美国农业部
华盛顿,D.C. 20250

部门监管 数字:3440 - 002
主题:
控制及保护“敏感保安资料”		 日期:2003年1月30日
OPI:
采购和财产管理厅人事和文件保安司

表的内容

1

2

3.

4.

5.

6.

7.

8.

9.

10

11

12

13

14

15.

16.

17.

附录A.

目的

特殊说明

政策

参考资料

背景

定义

缩写

职责

信息自由法案

识别和标记

保管和储存

传播和传输

记录处置

ssi保护持续时间

承包商人员

保护信息技术(IT)资产的

其他部门的资料

2001年10月12日的备忘录备忘录

  1. 目的
    该法规为美国农业部(USDA)确定非机密但敏感信息并防止其未经授权使用或泄露确立了程序。该法规包括最低保护要求,包括将非机密但敏感的信息识别为“敏感安全信息”,并建议在信息的敏感性需要时应用额外的安全措施。

  2. 特殊说明
    本规定适用于美国农业部的所有组织要素。

  3. 政策
    美国农业部的政策是在控制中保障未分类但敏感的安全信息。USDA将扣除不适合与法律,法规和法院决定一致的公开披露的发布敏感信息。

    值得注意的是,根据总统67 FR 61465(2002年9月26日)的命令,农业部长最初被授权将信息归类为“机密”。因此,如果美国农业部发出了它认为应该分类的文件,部门管理(DA)应该尽快通知。

    信息不能被指定为敏感的安全信息(SSI)隐瞒违法行为;效率低下;行政错误;防止尴尬的个人,组织,部门或机构;或限制竞争。

  4. 参考资料
    1987年计算机安全法案,P.L。1000-235号,101统计。1724(1988)
    管理与预算通知A-130,联邦信息资源管理,附录III,联邦自动化信息资源的安全办公室
    Freedom of Information Act, 5 USC �552 (2000)
    第12958号行政命令,国家安全机密的信息,1995年4月12日
    美国司法部长就《信息自由法》给所有联邦部门和机构负责人的备忘录(2001年10月12日)
    DM 3440-001分类、解密和保护机密信息,
    DR 3440-001分类,解密,维护分类信息。
    DR 3450-002 FOIA实施细则。
    DR 3040-001电子记录管理计划。
    DR 3060-1 USDA信函管理条例,第17条,处理限制信息的。
    3080-1博士记录性格。

  5. 背景
    该亟需建立正式的指导概述了识别,维护,使用和维护的机密信息被认为是敏感的安全信息,如信息有关威胁,漏洞处置程序的所有组织要素,和风险国土安全和在美国农业部设施的物理安全。

  6. 定义

    1. 关键基础设施是指物理和基于网络的系统、资产(包括以纸面、电子或其他方式存储的信息),以及对美国政府或美国经济或其政治分支至关重要的服务,包括但不限于系统、设施、电信(包括语音和数据传输及互联网)、电力、天然气和石油储存、运输、银行和金融、公共卫生(包括生物、化学、辐射、和其他有害物质)、供水、废水、紧急服务(包括医疗、消防和警察服务)以及政府运作的连续性;
    2. 敏感的安全信息意味着非保密信息的敏感性,可以预期,如果公开披露产生有害影响联邦的安全操作或资产,公共健康或安全的美国公民或居民,或国家的长期经济繁荣;描述、讨论或反映:
      1. 美国的关键基础设施的任何元素通过物理或基于计算机的攻击或违反联邦,州或地方法律规定的其他类似行为抵御入侵,干扰,损害,盗窃,或失能的能力;损害美国的州际,国际贸易;或者,威胁公众健康或安全;
      2. 任何目前可行的评估,预测,或美国的关键基础设施的任何元素的安全漏洞的估计,具体包括,但不限于脆弱性评估,安全检测,风险评估,风险管理规划,或风险审计;
      3. 美国任何关键基础设施的安全问题或解决方案,具体包括但不限于任何设施的维修、恢复、重新设计、重建、搬迁、保险和运营的连续性;
      4. 提供以下类别以用于说明目的,仅用作为信息类型(无论格式如何)的示例,可以被分类为SSI:
        1. 美国农业部实验室、研究中心、现场设施等的物理安全状况,可能也包含漏洞;
        2. 有关上述美国农业部设施的物理安全信息的调查和分析材料;
        3. 可能对个人造成身体风险的信息;
        4. 这可能会导致关键设备和/或基础设施严重损坏的信息;
        5. 网络安全信息,包括但不限于
          1. 网络图纸或平面图
          2. 程序和系统安全计划
          3. 关键和敏感信息技术(IT)系统和应用
          4. 资本计划与投资控制数据(I-TIPS)
          5. IT配置管理数据和库
          6. 它限制空间(图纸,计划和设备规格以及实际空间)
          7. 事件和漏洞报告ReportsReports
          8. 风险评估报告,清单,可信设施手册ReportsReports和安全性用户指南
          9. 网络安全政策指南和手册章节
    3. 需求方知手段SSI的授权持有人做出判断为一个潜在的接受者需要以一个合法授权的政府职能履行或协助访问该SSI。

  7. 缩写
    DA��-Departmental Administration
    FOIA��-Freedom of Information Act
    IT��-Information Technology
    OCIO��-Office of the Chief Information Officer
    总法律顾问办公室
    OIG��-Office of the Inspector General
    PA��-Privacy Act
    SSI��敏感的安全信息

  8. 职责
    1. 在和助理秘书,机构管理者,区域主任,办公室主任,并现场场所,以下简称部门组织负责人,负责信息的识别和指定该SSI的认股权证的保护。
    2. 部门将组织负责人:
      1. 指定源自组织或准备使用其组织的类别或信息类型,并指定为SSI。如果部门组织头在提供的定义下确定信息不再有资格,则可以从FOIA请求中请求的信息中删除SSI标签。如果信息的敏感性需要保护超过根据该订单建立的最低水平,则部门组织负责人应确保所有办事处提供信息监护,并遵守此类标准。所有源自SSI的部门组织都有责任遵守审查,符合3080-01博士,记录性格。
      2. 确定有权确定在监督或认知下的哪些信息的下属官员需要保护免受未经授权的披露。如此指定的官员负责确保其方向下的人员意识到被认为是SSI的信息。
    3. 机构和工作人员将办公室:
      1. 如果需要,发布指示,建立识别SSI职责的标准。所有指令在最终定稿和批准前都要经过DA的事先批准。
      2. 确保有足够的保安措施和程序实施,以保护SSI。
      3. 确保其组织的员工都知道自己的责任,以保护SSI的。
      4. 进行风险分析和确定,以识别潜在的威胁和SSI的适当漏洞。
      5. 决定在其保管的丢失,误用或未经授权的访问或修改SSI所造成的潜在危害。
      6. 确定适当的信息并将其指定为SSI。
      7. 确保对负责未经授权披露SSI的人员采取迅速和适当的纪律处分。
    4. 部门行政会:
      监控并确保遵守这一DR,并提供有关识别和SSI的保护指导。
    5. 首席信息官将办公室:
      1. 建立记录管理处置的政策和程序,以确保指定为SSI的记录保持和布置根据美国农业部和机构记录的控制时间表。
      2. 与DA合作,确保在安全联络点、安全意识培训和应急程序方面明智地使用现有部门资源。
      3. 建立美国农业部IT系统保护政策和标准。系统保护功能包括加密、网络安全产品、计算系统的可靠性和安全性、物理屏障等。OCIO将进行合规审查,以确保政策和标准得到遵守。
      4. 建立战略和程序,在严重中断后重建和恢复关键的信息技术基础设施。OCIO将建立服务恢复计划,包括风险管理和后果管理分析研究和工具、系统生存性技术、备份和恢复能力,以及冷/热站点策略和需求。
    6. 一般会法律顾问办公室:
      响应任何初始FOIA请求之前提供同意,隐私法(PA)请求,或用于涉及SSI记录任何其他请求。机构和工作人员办公室应继续遵守7 C.F.R.1.14对于获得OGC同意时FOIA或PA上诉否认,但也应取得任何行政申诉OGC同意,无论是授予或拒绝,涉及SSI记录。

  9. 信息自由法案的要求
    访问SSI FOIA请求应在第8F,并按照美国农业部规定,2001年10月12日,总检察长的FOIA备忘录进行处理所阐述,并考虑所有适用的信息自由法的豁免,包括一个或多个以下:
    1. FOIA豁免可能适用于SSI:
      1. 对于SSI属于USDA业务运作或资产,FOIA豁免2,应考虑;
      2. 对于当前的SSI由私营部门或自愿提交给美国农业部行业信息通常通过提交者的保护,FOIA豁免4应考虑的;
      3. 对于任何被联邦法规禁止披露的SSI,应考虑《信息自由法豁免3》;和
      4. 对于由编译执法目的的信息任何SSI,FOIA豁免7应予以考虑。

  10. 识别和标记
    USDA材料包含USDA组织的负责人确定的信息,要求防止未经授权的披露保护,必须以显眼的方式标记以下通知:“敏感的安全信息 - 仅适用于时才播放。”SSI的识别将通过:
    1. 在前盖底部的SSI通知的标记(如果存在的话),获得标题页(如果存在)中,第一页,和后盖的外侧(如果存在的话);
    2. 在顶部,包含SSI文档中的每个页面的底部SSI通知的标识;
    3. 在含有一个SSI段落的开头个别部分标记应使用的缩写SSI进行;
    4. 注明了在盖备忘录;
    5. 没有附带机密信息但有SSI附件的传送文件应附加“敏感安全信息附件-仅在需要知道的基础上传播”的声明;
    6. 包含SSI的电子传输的消息或数据应在文本开头之前“敏感的安全信息 - 仅仅需要了解”;
    7. 包括在确定为组织中的SSI指令的使用和已知处理信息的所有人员的类别;
    8. USDA外部分布的所有文档应在所有页面上进行标记:
      “本文件包含根据《信息自由法》可免于强制披露的信息。豁免(s) ______适用。
    9. 任何其他方法授权DA。

    识别SSI的目的是确保材料的所有接收者都知道信息需要保护,并应仅在需要时传播。选择的识别方法应该对组织的操作效率产生最小的影响。


  11. 保管和储存
    1. 保管被指定为SSI的材料的员工应保持适当的谨慎,以确保没有要求的个人无法获得这些信息。至少,那些不能证明“需要知道”的人不能在无人陪同或无人观察的情况下进入区域,并且能够看到SSI。
    2. 在非工作时间,SSI应至少对上锁的书桌或文件柜的存储,或使用物理访问控制措施的设施或区域的存储提供保护,以提供充分的保护,以防止未经授权的访问。某些SSI材料的敏感性可能需要更高级别的保护,如带密码锁的保险箱。
    3. 由IT设施储存和处理的SSI应具有足够的物理、管理和技术保障。

  12. 传播和传输
    1. 已被识别并被接收者称为SSI的信息应受到保护,无论该材料是否被物理标记,都不会泄露给未经授权的个人。防止泄露的措施包括防止口头泄露、防止可视访问信息和防止将材料泄露给未经授权的人员。
    2. SSI离开起源组织的控制必须在一个棕色信封或包裹妥善密封传输和处理。
    3. SSI可以通过任何形式的商业运输或美国邮政服务方式传送。
    4. SSI可以在电话上讨论;然而,电话窃听的便捷性决定了在存在窃听威胁的情况下应酌情处理。在后一种情况下,应该考虑使用语音隐私设备或安全电话。
    5. SSI不应当被发送或沿着不安全寻呼机,无线设备或电话设备的讨论。这些设备本质上并不安全,并且需要额外的加密功能才能使用它们。
    6. SSI可以通过非保密传真机传送。然而,材料的灵敏度将确定用于更安全的通信传输(安全传真)的需要。在后一种情况下,如果保持器不知道哪一种方法来使用的,DA或OCIO将通过电话,传真,或提供对传输的适当的方法的指导。
    7. 互联网是不安全的,因此不应该用来传输SSI。保护和充分保护SSI免受非法或不当披露是至关重要的。OCIO将提供有关适当传播方法的指导。
    8. 即分布在部门之外SSI应以信指出,这种材料具有相同的控制措施相媲美的接收机构的规定措施,建立了媲美SSI进行处理,即在最低限度的满足我们的安全控制措施(敏感陪同但非保密有限公司官方使用,供官方使用,等等)。在没有这个水平收件人机构内部的安全程序,应提供与伴随适当的控制措施,该文件的一封信。

  13. 记录处置
    1. 在适当情况下,SSI可以通过撕裂成小块,并与其他废料丢弃被破坏。材料更高的灵敏度必须通过粉碎销毁。该材料的灵敏度水平将是决定破坏的合适的方法的一个组成部分。缩微胶片和缩微胶卷的小片段可以是可读的,因此,破坏成非常小的颗粒或条是必要的。DA应就当前粉碎机的安全要求,并破坏其他方法提供指导各部门的组织。
    2. 包含SSI数据的存储介质应在释放存储介质之前用非敏感数据覆盖。所有数据存储设备应通过批准的方法如消磁,覆盖(随机1和0的6-7次)或在处理之前完成的物理破坏来渲染。OCIO应为所有部门组织提供关于当前IT安全要求的所有部门组织,以适当销毁IT存储媒体。有关更多指导,请参阅DR 3040-01。
    3. 带有SSI标识的记录应根据美国农业部或机构批准的记录控制计划处理,该计划控制记录的主题内容。如果指定为SSI的记录需要更长或更短的保留期,必须联系美国农业部或机构的记录管理官员,以获得该记录的新处置。

  14. ssi保护持续时间
    当不再符合本规定第6.B节中建立的标准时,信息不得保留为SSI。除非指定官员持续不超过10年,否则这些信息常将受到SSI不超过10年的保护,除非指定官员做出了新的决心,保护较长的时间。

  15. 承包商人员
    如果作为合同或赠款的一部分,SSI必须向非政府人员公布,美国农业部组织负责人应与DA一起确定信息的敏感性是否足以要求对处理敏感信息的承包商人员进行调查。采购文件必须包括承包商的背景信息要求和合同的其他安全要求。美国农业部各机构的安全联络点应确定所需调查的范围,范围从适用性确定到国家安全许可请求,并为合同制定强制性安全要求。在向采购办公室提交招标文件之前,应将合同的安全要求转交DA同意。

  16. 保护信息技术(IT)资产的
    1. 安全性和需要加密或保护SSI是与风险和损失,误用或未经授权的访问或修改信息造成危害的严重性相称。这包括确保由一个机构使用的系统和应用程序的有效运行,并通过使用成本效益的管理,人员,运行和技术控制提供相应的保密性,完整性和可用性。这种做法强调了对SSI高性价比的安全风险为基础的决心。
    2. 负责当局认为敏感的信息,或确定具有高值的信息,或代表高风险的信息,如果在传输或存储期间容易受到未经授权的泄露或未检测到的修改,则应采用加密方式进行保护。
    3. 由于保护关于非政府拥有的系统的敏感信息,因此禁止使用个人家庭计算机存储或传输SSI。将发出并配置政府所有设备,以维持适合计算机上所含信息的最高信息的强大安全保护。

  17. 其他部门的资料
    一些政府机构已经发布了保护敏感信息的规定,例如“仅供官方使用”或“敏感但不保密”。应根据本条例保护其他政府机构的敏感材料不被未经授权泄露,或根据提供敏感信息的机构的具体要求提供额外的保护。

附录A.

总检察长办公室

2001年10月12日

所有联邦部门和机构备忘录封头

FROM:约翰·阿什克罗夫特,总检察长

主题:信息自由法

如你所知,司法部和本届政府致力于全面遵守信息自由法(FOIA),5 U.S.C.�552(2000)。只有通过良好知情的公民,我们国家的领导人仍然负责的治理和美国人民可以放心,没有欺诈行为,也没有政府浪费被隐藏。

司法部和本届政府也同样致力于保护那些被我们的社会持有的其他基本价值。其中在维护国家安全,增强我们的执法机构的效率,保护敏感商业信息和,并非最不重要的,维护个人隐私。

我们的公民在一个完全正常和有效的政府中也有很强的兴趣。国会和法院已暂时认识到某些法律特权确保了坦诚和完整的机构审议,而不必担心他们将公开。其他特权确保律师的审议和沟通保密。没有领导人可以在没有机密建议和律师的情况下有效运作。Foia的豁免5,5 U.S.C.�552(b)(5),包含这些权限和它们的声音策略。

我鼓励你的机构的信息自由法下作出披露决定时要仔细考虑所有这些价值和利益的保护。通过你的机构的自由裁量决定披露信息自由法所保护的信息应该只有经过充分而审慎地考虑,可以通过信息披露受到牵连的机构,商业和个人隐私利益作出。

在做出这些决定时,您应该在出现重要的FOIA问题以及我们对FOIA诉讼事项的公民部门以及对FOIA诉讼事项的公民部门进行司法部的信息和隐私部门。乐动冠军当您仔细考虑FOIA请求并决定在全部或部分地扣留记录时,您可以放心,除非他们缺乏合理的法律依据,否则司法部将捍卫您的决定,或者对其有害影响不利影响的危险风险其他机构保护其他重要记录。

本备忘录取代了司法部1993年10月4日发布的《信息自由法备忘录》,同样也没有创建任何可在法律上强制执行的实质性或程序性权利。