7 月 16 日,ICANN 发布一份专家顾问建议征求书,以协助 ICANN 制定 DNS 风险管理框架。该公告指出,有关该建议征求书的问题可以在 8 月 1-16 日 23:59(世界标准时间)提交。有关该建议征求书的问题的提交时间现已结束。ICANN 将在本更新中提供已收到的问题及回复,以便回复建议征集的所有相关利益方拥有相同的信息。
回复建议征集的截止日期为2012 年 8 月 31 日 23:59(世界标准时间)。回复应发送至drmf-rfi@icann.org,以引起 ICANN 安全团队中 Patrick Jones 的关注。
问题
提案提交
-
我们希望了解,您是接受一个联合会(两家咨询公司)对此分配的提案,还是会寻求单一顾问。
回复 - 将接受联合会提出的提案。该提案应包含联合会各方将如何共同协作及与 ICANN 互动的说明。
时间安排
-
根据过去的 ICANN 会议以及征询内部和公众意见所需的时间,此项目预计将持续多长时间?
回复 - 理想情况下,ICANN 应能够聘请一名顾问于 9 月底就此项目开展工作,该顾问将在 10 月于安大略省多伦多召开的 ICANN 会议上加入开放式机构群体专家组。具体的时间安排交付目标将在聘请顾问后确定,但理事会工作组希望 DNS 风险管理框架草案在 2012 年 12 月初可供讨论,并随后在 2013 年 4 月于中国北京召开的 ICANN 会议上为 ICANN 理事会开放相关意见征询期。
-
根据 ICANN 工作人员的时间安排,完成启动过渡计划预计将持续多长时间?
回复 - ICANN 工作人员将为您提供帮助,并在整个项目期间协助顾问开展工作。这应该能够减少项目开始阶段和实施阶段的任何延迟,以在 ICANN 进行风险管理。
-
建议征求书活动预计于何时开始?
回复 - 在完成签约流程后,顾问应尽快开始工作。理想情况下,应在 9 月底着手这方面的工作,以便在多伦多 ICANN 会议之前有足够的时间开始工作。理事会工作组将于 10 月 18 日(星期四)在 ICANN 会议上举办一次机构群体公开会议,顾问应参加此次会议,以利用这段时间与机构群体进行互动。
-
ICANN 将在何时做出有关中标人的决定?
回复 - ICANN 将根据已收到回复的质量及内部选举流程尽快做出决定。ICANN 力争在 9 月初做出决定。
人员配备
-
实施相关方法的 ICANN 内部团队的预计规模有多大?指定工作人员的地理位置及多样性如何?
回复 - 实施 DNS 风险管理框架将由 ICANN 的安全团队领导,但也需要其他部门工作人员的专业知识,这包括法律、DNS 运作、IT、财务、IANA 等。ICANN 的工作人员遍及全球,但安全团队当前分布在美国东海岸与西海岸之间。
-
专门执行风险管理活动的 ICANN 工作人员的构成(工作人员数量、层次等)是怎样的?
回复 - ICANN 的安全团队为理事会安全委员会和理事会 DNS 风险管理框架工作组提供人员配备。法律小组的 ICANN 工作人员将提供理事会支持,ICANN 总顾问将参与执行小组。执行小组将跟进风险管理活动,各个部门的工作人员将跟踪部门风险。
-
FTE 在 ICANN 为项目工作提供协助方面的承诺是什么?
回复 - ICANN 安全团队将提供人员配备,就此项目与顾问协作。
材料准备
-
建议征求书指出,专家顾问将向理事会 DNS 风险管理框架工作组和 ICANN 机构群体提交一份报告。专家顾问生成的交付目标是作为公开文档与机构群体逐字逐句共享,还是 ICANN 或专家顾问将要准备公开共享的摘要?
回复 - 顾问应假定为此项目生成的交付目标将作为公开文档与机构群体逐字逐句共享。顾问还应在适当的时候提供执行摘要,以在制定风险框架后帮助机构群体理解该框架。
DNS 风险管理框架任务列表
-
任务 2 - 风险框架 - ICANN 之前是否已采纳过风险管理框架?采纳的是哪个框架?
回复 - 是,ICANN 具有一个内部企业风险管理框架。
-
任务 2 - 风险框架 - ICANN 是否具有任何其正考虑在机构内采纳的框架?
回复 - ICANN 将接受实用且可实施的 DNS 风险管理方法。
-
任务 2 - 风险框架 - ICANN 是否拥有此安全风险管理框架应与其保持一致的企业风险管理 (ERM) 框架?
回复 - ICANN 拥有一个内部企业风险管理框架。ICANN 将接受实用且可实施的 DNS 风险管理方法。
-
任务 2 - 风险框架 - ICANN 是否考虑将一流的实践方法或全球认可的框架(如 Risk IT 和 COBIT5 for Security)作为它们风险管理框架的基础?
回复 - COBIT 主要是一个信息技术流程框架。顾问应认识到,风险管理框架的重心并不完全在信息技术方面,而是在 ICANN 作为一个组织的总体 DNS 风险方面。COBIT5 和 Risk IT 可以作为示例,但不应作为顾问的框架提案的唯一基础。
-
任务 2 - 风险框架 - 交付目标列表并未清楚说明风险管理的要求(例如,风险偏好和容限、IT 风险管理的责任和义务、意识和通信、风险文化)。这也是一个预期的交付目标吗?
回复 - 欢迎顾问在 DNS 风险背景下就清楚说明风险管理要求的机制提出建议。
-
任务 3 - 达成共识 - 公众意见征询周期预计将持续多长时间?
有关 ICANN 公众意见征询周期流程的信息,请参阅 http://www.icann.org/en/news/public-comment。公众意见征询周期的总长度将取决于,是否会在最初的意见征询期内收到意见,进而需要开放意见回复期。工作组预计将在 2013 年初开始征询公众意见,但这可能会发生变动,具体取决于各种因素。
-
任务 3 - 达成共识 - 工作组是否会在公众意见征询周期前提供审查和评论?在发布以征询公众意见之前,是否有机会基于工作组的反馈对该框架做出修订?
回复 - 是
-
任务 3 - 达成共识 - 工作组将采取什么措施来判断是否达成了共识?
回复 - 工作组将寻求一个可实施并且在这方面由于符合交付目标而被机构群体普遍接受的 DNS 风险管理框架。
-
任务 3 - 达成共识 - 建议征求书指出,专家顾问将“协助工作人员和工作组达成共识,以在 ICANN(组织和机构群体)内为风险管理框架提供支持。”专家顾问是直接与机构群体进行互动,还是仅通过 ICANN 工作人员与机构群体进行互动?
回复 - 基本上,理事会工作组希望顾问在 2012 年 10 月 18 日于多伦多召开的 ICANN 会议期间参加工作组的公开会议。这次会议将为机构群体中感兴趣的参与者提供提问的机会,并为顾问提供与参加会议的人员互动的机会。预计顾问还将就制定风险框架一事直接与机构群体中的专家进行互动。
-
任务 4 - 风险周期 - 建议征求书指出,任务 4 是“可能的第二阶段”的一部分。“第二阶段”是否会发生的决定因素是什么?
理事会和 ICANN 高级管理层将在交付第一阶段 DNS 风险管理框架后确定后续步骤,包括如建议征求书中所述的第二阶段的时间安排和可行性。对建议征求书的回复可能包括关于顾问将如何考虑第二阶段的交付目标的说明。
-
任务 4 - 风险周期 - 提案是否应包括对可能的第二阶段活动的预估?
回复 - 是,虽然这种预估可能是概括抽象的,但在第一阶段并不需要为第二阶段中的步骤提供详细信息,不过这可能有助于 ICANN 了解顾问提议采用的方法。
-
任务 4 - 风险周期 - ICANN 当前使用什么工具来确定、记录、管理和监控风险?
回复 - ICANN 在其部门内跟踪风险,并通过相关理事会委员会(如理事会风险委
员会、理事会财务委员会、理事会 IANA 委员会等)就主要的计划风险区域提供定期更新。新 gTLD 计划具有独立的风险报告机制,这一机制通过理事会新 gTLD 委员会实施。 -
任务 4 - ICANN 是否采用了任何监管、风险管理及合规性 (GRC) 技术解决方案?
回复 - ICANN 的合规性小组正在开发工具,以帮助管理合规性风险。ICANN 将接受任何有关技术解决方案的建议,前提是这些建议有助于确保顾问交付的 DNS 风险管理框架实用且可实施。
-
任务 4 - 风险周期 - ICANN 是否在其机构内采用了之前已确定和记录的风险?组织内是否有其他风险活动发生?这些活动有哪些?
回复 - ICANN 与理事会风险委员会定期召开会议,并利用其之前已确定和记录的风险来管理机构内的风险。
-
任务 4 - 风险周期 - ICANN 是否希望在交付目标中包括一个基本流程,针对它们的主要安全风险的风险和控制库?
回复 - 此合同的主要任务将在建议征求书中介绍。其他信息应为交付机构的 DNS 风险管理框架提供支持。
-
任务 4 - 风险周期 - 在制定风险计划(风险响应策略)方面,ICANN 是否希望包括示例测试程序,以验证风险计划除主要指标的监控程序以外的效率?
回复 - 是,如果这些程序可以为框架提供支持,则可以将其包括在内。
-
任务 4 - 风险周期 - 在监控和仪表板报表的设计和开发方面,ICANN 是否需要
协助?回复 - 作为第二阶段的一部分,监控和仪表板报表的设计和开发将进入框架初始周期的实施和执行阶段。这些建议可以包括在建议征求书中,但不需要在本阶段提供。
概要
-
针对此建议征求书,ICANN 采用的主要选择标准是什么?
回复 - ICANN 将评估已收到的回复,以确定一名可以将风险方法应用于域名系统的独特方面(包括其国际本质及多利益主体参与)的专家顾问。ICANN 需要一名能够在相对较短的时期内交付优质产品的顾问,而该产品将提交给机构群体进行审查和分析。