白宫执行部门和机构负责人的备忘录新闻秘书办公室
(德克萨斯州Crawford)2008年5月7日
主题:受控未分类信息的指定和共享(CUI)
目的
(1) 本备忘录(a)采用、定义并规定“受控非保密信息”(CUI)为该定义范围内所有信息在整个行政部门的单一分类名称,其中包括迄今为止在信息共享环境(ISE)中被称为“敏感但不保密”(SBU)的大多数信息,以及(b)建立了相应的新CUI框架,用于指定、标记、保护和传播指定为CUI的信息。备忘录的目的是使做法标准化,从而改善信息共享,而不是对新的或额外的信息进行分类或解密。
背景—当前SBU环境
(2)美国面临的威胁的全球性质要求(a)我们国家的整个防守网络能够更快地分享信息,因此必须采取行动的人拥有所需的信息,并(b)美国政府保护美国人的敏感信息,信息隐私和其他合法权利。以前被称为SBU信息的统一和更标准化的政府框架对ISE成功的必不可少。因此,该备忘录建立了一个标准化的框架,旨在促进和增强控制的未分类信息的共享。
定义
(3) 在本备忘录中,以下术语的含义如下:
一种。“受控未分类的信息”是一个分类指定,指的是未经执行命令12958根据国家安全分类标准的无限制信息,但(i)与美国国家利益或重要的联邦政府以外的实体的利益,并在法律或政策下的(ii)要求保护免于未经授权的披露,特别处理保障或在交易所或传播方面的规定限制。从此,指定崔取代了“敏感但未分类”(SBU)。
政策 - 崔框架b、 "CUI委员会”是信息共享委员会(ISC)的一个小组委员会,由2004年《情报改革和恐怖主义预防法》(公法108-458)(IRTPA)创建。
C。“CUI框架”是指关于苏联恐怖主义相关信息的指定,标记,保护和传播的单一政策和程序,这些信息相关信息,这些信息源于部门和机构,无论用于显示,存储还是传输的介质这些信息。
天。“CUI框架标准注册表”(“CUI注册处”)是指CUI标记的官方名单和认可标准,包括执行代理人维护的“保障”和“传播”。
e。“部门和机构”是指第105条所定义的执行机构,美国守则第5条;美国邮政服务;但不是政府问责办公室。
f、 "“加强保护”是一项处理要求,这意味着指定的信息受到比通常要求更严格的措施的约束,因为无意或未经授权的披露会造成重大损害的风险。此要求通过标记“受控增强”表示
G。“执行代理人”是指国家档案和记录管理(NARA)。
H。“信息”是指任何传染知识或纪录片材料,无论其物理形式或特征如何,由其制定或由联邦政府的控制而产生。
我。“信息共享环境”是指一种促进共享“恐怖主义信息”的方法,该方法由IRTPA第1016节定义。
j。“保障”是指规定以保护控制的未分类信息规定的措施和控制。
k。“敏感但非机密”是指迄今为止在联邦政府内部用于文件和信息的各种指定,这些文件和信息足够敏感,足以保证不被披露,但不需要保密。
l“指定传播”是一种处理指令,意指所指定的信息须服从有关允许传播程度的附加指令。
m。“标准传播”是一种处理指示,意味着在合理地认为传播将进一步执行合法或官方任务宗旨的授权的处理指示,但个人在其指定职责的范围内传播这些信息的个人。
n。“标准保护”是一项处理要求,意味着所指定的信息受基线保护措施的约束,以减少未经授权或无意披露的风险。此要求应通过使用“受控”标记加以说明。
o。“恐怖主义相关信息”系指(i)根据《2007年9/11委员会法实施建议》(公法110-53)第504节定义的信息;(ii)国土安全信息,由6 U.S.C. 482(f)定义;与恐怖主义有关的执法资料。
(4)CUI统一使用对于培养有效的ISE至关重要。所有部门和机构都应适用崔框架,该框架包括以下政策和标准,如第5-19段所述,用于在源于部门的ISE中的任何崔恐怖主义相关信息的指定,标记,保障和传播中概述和机构,无论用于其显示,存储或传输的介质如何。
(5)所有CUI应具备两级保障程序之一:标准(标记为“受控”)或增强(标记为“受控增强”)。
(6)所有CUI应享有两级传播控制之一:“标准传播”或“指定传播”。
(7)所有CUI均应(a)分为保障程序和传播控制的三种组合之一,(b)所以通过使用以下相应标记表示:
(我)“受标准传播控制”这意味着信息需要标准的保护措施,以降低未经授权或无意披露的风险。如果有理由相信传播将促进合法或官方目的的执行,则允许传播。
(8) 任何附加CUI标记只能由执行代理规定。禁止使用附加CUI标记,除非执行代理确定特殊情况下有必要使用附加标记。(ii)“以指定的传播方式受管制”意思是信息需要保护措施,以减少未经授权或无意泄露的风险。材料中包含了关于什么是允许传播的额外说明。
(3)“受管制、加强及指定传播”这意味着信息需要比通常要求更严格的保护措施,因为无意或未经授权的披露将产生重大损害的风险。材料包含关于允许传播内容的附加说明。
(9)部门和机构应适用CUI注册处的标准。CUI的发起者可能不会对接受者施加任何额外的保障或传播要求。没有部门或机构应在CUI框架之外创建CUI类别或规则。
(10) CUI的接收者应向指定机构报告任何未经授权的或无意的披露。
(11) 所有CUI应以清晰的方式进行标记,并符合有关标记的法律法规要求(如有)。未标记的CUI接收人应适当标记信息,并通知发端人已标记该信息。
(12)尽管可以,预计部门和机构将在纳入ISE时重新标记存档或遗产材料。
(13)CUI标记可能会通知,但不控制是否向公众披露或释放信息的决定,例如响应根据信息法案(FOIA)所履行的请求。
(14) 发起部门和机构应保留对是否超出其标准或规定传播指令传播CUI材料的决定的控制权,包括向媒体或公众传播。
(15)包含CUI和非CUI信息的材料,或包含多个类别的CUI,因此应相应地标记,以使那些分类的区别是明显的。
(16)CUI标记应纳入ISE相关信息技术(IT)在开发或未来发展的项目中,并反映在新信息技术的计划中。
(17)无论媒体如何,都应使用CUI标记,这些介质通过该介质出现或传递信息。口头通信应在必要时描述控件时描述控件的陈述,以确保收件人了解信息的状态。
(18)部门或机构不得施加维护要求或传播管制,既不是分类也不是CUI的信息。
(19)当一个部门或机构收到来自州、地方、部落、私营部门或外国合作伙伴的CUI时,任何非联邦遗留标记均应保留,除非发起者批准将其移除。
(20) CUI框架的实施应从本备忘录日期开始,并应在5年内完成。
崔框架实现
(21)执行代理应负责监督和管理本CUI框架的实施。
(22)执行代理应具有以下权限和责任:
a.制定并发布与本备忘录一致的CUI政策标准和实施指南,包括对国家、地方、部落、私营部门和外国合作伙伴实体实施CUI框架的适当建议。酌情建立新的保障和传播控制措施,并在确定特殊情况需要使用额外CUI标记的情况下,授权使用此类额外标记;
(23)兹设立国际知识产权委员会理事会,作为国际知识产权委员会的小组委员会。其成员应从ISC的成员中抽取。CUI理事会应:B成立并主持CUI理事会;
C建立、批准和维护保障标准和传播指令,包括部门和机构负责人提出的“特定传播”要求;
天。在CUI注册处发布CUI保障和传播标准;
监督部门和机构遵守CUI政策、标准和标志;
F。建立基线培训要求,并开发一个由部门和机构执行的ISE范围的CUI培训计划;
G。提供有关国会的崔框架,州,地方,部落和私营部门实体以及外国合作伙伴的适当信息;
h.就CUI理事会就该等部门和机构之间关于适当指定或标记CUI的投诉和争议的决议向各部门和机构负责人提供建议;和
我与受影响的部门和机构协商,建立一个流程,解决不当处理CUI的执法机制和处罚问题。
一种。作为执行代理的主要顾问,就CUI框架有关的问题;乐动冠军
(24)拥有与恐怖主义有关的情报的各部门和机构的首长应:湾建议执行代理人制定建立,实施和维护CUI框架所需的程序,准则和标准;
C。确保参加CUI框架的部门和机构之间的协调;
d.就各部门和机构之间关于正确指定或标识CUI的投诉和争议的解决向执行代理人提供建议;和
e.酌情与ISC的州、地方、部落和私营部门小组委员会协商。
A.确保在该部门或机构内实施CUI框架;
指定崔B根据第21段中规定的CUI执行代理发布的ISE范围内的CUI政策,发布在该部门或机构内实施CUI框架的指南;
C。采用由执行代理维护的CUI登记处列出的标记作为该部门或机构使用的独家崔标记,与本备忘录第5-8段一致;
天。提出任何必要的“指定传播”指示执行代理人在CUI注册处批准和上市;
e。从部门或代理商中指定一个适当合格的高级官员,作为崔委会的代表;
F。根据执行代理人设立的ISE范围的培训计划为各自的部门或机构实施CUI培训计划,并确保所有适当的人员(i)了解CUI政策和程序,(ii)可以在创建时应用它们,传播或保护Cui材料;
g.建立一个流程,使各自的部门或机构能够在机构内解决不符合新的CUI框架的问题,并确保管理和监督问题或关注可提升至适当的部门或机构决策者;乐动冠军
H在其各自的部门或机构内建立一个流程,在适当情况下,及时向执行机构提出与框架有关的问题;和
我。确保全面执行CUI框架,符合执行代理人在本备忘录之日期的5年内规定的政策,指导和标准。
(25)在下列情况下,信息应指定为CUI,并带有授权的CUI标记:
a.法令要求或授权这样的指定;或
(26)尽管有上述规定,信息不应被指定为CUI:湾通过对原子能机构的法规,指令或其他具体指导,始发部门或机构的负责人决定了信息是CUI。此类决定应基于任务要求,商业审慎,法律特权,保护个人或商业权利,安全或安全。应向执行代理提供此类部门或机构指令,法规或指导以进行审查。
A. (i)隐瞒违反法律、效率低下或行政错误的行为;(ii)防止令联邦政府或任何联邦官员、任何组织或机构难堪;(iii)不当或非法干预私营部门的竞争;或(iv)阻止或延迟发布不需要上述保护的信息;
崔例外湾如果需要向公众提供;或
如果它已经在适当的权威下向公众发布。
(27)本备忘录要求所有崔某均由部门和机构起源于ISE,符合根据本备忘录的指定,标记,保障和传播和传播的政策和标准。但是,在CUI框架下未完全容纳的基础设施保护协议(及其相关标记,保护要求和传播限制)应被视为该崔框架的例外情况。基础设施保护例外包括并申请由以下规定管理或受以下规定的信息:
一种。6 CFR PT。29 - PCII(受保护的关键基础设施信息);
(28)CUI框架应在最大程度上用于此类信息,但不得影响或干扰标记,保护和传播的具体监管要求。湾49 CFR PTS。15(交通部)和1520(国土安全/运输) - SSI(敏感安全信息);
C。6 CFR PT。27 - CVI(化学漏洞信息);和
d. 10 CFR Pt. 73—SGI(安全保障信息)。
(29)受影响的部门或机构有权为本法规选择最适用的标志。任何超出CUI框架规定的额外防护要求应在CUI注册表中适当登记。任何监管标志应遵循CUI标志,规定的发布说明应阐明任何其他监管要求。
一般规定
(30)本备忘录:
A.应以符合适用法律的方式实施,包括保护美国人信息隐私权和其他合法权利的联邦法律,并以拨款可用性为前提;
B.执行方式应与各部门和机构的主要负责人作为各自部门或机构的负责人的法定权限相一致;
C不得解释为损害或以其他方式影响管理和预算办公室主任有关预算、行政和立法提案的职能;和
天。仅限于改善联邦政府的内部管理,并非打算,并没有创造任何权利或福利,在美国,其部门,机构的缔约方的法律或股权股权。,或实体,其官员,雇员或代理人或任何其他人。
乔治•布什(GEORGE w . BUSH)