国家网络安全能力成熟度模型（四）

前言

本部分主要是介绍国家危机管理工作。这部分内容一般企业是不会涉及的，只有超大型公司或跨国公司，关键政府机构才会用到，所以可以作为参考，学习一下。本篇开始都是独立翻译的，有不足的地方各位见谅。

正文

D 1.4 – Crisis Management

概述

这一因素着重强调发展国家建立、审查和更新国家危机管理应用程序、功能协议和标准的能力。

做法如下：

•考虑在危机管理计划阶段引入预警和水平扫描机制。
•确保法律和监管框架得到优化，从而提高危机管理的效率。
•制定有针对性的行动计划和操作程序，以便于改进危机管理活动。
•建立机构协调机制，并且不断发展标准化的信息收集、跨部门沟通和公共事务处理的能力。
•考虑危机管理单元的实现，该单元具有敏捷的、有效的危机响应所需要的自主权。

这些良好做法为危机管理奠定了基础，然而，为了持续构建国家的抗风险能力和危机管理能力，经历高级别的、多利益攸关方参与的演习，并对不同危机管理技术执行过程中涉及的利益攸关方的表现进行评估，这一点非常有必要。

国家级、部门和跨部门的演习可帮助当局和其他相关的利益攸关方去：

•评估危机管理应用程序的功能和恢复能力、功能协议和标准；
•识别相互依赖和/或弱点；
•演习合作，分享最佳实践，并在组织和利益攸关方群体之间建立信任；
•测量改进（多个演习过程中）。

能力建设步骤

➢ 任命一个任务负责机构负责：（一）协调在危机管理方面的工作；（二）与有关的公共部门及私营部门的利益攸关方等保持联络

应指定一个任务负责机构，监督并负责与建立危机管理能力有关的活动。任务负责机构将通过监督高层次演习的生命周期，来负责促进危机管理能力的发展。这就需要确定待测试的措施和机制，建立演习的规划团队，领导演习的规划和交付（可能有外部专家支持），提供协调和执行演习的资源，确保演习得到评价，并确保经验教训和特别报告与相关的利益攸关方共享。

通常，识别演习需求的组织也是负责开发和运行演习的组织，但是外部专家的支持在从演习中提取最大价值时非常有用。关于指定任务负责机构的详细信息，以及规划和执行演习的模板和示例材料，将在接下来的页面中进行讨论，都列示在本节末尾列出的参考资料中。

➢ 对需要评估的危机管理措施和技术进行需求评估

在演习生命周期的一开始，任务负责机构需要确定待测试的危机管理措施和技术。一般来说，在部门和跨部门的演习中，应注重采用合作、协调和交流的机制。

根据为评估而选定的措施和技术，应该选择相关的利益攸关方来担当关键角色。这些利益攸关方将在随后的步骤中全程参与这一能力领域的活动。

➢ 开发和运行一个现实的高级别的演习场景，来测试信息流动和决策，并在其运行期间不断将新的信息注入这一场景中

已经确定了待评估的措施和技术之后，该任务负责机构应该集中精力开发一个看似合理的高级别的场景，以便在演习设置中将其用于测试这些措施和技术。生成一个现实的、具有挑战性的、计划良好的场景，不论是对确保利益攸关方的参与，还是对确保演习的成功都是至关重要的。

一旦为开发选定了一个高级别的场景，就应该确定其类型、规模、地理范围和参与者。可以开发几种类型的演习。每种类型都有不同的格式、优点、挑战性和成本。这些类型的演习大致可以分为两类：

• 基于讨论的演习： 这些演习允许参与者检查和讨论场景，测试决策程序，以及开发或改进响应过程。这些演习可以采取讨论会、研讨会、桌面演习或游戏的形式来进行。

• 基于行动的演习： 这些演习要求在危机管理程序之外采取行动，以便于允许测试这些程序，并让相关工作人员做好遵循这些程序的准备。

演习的规模将在很大程度上取决于将要开展的演习的类型，以及规划者可以得到的人力、技术和财务资源方面的支持。

在开发演习场景时，该规划团队应该从构建在此过程启动时选定的高级别概念开始。开发团队应该在其内部与关键利益攸关方的代表一起讨论演习场景的不同迭代。目标应该是确保该场景尽可能地真实，同时与组织者的目标和需求保持高度一致。这将降低参与者在演习过程中挑战该场景或努力消化该场景的风险。在本节末尾列出的参考资料中提供了场景示例和规划模板。

在演习过程中，场景需要根据参与者的反应和行动进行管理和调整。基于此目的，新信息的“注入”应该事先规划好，并由演习主持人随后进行使用。注入应该类似于现实生活中的事件，并且基于现实生活中的交流（例如，通过呈现不完整的、有缺陷的信息和/或使用类似媒体的方法）来呈现。大多数注入应该在进行演习之前就规划好。

演习的规划和开发一旦完成，该演习本身就应该得以进行。招募参与者是下一个关键阶段，获得所需参与者的一些障碍可能包括参与者缺乏可用的资源、难以认识到参与的潜在好处或担心保密问题。

为了减轻这些挑战，不妨进行投资，提高人们对该演习预期效益的认识，并且确保从规划过程开始时就把参与者纳入在内。通过确保信息使用的透明度来创造激励（例如，财政支持）和产生信任也可能是很有益的做法。

此外，保持一个包容的、多利益攸关方的方法可以帮助在参与的利益攸关方之间建立一种共享所有权的意识。演习组织者还可以制定媒体政策，以避免对这项演习产生误解。

➢ 基于 SMART 评价目标和关键性能指标（KPIs），为国家有关利益攸关方与国际合作伙伴准备定制的、部门特定的演习评价和经验教训报告

评价综合了那些值得进一步改进的领域的观察结果。它们的目的是传播从进行这项演习中获得的经验教训，其中可能包括改善组织结构和过程、机制以及其他各种领域。评价的目的可能是查明影响所测试的连续性计划成功的主要障碍、成功实施所需的技能，以及协调、决策和通讯方面的薄弱环节和漏洞。评价可以提出改进这些和其他领域的建议。

评价过程应包括以下几个阶段：

1.设定评价目标

只要目标是明确的、可行的和可实现的，那么演习就可以成为加强战略危机合作和管理目标的主要方法。在规划阶段的刚一开始，任务负责机构和涉及到的利益攸关方就应该确定这项演习的 SMART 目标。评价期间要调查的目标可包括：

（一）所测试的连续性计划成功的主要障碍；

（二）成功实施所需的技能；

（三）所测试的通讯链中的相互依赖和薄弱环节。

评价过程和需要收集的支持数据应该提前设计好。这可能包括监控报告模板和完成它们的指导方针，准备利益攸关方的调查问卷，以及确定该演习团队在演习的中间阶段可能需要的简要汇报时刻。

2.行动后回顾

进行评价的最佳时间是在演习结束后，因为这可以让组织者在体验新鲜的同时，从不同参与者和角色扮演者那里获得数据，还能确保该评价结果在演习结束前得到传达。

评价工作应以编写许多报告、向一系列利益攸关方介绍已完成的行动、吸取的经验教训和建议而告终。鉴于危机管理实践演习中所测试的问题的敏感性，可能会设计出针对不同受众群体的多份报告。

例如，作为复杂演习的一部分，参与其中的个人利益攸关方可能会收到一份独特的、机密性的报告，为个人的组织提供详细的观察结果和建议。

通常，应编写一份内部协商一致的报告，以便在所有相关的利益攸关方之间进行分发，并提出与演习期间所测试的部门或机制有关的普遍调查结果和建议。应考虑通过采用一个合作的、包容的评价进程，使参与者参与拟订结论和建议。这可能使利益攸关方能够更多地拥有评价过程的所有权，从而增加对建议做出高水平反应的可能性。

最后，根据演习的规模和动机，可能会向公众发表一份报告，介绍已进行的活动，但不讨论演习的任何弱点、建议或发现。

3.衡量成功

在评价的总结阶段，演习团队应着重评估该项演习是否大致实现了它所设定的目标，以及该演习团队是否以有效的方式完成了任务。生成与评价演习的管理和运行有关的单独模板和文件可能会有帮助，以确保吸取的经验教训已被收集并采取行动，而不是分散在与正在测试的措施有关的文件中。

最后，评价活动应被看作是一个更广泛的、连续的演习周期内的一个环节。评价提供了学习和发展的机会，在今后演习的规划和执行阶段应考虑到从该评价所产生的结果和建议，以期将所吸取的经验教训和确定的良好做法纳入其中。图 1.9 概述了如何将评价过程纳入更广泛的演习周期中。