注:此报告仅来自单一来源,尚待核实。
美国能源部 (DOE) 已发布《漏洞披露政策》,作为 DOE 第 205.1D 号命令的一部分。该政策定义了一个结构化的流程,允许出于善意行事的公众成员(称为“报告者”)提交与可通过互联网公开访问的 DOE 网站、系统或数字服务相关的潜在安全漏洞信息。
漏洞披露计划旨在通过规范接收、评估和修复已识别漏洞的程序,提升美国能源部的网络安全态势。该计划还促进能源部与外部各方之间的透明度和沟通,并为部门各单位、项目办公室和相关场所设定最低要求。
根据该政策,项目范围由首席信息官办公室 (OCIO) 根据相关法律和指令确定。OCIO 与各部门负责人合作,确定哪些系统和服务在其职责范围内并纳入该项目。最初,能源部已确定至少有一个可公开访问的网站、系统或数字服务纳入项目范围。
该政策支持联邦网络安全指令,包括管理和预算办公室第 20-32 号备忘录和国土安全部网络安全和基础设施安全局第 20-01 号约束性操作指令,这两项指令均要求各机构制定和发布漏洞披露政策。