组织分担网络安全责任

　　联邦政府在孤立的形势下是无法在保证网络安全的许多方面上获得成功的。公众和私营部门的利益互相纠葛，在保证一个商业和政府服务所依靠的安全，可靠的设施上有着共同的责任。国内和国际的政府以及行业领导需要划分角色和责任，整合能力，并确认问题所属来制定一个全面的解决办法。
 
　　只有通过这样的合作美国才能够加强网络安全，并且获得数字革命的所有益处。全球的网络安全挑战需要在多边论坛上努力的不断增加。这个工作应该寻求同私营部门持续合作上制定全球标准，可扩大法律系统打击网络犯罪能力，继续发展和提高最好的措施，并维护稳定和有效的因特网监管来提高共同作业网络的安全。

　　提高政府部门和私营部门之间的合作关系

　　联邦政府有责任保护和防御国家的责任，而且政府各级部门有责任保证他们公民的安全和健康。私营部门设计，建造，拥有和运营大多支持着政府和私营使用者的网络设施。行业和政府分担着在网络设施以及在网上交易的安全和可靠性的责任，而且两方面应该密切合作应对这种互相依赖的方式。联邦政府有许多方法可以用来应对这些挑战，其中一些可能会要求做出法律或政策的改变。

　　私营部门工作要求针对执法和国家安全的限制起帮助作用。但前的法律允许使用一些工具来保护政府但是排除私营部门的网络，反之亦然。行业领导可以通过进行企业信息的分享，说明企业风险和数据破坏的最低限度，企业间谍活动，和服务的缺损或降低等起到帮助。行业领导可以要求供应商和服务提供者提供更高的保证，同时负责创建更为安全的软件和装备。商业需要部门之间和联邦政府之间的有效的手段来分享检测措施，关于破坏和攻击方式的信息，纠正技术，和预见能力。

　　如果风险和后果可以以金钱衡量，各个组织就可以拥有更大的能力和动力来应对网络安全。特别的是，私营部门经常寻求商业案例来判断把其信息和通讯系统安全纳入风险管理中所需的资源耗费，以及通过合作关系来降低集中性风险。政府可以通过考虑激励为本的立法或制度攻击提供协助来加强价值主张，并形成一个促进和鼓励合作和信息分享的环境。

　　总统的网络安全政策官员应该同相关部门和机构以及私营部门合作来考察现有公私合作关系和信息分享机制来确认或建设最有效的模型。公私合作关系应该促成信息分享，并作为美国重要设施保护和至少十年之久的网络政策的基础服务。在这个时期内，联邦政府和私营部门已经进行了一系列关于网络安全和信息及通讯设施议题的讨论会了。

　　这些组织履行着有价值的工作，但是工作的分散也让一些参与者会因为角色和责任不清，各个组织不平等的能力，以及计划和建议的扩散等无法进行。结果就是政府和私营部门的人员，时间和资源分散到一些有时是重复和不一致的工作上。合作关系必须清晰定义关系的本质，各个集团的角色和责任，对每个提团应该做出的贡献，以及责任机制。联邦政府应该制度化，协调，和提供资源给当前的组织来优化他们的能力以确认优先事项，促进更有效的执行，制定反应和恢复计划。

　　为期60天的评估考虑了一系列有效的公私部门合作关系模型。虽然这些模式履行非常不同的功能，但是它们都有重要的功用。每一个模式都有一个清晰阐明的制度性任务，严谨分配的角色和责任，以及一个清晰的价值主张，为参与者创建了激励措施。每个模式也通过建立和维持一个在成员之间互相信任的氛围，而减缓了一些疑虑。现有的网络安全合作关系组织可是是适合这些模式的最有效的特色。

　　评估阻碍公私合作关系发展的障碍

　　一些私营部门成员一直关心某些联邦法律可能阻碍私营部门和政府之间全面的协作关系和实际的信息分享。例如 有些行业成员关心在现有的合作模式下同一部门之间成员的信息分享和集体计划可能被看做是“共谋”，或者同禁止贸易限制的法律相违背。行业界也对放开联邦政府敏感或隐私的商业信息如弱点和数据或网络缺口等持保留意见。虽然有法律如贸易机密法和重要设施信息法等提供了保护，这个关注依然牢固存在。除了这些议题之外，行业界可能依然关注名誉损失，债务或分享信息的制度后果。相反，联邦政府有时限制它同私营部门共享的信息，因为立法需要保护敏感的情报资源和措施，或个人隐私。

　　这些关注并不是独立存在的。反垄断法为反对不公平竞争提供了重要的保护，信息自由法保证了政府的透明性，这个对维持公众信心至关重要。公民自由和隐私组织表达了对扩大保护可能只能作为对责任的一个法律保护的关注。另外，信息分享的挑战可以因为全球的信息和通讯市场的本质进一步复杂化。当在美国运营的行业成员属于外国拥有时，强制的信息分享或把这些公司排斥到共享之外，都会造成贸易障碍。

　　作为合作的一个部门，政府应该同私营部门进行创造性和协作性的合作来确定考虑到信息交流，同时保护公私利益的解决办法，并且采用综合办法保证国家和经济安全。这些解决办法应该确定清晰，可行的目标来进行数据分享和定义事故报告标准。私营部门应该对数据所与人不做要求的分享解决方法持更开放态度，例如英国模式中使用经审查的信息安全提供者作为个中间人来综合数据，而不是通过政府。

　　最后，联邦政府应该接触学术界，公民自由和隐私组织，开放性政府的支持者和消费者来保证政府的政策充分考虑到他们的利益。少数问题可以减少到不相干的程序，政策或技术问题。在技术上的改变经常促成政策参考内容，而且可能要求对现有程序进行修改。政策上的改变（例如，规章制度的采用或税收刺激）可以影响采购或技术研发等决策。联邦政府也可以考虑一些方法可以把更多的资源集中到可能性的“游戏规则改变”领域，如行为性，政策，和激励性网络安全办法。这些议题错综复杂的性质虚弱了对保证所有方面利益的需要。

　　有效地同国家组织合作

　　国际标准对建立一个安全和兴旺的数字化设施非常重要。美国需要制定一个战略来形成国际环境和把思维一致的国家带到一起讨论一系列的问题，包括关于地区司法上可接受的标准，主权责任，和部队的运用。另外，区别国家和地区性法律法规----如那些对网络犯罪进行调查和起诉；数据存储，保护和隐私；以及网络防御和网络攻击反应方式等法律---为达到一个安全，可靠和恢复性强的数字化环境造成了极大的挑战。应付这些问题要求美国同所有的国家---包括那些在建设其数字化经济和设施中面临这些问题的发展中国家---加上国际组织，军事盟友，和情报合作伙伴一起工作。

　　过去十年里，联邦通讯，基础设施和网络安全相关的政策按照几个方向发展。一个制定政策更为综合的方法可以保证彼此加强的目标，并且允许美国将其国际机会置于持久的更有效的态势。美国应该采用一个综合方法应对重要领域中的国家利益----包括网络安全和言论自由和其他公民自由的保护---来制定持久的政策。

　　总统的网络安全官员应该同各个机构一起合作，加强和综合部门间的程序来形成和协调国际网络安全相关的态势。另外，联邦政府---继续其同私营部门合作的历史---应该制定一个预先的进行计划同国际标准组织一起使用。这个将包括利用当前政策和协调态势的发展，改良或重申来保证所有的网络安全相关的经济，国家安全，公共安全和隐私权纳入考虑中。超过十多个国际组织---包括美国，8国集团，北约，欧盟，亚太经济合作论坛，美洲国家组织，经济合作和发展组织，国际通信联盟，以及国际标准组织-----都表达了跟信息和通讯设施相关议题的关注。新的组织也都开始考虑网络安全相关的政策和活动，而其他组织正在扩大他们目前工作的范围。这些组织在考虑政策或开展活动时有时互相冲突或彼此重叠。在这些组织中规定的协议，标准，或规定拥有全球的效果，而且不容忽视。这些组织的数量，多样性和不同的关注重点绷紧了许多政府的能力，包括美国，而不能充分地开展活动。

　　总统的网络安全政策官员应该同各个机构一起合作，提高对那些制定网络安全相关协议，标准，活动和政策的国际会议，协商会和讨论会的确认，跟进，和优先次序区分。过去的经验显示美国将会需要保持在国际活动中的参与。联邦政府应该增加同私营部门和其他国家的合作来保证在同美国在未来全球信息和通讯设施上最为重要的利益相关议题的论坛上全面参与。美国及其国际盟友应该促进彼此在地区性或其他论坛中的参与来驱动共同的政策目标，集中国际组织现有的工作，并限制其中重复的工作。例如，国际电信联盟和国际标准组织都制定了网络安全的相关标准。美国也应该在关注不同话题的论坛进行的项目中找出机会来提高信息和通讯设施的安全和增长。

　　联邦政府同私营部门一起协调和扩大国际合作伙伴关系来进行网络安全相关的所有活动，政策和机会等与美国商业，政府机构，美国部队，和国家所依靠的信息和通讯设施息息相关的方面。政府和行业界之间的新的协议可能需要以文件形式固定下来，以促进国际信息分享和战略和作战合作。联邦政府应该增加资源和关注以开展对外协助和建设外国能力。如，美国应该增进帮助其他国家建设法律框架和打击网络犯罪的能力的工作，以及继续进行提高网络安全规定和标准的工作。美国也应该同盟友一起合作保证互联网的稳定和全球通用性，同时提高所有用户的安全和可靠性。