最後更新日期:8 一月 2025
州和地方網絡安全補助計劃(SLCGP)常見問題
在雙黨基礎設施法(也稱為基礎設施投資和就業法案(IIJA)中,國會成立了州和地方網絡安全補助計劃(SLCGP),以「向合資格實體授予補助金,以解決由州、地方或部落政府擁有或經營的信息系統的網絡安全風險和網絡安全威脅。」
SLCGP 向州、地方、部落和領土(SLTT)政府提供資金,以解決對 SLTT 擁有或經營的信息系統的網絡安全風險和網絡安全威脅。 所有要求和計劃指引均在資助機會通知(NOFO)中確定。
該計劃的主要目標是協助 SLTT 政府管理和降低系統性網絡風險。 為了實現這一目標,CISA 設立了四個獨立但相互相關的目標:
- 治理與規劃:制定和建立適當的治理結構,以及計劃,以提高應對網絡安全事件的能力,並確保營運的連續性。
- 評估和評估:根據持續測試、評估和結構化評估,確定 SLTT 網路安全狀況需要改善的領域。
- 緩解:使用網絡安全計劃所需 16 元素 5 中所述的最佳實踐,以及 NOFO 中進一步列出的最佳做法,實施與風險(目標 1 和 2 的結果)相對的安全保護措施。
- 勞動力發展:確保組織人員在網絡安全方面獲得適當的培訓,並符合他們的職責,如《全國網絡安全教育倡議》中建議。
總共撥款 4 年資助 SLCGP。 資金從聯邦財政年度(FFY)2022 開始,並通過 FFY2025。 每個資助年度的表現期為 48 個月。
雙黨基礎設施法中的分配公式包括每個州和領地的基本資金水平。 為州、哥倫比亞特區和波多黎各分配包括基於總人口和農村人口的組合的額外資金。 當發佈資金機會通知時,將包括每個州和領地的最終分配。
州和地區的州行政機構(SaaS)是唯一合資格獲得聯邦補助基金的申請人。 在弗吉尼亞州,地方政府將與弗吉尼亞州網絡安全規劃委員會合作接受子報酬。
弗吉尼亞州網絡安全規劃委員會(VCPC)成立,並有權根據《基礎設施投資和就業法》(IIJA),Pub 採納約章和章程。 L. 編號117-58,§ 70612(2021)和弗吉尼亞州 2022 分配法的項目 93(F)。
VCPC 根據 IIJA 和項目 93 組成為「規劃委員會」。 作為「規劃 委員會,」VCPC 特別負責:
- 協助發展、實施和修訂網絡安全計劃;
- 批准網絡安全計劃;
- 協助確定有效的資助優先事項;
- 與其他委員會和類似實體協調,以最大限度地提高協調和減少重複工作的目標;
- 建立一個凝聚力的規劃網絡,使用 FEMA 資源以及其他聯邦、SLT、私營部門和信仰為基礎的社區資源,建立和實施網絡安全準備措施;
- 確保投資支持彌補能力差距或維持能力;以及
- 確保當地政府成員 (包括符合條件實體內的縣、城市和鎮區代表) 代表合資格實體中所有本地實體提供的同意,就符合條件實體透過此計劃所提供的服務、能力或活動。
VCPC 不得作出與國家擁有或代表國家擁有或經營的資訊系統的決定。
以下項目獲 VCPC 批准,並將使用 SLCGP 計劃年度 1 資助實施:
- 管理及行政 — 資助撥款的管理、監督和合規性。
- 網絡威脅指標信息共享 — 資助建立弗吉尼亞州信息共享和分析中心(VA-ISAC)。
- 網絡安全計劃和評估 — 資金來建立弗吉尼亞州網絡安全計劃並完成網絡安全計劃能力評估。
- * 申請窗口現已關閉 * 網絡安全計劃 — 進行的資金 根據全州網絡安全計劃計劃目標的基準評估
弗吉尼亞州全州網絡安全計劃由 VCPC 創建,代表著對於 改善和支持整個國家對網絡安全的方法。 該計劃還滿足以下要求 目前的美國國土安全部 SLCGP 指南。
網絡安全計劃包括可行和可衡量的目標和目標,重點是:庫存和 控制技術資產,軟件和數據,威脅監控,威脅防護和預防,數據 恢復和持續性,以及了解組織的網絡安全成熟度。 它們的設計為 支持聯邦規劃有效的安全技術並導航不斷變化 網絡安全景觀。
改善網絡安全性網絡安全計劃願景
創建一個網絡安全生態系統,支持州和地方政府的整個州方法 保護關鍵基礎設施,保護弗吉尼亞人的數據,並確保基本服務的連續性。
網絡安全計劃任務
進一步建立和增強國家、地方和部落政府實體的網絡安全能力 弗吉尼亞州通過提供技術和服務框架,以有效地識別,緩和保護,檢測和 應對網絡威脅。 透過利用共享能力、策略規劃和通用技術 弗吉尼亞聯邦努力有效有效地保護機密,誠信和 可使維吉尼亞人受益的關鍵系統、數據和服務的可用性。
此計劃的合資格申請必須符合 6 U.S.C. § 101 (13) 中定義的「地方政府」定義:
- 縣、市政府、城市、鎮、鄉鎮、地方公共機關、學區、特別區、市內區、政府委員會(不論政府理事會是否根據州法律註冊為非營利性公司)、區域或州際政府實體,或地方政府機構或工具
- 公立教育機構(例如小學、中學或高等教育機構)通常有資格獲得 SLCGP 根據州和/或地方法律的政府或地方政府的機構或工具。
- 聯邦認可的部落或授權部落組織
- 農村社區、非法定城鎮或村莊或其他公共實體。
不符合資格的申請人包括:
- 非營利組織;以及
- 私人公司
- 私人 教育機構
私營教育機構將無法獲得 SLCGP 援助,因為它不是州或地方政府的機構或工具。 「援助」指撥款、非資助援助(即項目、服務、能力或活動),或兩者的組合。
包機學校的資格取決於包機學校的功能 — 只有在該校是州或地方政府的機構或工具時,才能獲得資格。 這將是 VITA 和 VDEM 根據州或當地法律做出的決定。
如果您有疑問或認為您的司法管轄區需要協助滿足任何補助要求,請聯繫 cybercommittee@vita.virginia.gov。
For more information about the federal grant program, visit: State and Local Cybersecurity Grant Program | CISA. For more information about Virginia’s program, visit: Grant Programs | Virginia IT Agency.
SLCGP 旨在將州和地方政府聚集在一起,以改善網絡安全,從而平衡角色和權力。 例如,SLCGP 僅允許向各州提供補助,並強制全州的網絡安全計劃,但還要求 80% 的撥款資金用於使地方受益。 SLCGP 鼓勵共享服務,但是當州將提供項目,服務,能力和活動代替資金分配時,還要求 LCA(除非州法律授權州決定地方決定)。 對於此評估項目,弗吉尼亞州正負責所有補助管理和匹配資金義務,並為每個參與實體提供服務(評估)。 因此,參與實體需要同時提交申請和 LCA。
若要申請階段 2 專案,您必須已參與網路安全計劃能力評估專案,或使用此階段 2 範本完成相似的評估。
項目區域是 2022 弗吉尼亞網絡安全計劃中的特定網絡安全能力。 您將能夠在以下項目領域提交申請:
- 安裝和維護漏洞管理軟體
- 實作安全的遠端網路存取,包括零信任網路存取和多因素驗證
- 建立及維護所有技術資產 (包括硬體和軟體) 的企業資產清單
- 為支持組織業務的所有系統建立和維護資料庫存,並執行資料敏感性分析
- 為所有工作站和伺服器部署端點偵測和回應
- 為入口和輸出點、端點設備和 Web 應用程式實作防火牆
專案執行類型是完成與上述專案區域相關的工作的方式。 這些項目執行類型的目的是為了讓地方政府和其他合格實體盡可能簡單的事情。
您將為每個項目區域提交一份申請,並在該應用程序中,您將從以下專案執行類型中進行選擇:
| 專案執行類型 | 選擇如果您... |
|---|---|
| 僅限購買額外授權 |
|
| 僅限合同 |
|
| 實施 |
|
| 全方位服務 |
|
| 透過資助計劃 |
|
為了申請,您將需要:
-
所有專案領域和專案執行類型都需要網路安全計劃能力評估。 如果您參加了第一個 SLCGP 項目,那麼這已經為您完成了。 如果沒有,您將需要在「網路資助評估範本階段 2」中完成適用的突出顯示的列。
-
額外授權購買專案執行類型應用程式將需要您目前的軟體名稱、所需的其他授權數目以及每個授權成本。
- 需要準備傳遞資金項目執行類型的申請,以解決申請中的以下問題:
- 項目描述
- 預期改善
- 所要求的資金總額
- 預算分為以下類別:
- 軟件
- 硬件
- 員工 / 員工增加
- 預期時間範圍
- 重要里程碑
否-不需要參與之前的項目(網絡安全計劃能力評估項目)。
2 階段申請的決定將根據:
-
您的組織是否符合上述子收件者資格條件
-
參與網路安全計劃能力評估-或完成相等評估
-
對齊組織的資源,以支援所選的專案區域和專案執行類型。 例如,如果您選擇「僅防火牆實作」,則您的組織應具有在實作防火牆軟體後維護防火牆軟體的知識、技能和能力。
整個 SLCGP 的決策集中在於最大程度地提高聯邦的網絡安全能力的改進,同時遵守撥款計劃要求,例如為農村地區預留所需的資助。
我們預計,項目可以在 2025 年 5 月開始,並且應在 2026 年 5 月結束。
是的!評估中的結果應為您應該應用的領域以及您組織的最佳專案執行類型提供深入解析。 但是,我們不想假設您想追求所有潛在領域,並且階段 2 的時間適合您的組織。