最后更新时间:1 月8日, 2025
州和地方网络安全补助计划 (SLCGP) 常见问题解答
在《两党基础设施法》(也称为《基础设施投资和就业法案》(IIJA))中,国会设立了州和地方网络安全补助计划(SLCGP),以“向符合条件的实体提供补助,以应对由州、地方或部落政府拥有或运营的或代表州、地方或部落政府的信息系统的网络安全风险和网络安全威胁”。
SLCGP 为州、地方、部落和领土 (SLTT) 政府提供资金,以应对 SLTT 拥有或运营的信息系统的网络安全风险和网络安全威胁。 所有要求和计划指导均在资金机会通知(NOFO)中制定。
该计划的总体目标是协助 SLTT 政府管理和降低系统性网络风险。 为了实现这一目标,CISA 设立了四个独立但相互关联的目标:
- 治理和规划:制定和建立适当的治理结构和计划,以提高应对网络安全事件的能力并确保业务的连续性。
- 评估和评价:根据持续的测试、评估和结构化评估,确定 SLTT 网络安全态势需要改进的领域。
- 缓解:实施与风险(目标1和2的结果)相称的安全保护措施,使用网络安全计划所需5要素中的16要素以及 NOFO 中进一步列出的最佳实践。
- 劳动力发展:确保组织人员接受适当的网络安全培训,并与国家网络安全教育计划中建议的职责相称。
总共为 SLCGP 拨款4年。 资助始于联邦财政年度 (FFY) 2022并持续至 FFY2025。 每个筹资年度的执行期为48个月。
《两党基础设施法》中的分配公式包括每个州和地区的资金基本水平。 对各州、哥伦比亚特区和波多黎各的拨款包括根据总人口和农村人口计算的额外资金。 发布资助机会通知时,将包括每个州和地区的最终分配。
州和领地的州行政机构 (SAA) 是联邦拨款资金的唯一合格申请者。 在弗吉尼亚州,地方政府将与弗吉尼亚州网络安全规划委员会合作获得分项奖励。
弗吉尼亚州网络安全规划委员会 (VCPC) 成立并有权根据《基础设施投资和就业法案》(IIJA) Pub. 通过章程和细则。 L. 编号117 - 58 、§ 70612 ( 2021 ) 以及弗吉尼亚州2022拨款法案第93 (F) 项。
VCPC 是根据 IIJA 和第93项成立的“规划委员会”。 作为“规划 委员会”,VCPC 具体负责:
- 协助制定、实施和修订网络安全计划;
- 批准网络安全计划;
- 协助确定有效的资金优先事项;
- 与其他委员会和类似实体进行协调,以最大限度地协调并减少重复努力;
- 创建一个有凝聚力的规划网络,利用 FEMA 资源以及其他联邦、SLT、私营部门和信仰社区资源来构建和实施网络安全防范举措;
- 确保投资支持缩小能力差距或维持能力;以及
- 确保地方政府成员(包括符合条件实体内的县、市和城镇的代表)代表符合条件实体内的所有地方实体对符合条件实体通过该计划提供的服务、能力或活动表示同意。
VCPC 不被允许做出与州拥有或运营的,或代表州运营的信息系统有关的决定。
以下项目已获得 VCPC 批准,并将使用 SLCGP 计划第1年的资金实施:
- 管理和行政——用于拨款管理、监督和合规的资金。
- 网络威胁指标信息共享——资助建立弗吉尼亚信息共享和分析中心(VA-ISAC)。
- 网络安全计划和评估——提供资金制定弗吉尼亚网络安全计划并完成网络安全计划能力评估。
- *申请窗口现已关闭* 网络安全计划 – 资助开展 根据全州网络安全计划目标进行基线评估
弗吉尼亚州的全州网络安全计划由 VCPC 创建的,代表着对 改善和支持整个国家的网络安全方法。 该计划还满足了 美国国土安全部当前针对 SLCGP 的指导方针。
网络安全计划包括可操作且可衡量的目标和目的,重点是:清查和 技术资产、软件和数据的控制、威胁监控、威胁防护和预防、数据 恢复和连续性,并了解组织的网络安全成熟度水平。 它们旨在 支持英联邦规划有效的安全技术并应对不断变化的 网络安全形势。
网络安全计划 改善网络安全的愿景
创建一个支持州和地方政府采取全州措施的网络安全生态系统, 保护关键基础设施、保护弗吉尼亚人的数据并确保基本服务的连续性。
网络安全计划任务
进一步建立和加强州、地方和部落政府实体的网络安全能力 弗吉尼亚州提供技术和服务框架,以有效识别、缓解、保护、检测和 应对网络威胁。 通过利用共享能力、战略规划和通用技术 弗吉尼亚联邦致力于有效、高效地保护信息的机密性、完整性和 为弗吉尼亚人民提供关键系统、数据和服务的可用性。
该计划的合格申请必须符合《美国法典》第6章第101 (13) 条中对“地方政府”的定义:
- 县、直辖市、城市、镇、乡镇、地方公共当局、学区、特别区、州内区、政府委员会(无论政府委员会是否根据州法律注册为非营利性公司)、地区或州际政府实体,或地方政府的机构或部门
- 如果公立教育机构(例如小学、中学或高等教育机构)是根据州和/或地方法律设立的州或地方政府的机构或工具,则通常有资格获得 SLCGP 的援助。
- 联邦认可的部落或授权的部落组织
- 农村社区、非建制镇或村庄或其他公共实体。
不符合资格的申请人包括:
- 非营利组织;以及
- 私营企业
- 私人的 教育机构
私立教育机构没有资格获得 SLCGP 援助,因为它不是州或地方政府的机构或工具。 “援助”是指资金、非资金援助(即物品、服务、能力或活动)或两者的结合。
特许学校的资格取决于特许学校的职能——当且仅当它是州或地方政府的机构或工具时,它才有资格。 这将由 VITA 和 VDEM 根据州或地方法律做出决定。
如果您有任何疑问,或认为您所在的辖区需要帮助来满足任何补助金要求,请联系 cybercommittee@vita.virginia.gov。
有关联邦拨款计划的更多信息,请访问:州和地方网络安全拨款计划 | CISA 。 有关弗吉尼亚州计划的更多信息,请访问:资助计划 | 弗吉尼亚州 IT 机构。
SLCGP 致力于让州和地方政府共同努力提高网络安全,从而平衡角色和权力。 例如,SLCGP 只允许向各州提供补助金并强制执行全州范围的网络安全计划,但同时也要求80 % 的补助金资金用于造福地方。 SLCGP 鼓励共享服务,但也要求当州政府提供物品、服务、能力和活动来代替资金分项补助时,进行 LCA(除非州法律授权该州为地方做出决定)。 对于该评估项目,弗吉尼亚州承担所有的拨款管理和配套资金义务,并为每个参与实体提供服务(评估)。 因此,参与实体需要提交申请和 LCA。
为了申请阶段2项目,您必须参与网络安全计划能力评估项目,或使用此阶段2模板完成类似的评估。
项目领域是2022弗吉尼亚网络安全计划的一项特定网络安全能力。 您将能够在以下项目领域提交申请:
- 安装和维护漏洞管理软件
- 实施安全的远程网络访问,包括零信任网络访问和多因素身份验证
- 创建并维护所有技术资产(包括硬件和软件)的企业资产清单
- 建立和维护数据库存,并对支持组织业务的所有系统进行数据敏感性分析
- 为所有工作站和服务器部署端点检测和响应
- 为入口和出口点、端点设备和 Web 应用程序实施防火墙
项目执行类型是完成与上述项目领域相关的工作的方式。 这些项目执行类型的设计目的是尽可能简化地方政府和其他合格实体的事务。
您将为每个项目领域提交一份申请,并在该申请中从以下项目执行类型中进行选择:
| 项目实施类型 | 请选择您是否... |
|---|---|
| 仅需购买额外许可证 |
|
| 仅限合同 |
|
| 执行 |
|
| 全方位服务 |
|
| 直通融资项目 |
|
为了申请,您需要:
-
所有项目领域和项目执行类型都需要进行网络安全计划能力评估。 如果您参加了第一个 SLCGP 项目,那么这对您来说已经完成了。 如果没有,您将需要完成Cybergrant 评估模板第 2 阶段中适用的突出显示的行。
-
仅购买额外许可证的项目执行类型应用程序将需要您当前的软件名称、所需的额外许可证数量以及每个许可证的成本。
- 直通资金项目执行类型的申请需要准备好解决以下问题:
- 项目描述
- 预期将有改善
- 请求资金总额
- 预算分为以下类别:
- 软件
- 硬件
- 员工/员工扩充
- 预计时间范围
- 重要里程碑
否——不需要参与先前的项目(网络安全计划能力评估项目)。
第2阶段申请的决定将基于以下因素:
-
您的组织是否符合上述子受助人资格标准
-
参与网络安全计划能力评估 - 或完成同等评估
-
协调您组织的资源以支持所选的项目领域和项目执行类型。 例如,如果您选择“仅实施防火墙” ,则您的组织应该具备在实施防火墙软件后维护防火墙软件的知识、技能和能力。
SLCGP 的决策重点是最大限度地提高整个联邦的网络安全能力,同时遵守拨款计划的要求,例如为农村地区预留的资金。
我们预计项目最早将于 5 月2025开始,并于 5 月2026结束。
是的!评估结果应能帮助您了解应应用的领域以及最适合贵组织的项目执行类型。 然而,我们不想假设您想要追求所有潜在领域,并且阶段2的时间适合您的组织。