计划RS.CO 沟通RS.MI 缓解RS.IM 提升RC 恢复RC.RP 恢复计划RC.IM 提升RC.CO 沟通功能类别子类别ID 标识ID.AM资产管理1）该组织内的设备和系统都有清单2）该组织内的软件平台和应用都有清单3）制作该组织内的通信和数据流图4）编制外部信息系统目录5）基于资源所处层级、重要性和商业价值将各类资源（包括：硬件、设备、数据、时间、员工、软件等）按优先级列表6）建立责任体系，包括全体员工队伍和第三方利益相关方（如：供应商、客户、合作伙伴等）ID.BE业务环境1)定义和描述该组织在供应链中的任务2)定义和描述该组织在关键基础设施及其行业中的地位3)建立和描述该组织使命、目标和活动的优先事项4)建立关键服务交付的依赖性和关键功能5)建立所有操作状态（比如：胁迫/攻击状态，恢复状态，正常操作状态）支持关键服务交付的弹性（Resilience）要求ID.GV治理1）建立和传达组织网络安全政策2）将内部角色和外部合作伙伴的网络安全角色和责任协调一致3）理解和执行有关网络安全的法律法规要求，包括隐私和公民自由义务4）解决网络安全风险的治理和风险管理流程ID.RA风险评估1）识别并记录资产漏洞（vulnerabilities）2）网络威胁情报来自信息共享论坛和来源处（sources）3）定义和记录内外部威胁4）确定潜在的业务影响和可能性5）威胁、漏洞、相似性和影响被用于确定风险6）定义风险响应并确定其优先级ID.RM风险管理战略1）组织利益相关者建立、管理、同意风险管理过程。

5G 网络的核心架构和关键技术分析与探讨发布时间：2023-01-29T05:26:53.377Z 来源：《科技新时代》2022年9月16期作者：林镭[导读] 本文主要对5G网络的核心网络架构和关键技术进行分析林镭广州市汇源通信建设监理有限公司摘要：本文主要对5G网络的核心网络架构和关键技术进行分析，并对其实现策略进行探讨，以供同仁参考。

关键词：5G网络；核心架构；关键技术；实现策略一、前言5G移动是我们国家正在面向为满足国家通信需求发展而着力研究及建设起来的新一代移动通信系统，根据移动通信领域发展中的一个基本的发展及演进趋势规律，5G手机终端将可能同时会具有更大超高达的无线有效传输频谱利用率能和无线终端能效，在无线信息有效传输频谱的传输速率能力和信息传输的资源利用率能力等多个指标方面均会比较接近更高，其系统整体的无线宽带网络传输覆盖技术与系统性能、传输网络资源传输时延、系统整体传输与安全与稳定性能力和手机用户整体操作的体验感知水平等也均无疑也将因此同时会得到相对较为显而著的限度上的提高。

基于此，本文主要对5G网络的核心网络架构和关键技术进行分析，并对其实现策略进行探讨，以供同仁参考。

二、5G核心网络架构5G无线接入网节点之间组网及节点与核心网络间组网进行无线网络的链接或传输通信时，基础网段一般应是考虑采用5G承载网。

这个承载网结构大大的提高了增强了无线骨干网络之间组网连接数据传输时延的和网络灵活性，具备完善了对组网连接安全及保护系统的各项功能要求控制和网络质量管控功能等关键功能，极大一定程度的保证了无线组网时候延安全等和其他各种技术基本性能。

简单的网络架构设计和功能设计实现原理示意图如图1所示。

图1、5G承载网络总体架构三、5G核心网络关键技术研究（1）无线传输技术1）大规模MIMO无线传输技术。

大规模的MIMO信号传输也并不意味着一定只是单纯为了简单的扩增信道天线数量，当天线信道之间的正交天线数量越多趋于到一个或很大一数量级(无穷)以上时，信道天线系统之间才将会趋于接近完全的正交，其信道天线系统性能亦便也越来趋向稳定。

中文版为改善关键基础设施网络安全框架（水平有限，翻译粗糙，仅供参考）为改善关键基础设施网络安全框架Version 1.0国家标准与技术研究所February 12, 2014Table of Contents执行摘要 (4)1.0框架简介 (6)2.0基本框架 (10)3.0如何使用框架 (17)附录A：核心框架 (21)表2：框架核心 (20)附录B：词汇表 (37)附录C：缩略语 (39)List of FiguresFigure 1: Framework Core Structure (7)Figure 2: Notional Information and Decision Flows within an Organization (12)List of TablesTable 1: Function and Category Unique Identifiers (19)Table 2: Framework Core (20)执行摘要美国的国家安全和经济安全取决于关键基础设施的可靠运作的。

网络安全威胁攻击日益复杂和关键基础设施系统的连接，把国家的安全，经济，风险公众安全和健康。

类似的财务和声誉风险，网络安全风险影响到公司的底线。

它可以驱动多达费用及影响收入。

它可能会损害一个组织的创新，以获得并保持客户的能力。

为了更好地解决这些风险，总统于2013年2月12日，其中规定“[I] t是美国的政策，加强国家的安全和弹性颁布行政命令13636，”改善关键基础设施的网络安全。

“关键基础设施和维护，鼓励高效，创新，和经济繁荣，同时促进安全，保安，商业机密，隐私和公民自由。

“在制定这项政策的网络环境，执行命令为自愿风险的发展需要基于网络安全框架 - 一套行业标准和最佳实践，帮助企业管理网络安全风险。

由此产生的框架，通过政府和私营部门之间的合作创建的，使用共同的语言，无需放置额外的监管要求，对企业在根据业务需要具有成本效益的方式处理和管理网络安全风险。