huling na-update: Enero 8, 2025
Mga FAQ ng State and Local Cybersecurity Grant Program (SLCGP).
Sa Bipartisan Infrastructure Law, na kilala rin bilang Infrastructure Investment and Jobs Act (IIJA), itinatag ng Kongreso ang State and Local Cybersecurity Grant Program (SLCGP) para “magbigay ng mga gawad sa mga karapat-dapat na entity upang tugunan ang mga panganib sa cybersecurity at mga banta sa cybersecurity sa mga sistema ng impormasyon na pagmamay-ari o pinamamahalaan ng, o sa ngalan ng, estado, lokal, o tribal na pamahalaan.”
Ang SLCGP ay nagbibigay ng pagpopondo sa mga pamahalaan ng estado, lokal, tribo at teritoryo (SLTT) upang tugunan ang mga panganib sa cybersecurity at mga banta sa cybersecurity sa mga sistema ng impormasyon na pagmamay-ari o pinapatakbo ng SLTT. Ang lahat ng mga kinakailangan at gabay sa programa ay itinatag sa notice of funding opportunity (NOFO).
Ang pangkalahatang layunin ng programa ay tulungan ang mga pamahalaan ng SLTT sa pamamahala at pagbabawas ng mga sistematikong panganib sa cyber. Upang maisakatuparan ito, ang CISA ay nagtatag ng apat na magkakahiwalay, ngunit magkakaugnay na mga layunin:
- Pamamahala at pagpaplano: Bumuo at magtatag ng naaangkop na mga istruktura ng pamamahala, pati na rin ang mga plano, upang mapabuti ang mga kakayahan upang tumugon sa mga insidente sa cybersecurity at matiyak ang pagpapatuloy ng mga operasyon.
- Pagtatasa at pagsusuri: Tukuyin ang mga lugar para sa pagpapabuti sa SLTT cybersecurity posture batay sa tuluy-tuloy na pagsubok, pagsusuri, at mga structured na pagtatasa.
- Pagbabawas: Magpatupad ng mga proteksyon sa seguridad na naaayon sa panganib (mga kinalabasan ng Mga Layunin 1 at 2), gamit ang pinakamahuhusay na kagawian tulad ng inilarawan sa elemento 5 ng kinakailangang 16 elemento ng mga plano sa cybersecurity at mga nakalista pa sa NOFO.
- Pag-unlad ng mga manggagawa: Tiyaking ang mga tauhan ng organisasyon ay angkop na sinanay sa cybersecurity, na naaayon sa kanilang mga responsibilidad gaya ng iminungkahi sa National Initiative for Cybersecurity Education.
Isang kabuuang 4 ) taon ng pagpopondo ang inilaan para sa SLCGP. Nagsimula ang pagpopondo sa federal fiscal year (FFY) 2022 at dumaan sa FFY2025. Ang bawat taon ng pagpopondo ay may panahon ng pagganap na 48 ) buwan.
Ang pormula ng alokasyon sa Bipartisan Infrastructure Law ay kinabibilangan ng batayang antas ng pagpopondo para sa bawat estado at teritoryo. Kasama sa mga alokasyon para sa mga estado, Distrito ng Columbia, at Puerto Rico ang mga karagdagang pondo batay sa kumbinasyon ng kabuuang populasyon at populasyon sa kanayunan. Ang mga huling alokasyon para sa bawat estado at teritoryo ay kasama kapag ang paunawa ng mga pagkakataon sa pagpopondo ay nai-publish.
Ang mga State Administrative Agencies (SAA) para sa mga estado at teritoryo ay ang tanging karapat-dapat na mga aplikante para sa mga pederal na pondo ng grant. Sa Virginia, makikipagtulungan ang mga lokal na pamahalaan sa Virginia Cybersecurity Planning Committee para makatanggap ng mga subawards.
Ang Virginia Cybersecurity Planning Committee (VCPC) ay nilikha at may awtoridad na magpatibay ng charter at mga tuntunin alinsunod sa Infrastructure Investment and Jobs Act (IIJA), Pub. L. No. 117- 58, § 70612 (2021), at Item 93(F) ng 2022 Appropriation Act ng Virginia.
Ang VCPC ay binubuo sa ilalim ng IIJA at Item 93 bilang isang "komite sa pagpaplano." Bilang isang “pagpaplano komite,” ang VCPC ay partikular na sinisingil ng:
- Tumulong sa pagbuo, pagpapatupad, at rebisyon ng Cybersecurity Plan;
- Pag-apruba sa Cybersecurity Plan;
- Pagtulong sa pagtukoy ng epektibong mga priyoridad sa pagpopondo;
- Pakikipag-ugnayan sa iba pang mga komite at katulad na mga entity na may layuning i-maximize ang koordinasyon at bawasan ang pagdoble ng pagsisikap;
- Paglikha ng isang magkakaugnay na network ng pagpaplano na bumubuo at nagpapatupad ng mga inisyatiba sa paghahanda sa cybersecurity gamit ang mga mapagkukunan ng FEMA, pati na rin ang iba pang pederal, SLT, pribadong sektor, at mga mapagkukunan ng komunidad na nakabatay sa pananampalataya;
- Pagtitiyak na sinusuportahan ng mga pamumuhunan ang pagsasara ng mga gaps sa kakayahan o pagpapanatili ng mga kakayahan; at
- Ang pagtiyak na ang mga miyembro ng lokal na pamahalaan, kabilang ang mga kinatawan mula sa mga county, lungsod, at bayan sa loob ng kwalipikadong entity ay nagbibigay ng pahintulot sa ngalan ng lahat ng lokal na entity sa buong karapat-dapat na entity para sa mga serbisyo, kakayahan, o aktibidad na ibinigay ng karapat-dapat na entity sa pamamagitan ng programang ito.
Ang VCPC ay hindi pinahihintulutan na gumawa ng mga desisyon na may kaugnayan sa mga sistema ng impormasyon na pagmamay-ari o pinamamahalaan ng, o sa ngalan ng, estado.
Ang mga sumusunod na proyekto ay inaprubahan ng VCPC at ipapatupad gamit ang SLCGP program year 1 na pagpopondo:
- Pamamahala at pangangasiwa - Pagpopondo upang magkaloob para sa pangangasiwa, pangangasiwa at pagsunod sa gawad na gawad.
- Pagbabahagi ng impormasyon ng tagapagpahiwatig ng pagbabanta ng cyber – Pagpopondo para magtatag ng Virginia Information Sharing and Analysis Center (VA-ISAC).
- Plano at pagtatasa ng Cybersecurity – Pagpopondo upang maitatag ang Virginia Cybersecurity Plan at kumpletuhin ang pagtatasa ng kakayahan ng plano sa cybersecurity.
- *Sarado na ang window ng application* Plano ng cybersecurity - Pagpopondo sa pagsasagawa baseline na pagtatasa laban sa mga layunin ng programa ng plano sa cybersecurity sa buong estado
Ang statewide cybersecurity plan ng Virginia, na nilikha ng VCPC, ay kumakatawan sa isang patuloy na pangako sa pagpapabuti at pagsuporta sa isang buong diskarte ng estado sa cybersecurity. Natutugunan din ng plano ang pangangailangan ng kasalukuyang mga alituntunin ng US Department of Homeland Security para sa SLCGP.
Kasama sa Cybersecurity Plan ang naaaksyunan at nasusukat na mga layunin at layunin na nakatuon sa: imbentaryo at kontrol sa mga asset ng teknolohiya, software at data, pagsubaybay sa pagbabanta, proteksyon at pag-iwas sa pagbabanta, data pagbawi at pagpapatuloy, at pag-unawa sa antas ng maturity ng cybersecurity ng organisasyon. Ang mga ito ay dinisenyo upang suportahan ang Commonwealth sa pagpaplano para sa epektibong mga teknolohiya sa seguridad at pag-navigate sa patuloy na pagbabago landscape ng cybersecurity.
Pananaw sa Plano ng Cybersecurity para sa Pagpapabuti ng Cybersecurity
Lumikha ng isang cybersecurity ecosystem na sumusuporta sa isang buong diskarte ng estado para sa estado at lokal na pamahalaan pangalagaan ang kritikal na imprastraktura, protektahan ang data ng mga Virginian, at tiyakin ang pagpapatuloy ng mahahalagang serbisyo.
Misyon ng Cybersecurity Plan
Upang higit pang itatag at pahusayin ang mga kakayahan sa cybersecurity ng estado, lokal, at tribal na mga entidad ng pamahalaan sa Virginia sa pamamagitan ng pagbibigay ng balangkas ng teknolohiya at mga serbisyo upang mabisang matukoy, mapagaan, maprotektahan, matukoy, at tumugon sa mga banta sa cyber. Sa pamamagitan ng paggamit ng mga nakabahaging kakayahan, estratehikong pagpaplano, at karaniwang teknolohiya ang Commonwealth of Virginia ay nagsusumikap na mahusay at epektibong protektahan ang pagiging kompidensiyal, integridad, at pagkakaroon ng mga kritikal na sistema, data, at serbisyo na nakikinabang sa mga Virginians.
Ang mga karapat-dapat na aplikasyon para sa programang ito ay dapat matugunan ang kahulugan ng "lokal na pamahalaan" gaya ng tinukoy sa 6 USC § 101(13):
- County, munisipalidad, lungsod, bayan, township, lokal na pampublikong awtoridad, distrito ng paaralan, espesyal na distrito, distrito sa loob ng estado, konseho ng mga pamahalaan (hindi alintana kung ang konseho ng mga pamahalaan ay inkorporada bilang isang hindi pangkalakal na korporasyon sa ilalim ng batas ng Estado), entidad ng pamahalaang rehiyonal o interstate, o ahensya o instrumentalidad ng isang lokal na pamahalaan
- Ang pampublikong institusyong pang-edukasyon (hal., elementarya, sekondaryang paaralan, o institusyon ng mas mataas na edukasyon) ay karaniwang karapat-dapat na tumanggap ng tulong sa ilalim ng SLCGP kung ito ay isang ahensya o instrumentalidad ng isang estado o lokal na pamahalaan sa ilalim ng estado at/o lokal na batas.
- Tribo na kinikilala ng pederal o awtorisadong organisasyon ng tribo
- Rural community, unincorporated town o village, o iba pang pampublikong entity.
Ang mga hindi karapat-dapat na aplikante ay kinabibilangan ng:
- Mga nonprofit na organisasyon; at
- Mga pribadong korporasyon
- Pribado Mga Institusyong Pang-edukasyon
Ang isang pribadong institusyong pang-edukasyon ay hindi magiging karapat-dapat na tumanggap ng tulong ng SLCGP dahil hindi ito isang ahensya o instrumental ng isang estado o lokal na pamahalaan. Ang ibig sabihin ng "Tulong" ay alinman sa pagpopondo, tulong na hindi pagpopondo (ibig sabihin, mga item, serbisyo, kakayahan, o aktibidad), o kumbinasyon ng pareho.
Ang pagiging karapat-dapat ng mga charter school ay nakasalalay sa tungkulin ng charter school – ito ay magiging karapat-dapat kung, at kung, ito ay isang ahensya o instrumentalidad ng estado o lokal na pamahalaan. Ito ay magiging isang pagpapasiya para sa VITA at VDEM na gawin, batay sa batas ng estado o lokal.
Kung mayroon kang mga tanong o nararamdaman na kailangan ng iyong hurisdiksyon ng tulong sa pagtugon sa alinman sa mga kinakailangan sa pagbibigay, mangyaring makipag-ugnayan cybercommittee@vita.virginia.gov.
For more information about the federal grant program, visit: State and Local Cybersecurity Grant Program | CISA. For more information about Virginia’s program, visit: Grant Programs | Virginia IT Agency.
Ang SLCGP ay naglalayong pagsamahin ang estado at lokal na pamahalaan upang mapabuti ang cybersecurity at samakatuwid ay binabalanse ang mga tungkulin at awtoridad. Halimbawa, pinapayagan lamang ng SLCGP ang mga gawad sa mga estado at nag-uutos ng mga plano sa cybersecurity sa buong estado ngunit nangangailangan din ng 80% ng pagpopondo ng grant na gamitin para makinabang ang mga lokalidad. Hinihikayat ng SLCGP ang mga nakabahaging serbisyo ngunit nangangailangan din ng mga LCA kapag ang isang estado ay magbibigay ng mga item, serbisyo, kakayahan, at aktibidad bilang kapalit ng mga subgrants ng pagpopondo (maliban kung pinahihintulutan ng batas ng estado ang estado na magpasya para sa mga lokalidad). Para sa proyektong ito sa pagtatasa, isinasagawa ng Virginia ang lahat ng pangangasiwa ng grant at pagtutugma ng mga obligasyon sa pagpopondo at pagbibigay ng mga serbisyo (isang pagtatasa) sa bawat kalahok na entity. Alinsunod dito, ang mga kalahok na entity ay kailangang magsumite ng parehong aplikasyon at isang LCA.
Upang makapag-apply para sa mga proyekto ng Phase 2 , dapat na lumahok ka sa Proyekto sa Pagtatasa ng Kakayahan ng Cybersecurity Plan, o kumpletuhin ang isang maihahambing na pagtatasa gamit ang Phase 2 na template na ito.
Ang lugar ng proyekto ay isang partikular na kakayahan sa cybersecurity mula sa 2022 Virginia Cybersecurity Plan. Magagawa mong magsumite ng mga aplikasyon sa mga sumusunod na lugar ng proyekto:
- Pag-install at pagpapanatili ng software sa pamamahala ng kahinaan
- Pagpapatupad ng secure na remote network access, kabilang ang zero trust network access at multifactor authentication
- Paglikha at pagpapanatili ng imbentaryo ng asset ng enterprise ng lahat ng asset ng teknolohiya (kabilang ang hardware at software)
- Pagtatatag at pagpapanatili ng imbentaryo ng data at pagsasagawa ng data sensitivity analysis para sa lahat ng system na sumusuporta sa negosyo ng organisasyon
- Pag-deploy ng endpoint detection at pagtugon para sa lahat ng workstation at server
- Pagpapatupad ng mga firewall para sa mga ingress at egress point, end point device, at web application
Ang mga lugar ng proyektong ito ay inaprubahan ng Virginia Cybersecurity Planning Committee noong Oktubre 30 na pulong nito. Maaari mong suriin ang data na ipinakita sa komite at ang rekomendasyon sa Regulatory Town Hall. Maaari mo ring basahin ang mga minuto ng pulong.
Ang uri ng pagpapatupad ng proyekto ay isang paraan ng pagkumpleto ng gawaing nauugnay sa mga lugar ng proyekto sa itaas. Idinisenyo ang mga uri ng pagpapatupad ng proyekto na ito na may layuning panatilihing simple ang mga bagay hangga't maaari para sa mga lokal na pamahalaan at iba pang mga kwalipikadong entity.
Magsusumite ka ng isang aplikasyon para sa bawat lugar ng proyekto, at sa loob ng application na iyon, pipili ka sa mga sumusunod na uri ng pagpapatupad ng proyekto:
| Uri ng Pagpapatupad ng Proyekto | Piliin kung... |
|---|---|
| Karagdagang lisensya na pagbili lamang |
|
| Kontrata lang |
|
| Pagpapatupad |
|
| Buong serbisyo |
|
| Pass-through na proyekto sa pagpopondo |
|
Upang mag-apply ka, kakailanganin mo:
-
Kinakailangan ang pagtatasa ng kakayahan ng plano sa cybersecurity para sa lahat ng lugar ng proyekto at mga uri ng pagpapatupad ng proyekto. Kung lumahok ka sa unang proyekto ng SLCGP, kumpleto na ito para sa iyo. Kung hindi, kakailanganin mong kumpletuhin ang mga naaangkop na naka-highlight na row sa Cybergrant Assessment Template Phase2.
-
Kakailanganin ng mga application ng uri ng pagpapatupad ng proyekto ng karagdagang lisensya ang iyong kasalukuyang pangalan ng software, bilang ng mga karagdagang lisensya na kailangan, at gastos sa bawat lisensya.
- Ang mga aplikasyon ng uri ng pagpapatupad ng proyekto ng pass-through na pagpopondo ay kailangang ihanda upang matugunan ang mga sumusunod sa aplikasyon:
- Paglalarawan ng proyekto
- Inaasahan ang mga pagpapabuti
- Kabuuang hiniling na pondo
- Ang badyet ay hinati sa mga sumusunod na kategorya:
- Software
- Hardware
- Pagpapalaki ng tauhan/staff
- Inaasahang takdang panahon
- Mga pangunahing milestone
Hindi - Ang paglahok sa naunang proyekto (Cybersecurity Plan Capability Assessment project) ay hindi kinakailangan.
Ang mga desisyon para sa phase 2 na mga aplikasyon ay ibabatay sa:
-
Kung natutugunan ng iyong organisasyon ang pamantayan sa pagiging kwalipikado ng subrecipient na nakalista sa itaas
-
Paglahok sa Pagtatasa ng Kakayahan ng Plano sa Cybersecurity -o- pagkumpleto ng katumbas na pagtatasa
-
Pag-align ng mga mapagkukunan ng iyong organisasyon upang suportahan ang lugar ng proyekto at uri ng pagpapatupad ng proyekto na napili. Halimbawa, kung pipiliin mo ang Firewall Implementation Only, ang iyong organisasyon ay dapat magkaroon ng kaalaman, kasanayan, at kakayahang mapanatili ang firewall software sa sandaling ito ay ipinatupad.
Nakatuon ang mga desisyon sa buong SLCGP sa pag-maximize ng mga pagpapabuti sa mga kakayahan sa cybersecurity sa buong Commonwealth habang sumusunod sa mga kinakailangan sa grant program, gaya ng kinakailangang ilaan para sa mga lokal na kanayunan.
Inaasahan namin na ang mga proyekto ay maaaring magsimula sa Mayo 2025 at dapat magtapos sa Mayo 2026.
Oo! Ang mga natuklasan mula sa iyong pagtatasa ay dapat magbigay ng insight sa mga lugar na dapat mong ilapat pati na rin ang pinakamahusay na uri ng pagpapatupad ng proyekto para sa iyong organisasyon. Gayunpaman, hindi namin gustong ipagpalagay na gusto mong ituloy ang lahat ng potensyal na lugar, at ang Phase 2 timing ay angkop para sa iyong organisasyon.