【公益譯文】“關鍵軟體”定義

全文共1926字，閱讀大約需4分鐘。

2021年5月12日，美國頒佈的14028號行政命令《改善國家網路安全》要求國家標準技術研究院（NIST）釋出“關鍵軟體”一詞的定義。

(g) 在本命令頒佈45天內，商務部長（透過NIST院長）須在與國防部長（透過NSA局長）、國土安全部部長（透過CISA局長）、OMB局長以及國家情報總監討論後釋出“關鍵軟體”一詞的定義，並將其納入根據本條（e）款制定的指南中。該定義應說明執行所需的許可權或訪問級別、與其他軟體的整合和依賴性、是否需要直接訪問網路和計算資源、影響信任的關鍵功能的效能以及受到入侵時可能導致的潛在損害。

該行政命令要求網路安全與基礎設施安全域性（CISA）依據所釋出的“關鍵軟體”定義，制定一份符合命令要求的相關軟體類別和產品清單。

(h) 在根據本條（g）款釋出定義後30天內，國土安全部部長（透過CISA局長）須與商務部長（透過NIST院長）討論，確定符合依據本條（g）款釋出的“關鍵軟體”定義的當前正在使用或採購流程涉及的軟體類別和產品清單，並提供給各機構。

為了讓定義符合實際使用情況，NIST向相關人群徵集意見，舉辦虛擬研討會收集資訊，與CISA、行政管理和預算局（OMB）、國家情報總監辦公室（ODNI）和國家安全域性（NSA）協商確定定義，提出分階段實施的構想，並初步擬定了適用於初始階段的通用軟體類別清單。CISA和OMB將就如何根據行政命令應用該定義提供指導。NIST與CISA和OMB密切合作，確保定義和建議與相應計劃一致。

全文從背景資訊和“關鍵”一詞的上下文入手，提出了分階段實施的構想；根據行政命令的要求定義了“關鍵軟體”一詞，初步擬定了符合該定義的軟體清單，並建議將清單納入初始實施階段。文章最後部分是常見問題（FAQ）解答。CISA將為初始和後續實施階段確定最終的軟體類別。

本文為《“關鍵軟體”定義》全文的概述內容，關於“關鍵軟體”相關方面的研究成果，請點選“閱讀原文”，瞭解全部文章內容。

    ·  譯者宣告    ·    

由綠盟科技部落格與“安全加”社群小蜜蜂公益翻譯組合作完成，免責宣告及相關責任由“安全加”社群承擔。

·   文章資訊    ·    

原文連結：https://nox.qianxin.com/api/d/70gk5

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。