第4级：国家机构和政策

4.1 培训和教育（Training and Education）：面对受过培训的IT安全人员的短缺情况，国家该如何去处理？受过各级培训的IT安全人员的数目要达到多少才合适？我们怎样才能完成这些培训？H-1B签证能否部分地解决这个问题？

4.2 高度安全/可信的计算（Highly Secure /Trustworthy Computing）：除了解决当前软件和硬件中的脆弱性问题外，是否还应将更主要的研究重点放在开发完全新型且更加安全的操作系统软件、计算机硬件以及软硬件的接口上？应怎样去资助这些研究活动？怎样鼓励对这类系统的采购？

4.3 确保Internet结构的安全（Securing the Mechanics of the Internet）:Internet的通信流控制系统（DNS服务器、边界网关协议等）的安全性能否增强？能否通过将控制功能从通常的信道中隔离开来，使路由器变得更安全？怎样减轻拒绝服务攻击？在部署更加安全的系统时，会遇到哪些问题？怎样解决？怎样资助这些活动？

4.4 确保新兴系统的安全（Securing Emerging Systems）：在今后3～5年内，哪些信息技术和系统的数量和复杂度将增长？怎样去预知这些新兴技术的脆弱性？怎样去避免其脆弱性？增强性的安全措施怎样才能被无线网络和无线Internet连接所广泛吸收？随着支持Internet的无线半自治设备在数量上的增长和功能上的增强，有哪些安全问题随之而来？在使用多种无线接入方式与Internet相连的ad hoc网络中，会有哪些安全问题？

4.5 隐私（Privacy）：在实现IT安全的某些方法中，会对隐私带来哪些风险？怎样消除这些风险？

4.6 互依赖性（Interdependency）：我们怎样判断各类关键基础设施之间互依赖的程度？如何判断某个基础设施中的脆弱性对其他基础设施带来的影响？在解决互依赖性所带来的脆弱性时，怎样将解决问题的负担进行分派？

4.7 法规及市场驱动力（Regulation and Market Forces）：联邦和州政府颁布的法规在实现IT安全时应担当何种角色？作为法规的替代手段，如何通过进一步刺激市场驱动力使其起到提高IT安全的作用？企业的披露政策、内外审计师、董事会、保险公司、责任法、税收政策等分别起着什么样的作用？

4.8 研究（Research）：国家IT安全研究的优先级是什么？这些优先级怎样在下列实体间得到实现：企业研究部门、大学、国家实验室、联邦政府资助的研发中心？研究的花销怎样分摊？

4.9 信息共享（Information Sharing）：在联邦政府、州及地方政府、企业、公众之间应进一步实现哪些信息共享？实现这种信息共享的阻碍是什么？怎样才能最好地实现这种共享？有关非授权入侵者以及其他恶意行为的数据怎样才能最好地组织起来并进行分析？哪些系统应负责发布IT安全预警？

4.10 脆弱性修补（Vulnerability Remediation）：在标识IT安全脆弱性的过程中，个人和企业应承担何种角色？应向谁报告安全脆弱性？用户应以什么方式以及在何时得到通知？为了确保补丁能够被快速使用，提供商或大规模企业用户应怎样发布补丁？关键基础设施运营者以及政府应怎样辨明并除去逻辑炸弹、特洛伊木马以及其他已经隐蔽地安装在系统或网络中的恶意代码？

4.11 认证（Certification）：软件、硬件以及IT安全顾问是否应得到认证？如果是，应怎样认证？被谁认证？

4.12 运营连续性、恢复、重建（Continuity of Operations, Recovery and Reconstitution）：在国家级上，为了响应IT系统的中断所带来的广泛蔓延的影响，应该有哪些计划、功能以及部署？

4.13 犯罪（Crime）：为了实现政府和关键基础设施的IT安全，司法系统应扮演何种角色？当前州/地方政府以及联邦政府的司法系统是否已足够？当前的法律禁令以及刑法是否已有足够的威慑力？

4.14 国家安全（National Security）：如果恶意行为的源头是某个国家，这时我们的政策和行动应该做出哪些变化？