CDC已修订标题的政策敏感但非机密信息.此修订的目的是提供允许CDC完成其公共卫生使命的政策和程序,同时保障足够敏感的数据和文件,以外可能没有被指定为分类信息。本政策包含指导意见:
- 建立协调中心和国家中心、办公室级文件控制人员。
- 文档管制人员的政策和程序,以审查和指定文件敏感但未入住的文件。
- 储存,传播和保护要求敏感但未入住的信息。
- 与实施计划有关的角色和责任。
要直接转到策略,请在浏览器的位置行输入以下[CDC Intranet] URL:http://intraspn.cdc.gov/maso/policy/doc/policy464.htm.
安全和紧急准备办公室是这项政策的支持者。如果您对此策略有疑问或意见,您可以在404-498-1516联系策略分析师Tom Jones,或向CDC策略电子邮件发送电子邮件。詹姆斯d·塞利格曼
首席信息官
敏感但非机密的信息
部分 |
我。 |
|
|
2 |
|
|
3 |
|
|
IV。 |
|
|
V. |
|
|
VI。 |
|
|
VII。 |
|
|
8 |
|
I.目的和范围
本文件的目的是提供政策和程序,以允许疾病控制和预防中心(CDC))为了在保护足够敏感的数据和文件的情况下实现其公共卫生使命,以其他方式可以被指定为分类信息。
本政策适用于所有雇员、研究员、客座研究人员、附属军服服务人员(美国公共卫生服务(USPHS)委任部队、国防部雇员和服务人员)承包商、分包商或在CDC或其赞助下工作的任何其他个人。
2背景
CDC是由OMB通告A-130,联邦信息资源管理,
保护政府信息的风险和损害程度,可能导致的损失,滥用,或未经授权的访问或修改该等信息
安全计划和程序已存在以保护分类事项。但是,公众通常可以获得的信息以及某些可检测活动可能会揭示存在的存在,有时细节,分类或敏感信息或进行。这些指标可以帮助那些寻求中和或利用美国政府行动的人(第298号国家安全决定指令).本政策旨在将这种风险降到最低。
3首字母缩略词和定义
一个。为了本政策的目的,以下简称适用:
1.协调中心和协调办公室
2.首席信息安全官(CISO
3.文件控制官
4. HHS�部门卫生与公众服务部
5. FOIA�信息行为自由
6.信息技术服务办公室
7. NC�国家中心
8. NSDD�国家安全决策指令
9. OSEP - 安全和应急准备办公室
10.美国卫生和公众服务部安全与药物测试办公室
11.敏感但不保密
B。为了此策略的目的,以下定义适用:
1.文件控制官员
一个数控。-和办公室级DCO - NC或办公室级的员工,由其NC或办公室主任负责适当维护与监控、保护、存储、传输和销毁被归类为SBU的信息相关的记录NSDD-189,国家转让科学,技术和工程信息的国家政策.
b。CC / CO DCO�员工在CC / Co-Level担任其CC / CO主任责任审查和/或向NC或Office DCO水平提供指导的决定。
C.当出现无法在NC、办公室或CC/CO层面上决定的敏感性问题时,OSEP DCO应作为最终的批准机构。OSEP DCO还应负责进行与本政策相关的必要培训。
2.电子媒体
电子媒体包括磁带盘、磁盘组、磁盘、光盘、可移动硬盘、磁盘盒、光盘、纸带、磁盘盘、磁卡、磁带盒、微盒子、录像带和任何存储数据的设备,通常用户或操作员可以从系统中删除这些设备。
3.禁止区
排除区域是一个安全区域,具有识别边界的障碍,包括指定的空间,并包括访问控制和入侵检测,以提供合理的保证,只有允许授权人员进入并退出没有护送的区域。访问排除区域需要邻近卡,访问授权,并且需要了解。CDC�S当前和建议的选择代理实验室被指定为排除区域。
4.输出受管制的信息或材料
出口受控信息或材料是无法释放到外国国民或外国实体代表的信息或材料,而不首先获得国家部门的批准或许可。这与由国际武器条例或商务部的国际交通控制的项目涉及,并包括出口管理条例控制的项目。导出控制信息必须控制为SBU信息并相应标记。
5。信息自由法
要求公布公开要求的信息的法律,但有几个例外:
一种。豁免1:目前和妥善分类的信息。
b。豁免2.:仅涉及原子能机构的内部规则和实践以及披露的信息,允许规避机构法规。
c。豁免3.:由制定特定扣缴标准的法规特别豁免的信息。法规的语言必须清楚地说明信息不会被披露。
d。豁免4.:从公司获得的商业秘密和商业或财务信息等信息,以特权或机密为基础,如果发布,将导致公司竞争危害,损害政府在未来获得类似信息的能力,或损害政府对遵守计划效益的利益。
e。豁免5.:内部备忘录那是审议本质上。此豁免适用于部分决策过程的内部文件,并包含主观评估,意见和建议。
F。豁免6.:如果发布,可以合理地预期将构成对个人隐私的明显无正当理由的侵犯的信息。
G。豁免7:为法律执法编制的记录或信息,目的:
一世.可以合理地预期干扰执法诉讼程序;
2将剥夺了一个公平审判或公正裁决的权利;
3可以有理由认为构成对他人个人隐私的无端侵犯;
IV..披露机密消息来源的身份;
V..披露了调查技术和程序;要么
6 .有理由认为可能危及任何个人的生命或人身安全。
H。豁免8:金融机构监管机构的相关记录。
一世.豁免9:井的地质和地球物理信息。
6.有限的面积
有限区域是指居住在财产保护区域(见财产保护区域的定义)内的安全区域,其边界和包围指定空间的屏障。建筑物的周长通常定义了一个有限区域的边界。它有访问控制和入侵检测,以提供合理的保证,只有授权人员可以在没有护送的情况下进出该地区。进入受限区域需要接近卡和进入授权。
7.产权保护领域
财产保护区域是由疾病预防控制中心设施的最外围划定的,这个安全区域的建立是为了防止疾病预防控制中心拥有的财产遭到破坏、破坏和盗窃。在罗伊尔巴尔场地、周边围栏建立财产保护区;它定义了边界罗伊尔巴尔控制人员和车辆出入。
8.专有信息
专有信息是从公司获得的商业秘密和商业或财务信息,以特权或机密为基础,如果发布,将导致公司竞争危害,损害政府在未来获得信息的能力,或者损害政府对遵守计划效益的利益。
9.非保密的敏感
�声但未入住的指定适用于未经公布的信息,可能免于FOIA下的公众强制释放。(对于九个FOIA豁免,请参阅本节的FOIA定义。)SBU是信息的正式指定,依法或法规,要求某种形式的保护,但在正式的分类系统之外,按照执行订单12958., 经修正。
10.特殊排除区
特殊的排除区域是一个安全区域,具有识别其边界并包含指定空间的障碍。此外,它包括访问控制,以提供合理的保证,只有允许授权人员进入并退出未经护送的区域。访问特殊排除区域需要邻近卡,访问授权,表明需要了解和入侵检测。授权访问这些地区的人员需要适当的安全许可。
IV。政策
所有CDC员工和其他相关人员应通过遵循本政策文件和/或CDC,HHS,执行订单,其他总统指令,美国联邦法院裁决和适用美国的适用法律的程序来保护SBU信息美国。
V.职责
A. CDC OSEP董事(或DISTRAMENS DESIGNEE)关于SBU信息的职责
1.指定一个或多个OSEP DCO来实施此政策和程序。
2.进行全局的培训。
3.向CC / CO和NC和Office提供指导和建议dco.
4.根据需要组成上诉委员会,以及时判断有关敏感性确定的上诉。
5。将敏感性决策的挑战提交给SDT。
B. CC / CO董事(或其指定人士)关于SBU信息的责任
每个CC / CO导演(或CC / CO Diversiti Dedignee)应任命一个或多个CC / CO DCO,以审查NC或Office DCO水平的决定,并为NC和办公室提供指导dco.
C.关于核武器纳和办公董事(或其指定人员)关于SBU信息的责任
每个NC或办公室主任(或指定的NC或办公室主任)应指定一个或多个NC或办公室DCO(s)审查所有提交的材料;进行灵敏度测定;并维护与监控、保护、存储、传输和销毁被归类为SBU的信息相关的记录NSDD-189,国家转让科学,技术和工程信息的国家政策.
D. NC和Office DCO关于SBU信息的责任
NC和办公室DCO应根据本政策和适用的其他法律、命令、规则和法规审查所有提交的材料,并作出敏感性决定。灵敏度测定应以书面形式记录下来。文件将按照CDC记录控制计划.
NC-和办公室级别dco负责审核内部版本,网站内容以及清除内部网上发布的政策和程序的信息。
NC-和办公室级别dco授权进行敏感性判断,确保某些信息不公开发布,且该信息应标记为SBU。但是,公众提出的任何信息要求都必须转交给《信息自由法》办公室,由其作出决定和答复。
E. CC / CO DCO关于SBU信息的责任
CC / CO DCO应根据需要审查NC或Office DCO所作的决定,并将酌情向NC或Office DCO提供指导。
F. OSEP DCO关于SBU信息的责任
OSEP DCO应执行本政策和相关程序;进行必要的培训;并为CC/CO和NC或办公室提供指导和建议dco.当由于在NC,办公室或CC / CO水平上无法决定的敏感性问题时,OSEP DCO应作为最终决策权。
G.监事关于SBU信息的责任
主管应确保只有本政策中指定的授权个人才能访问SBU信息。主管应每年通知员工保护SBU信息的需要,并要求将其创建的可能包含SBU的所有文件发送给NC级或办公室级DCO以进行敏感性确定。主管应在其员工之间和在其负责的工作空间内执行本政策的程序。主管应立即向CC/CO DCO报告涉嫌或已知违反本政策或程序的行为。
H.员工和附属机构关于SBU信息的责任
本政策第I节规定的员工和附属人民应遵守本政策和程序,并遵守所建立的要求。
I. CDC FOIA官员对SBU信息的责任
CDC Foia官员应向Foia SBU问题提供咨询,援助,政策和技术指导乐动冠军dco以及必要的管理。疾控中心信息自由法官员将在最终决定向公众公布或拒绝CDC记录之前获得敏感性判定。
J. CDC CISO对SBU信息的职责
CDC CISO应提供关于信息系统安全性的咨询,援助,政策和技术指导,重点2002年联邦信息安全与管理法,1987年计算机安全法案.
VI。程序
对于SBU,应遵循以下程序:
A.在公开发布之前审查和批准信息
CC/CO和NC-或办公室级别dco被授权审核并批准发布CDC Intranet网站的信息,并使敏感性确定,以确保某些信息不适用于公开发布,并且该信息标记为SBU。
CC/CO和NC-或办公室级别dco负责建立提交程序,并使受影响的人员知道这些程序。
标记信息SBU不会自动使其有资格获得公开发布豁免。如果收到公众对SBU文件的请求,应由CC/CO DCO审查该信息,以确定它是否真正有资格获得豁免。但是,只有CDC Foia官员委托授权批准公众在FOIA下扣缴所要求的信息。
在审核文件时,没有SBU或其他相关标记并不一定意味着信息应该公开发布。某些类型的记录(例如,大多数人力资源和财务信息)通常不标记为SBU,但根据《信息自由法》仍有资格扣留,除非个人另行授权公布。因此,所有信息在公开发布之前都应该经过审核和批准。
对敏感性审查的要求同样适用于硬拷贝和电子文件。需要敏感性审查的电子文件包括但不限于向在线出版物提交;乐动体育赛事起草或存储在公开访问的主页上的文件;和其他互联网网站的提交,无论现场还是位置。
当任何拟披露的信息“可能”被保密协议覆盖时,在收到OSEP DCO的书面许可之前,不得采取任何公开披露的步骤。这是一项终身义务,只要信息仍然敏感,就会一直有效。
B.网站内容的预发布审核
互联网上的信息可能面向有限的受众;然而,世界各地的观众都可以观看。万维网的设计并没有考虑到安全性,未加密的信息被泄露的风险很高。CDC CISO和ITSO指南考虑了哪些安全访问控制(如果有的话)对特定地点有效,信息的敏感性,以及信息的目标受众。
除非该网站受加密保护,否则大多数类型的SBU信息不得继续网站。
在将未标记的信息放在网站上之前,信息应由NC或office DCO和/或该信息所属的CC/CO DCO进行敏感性审查。CC/CO董事或董事代表也可以对信息进行审查。
CDC敏感度确定和分类决定要求判决时,应考虑汇总的潜在后果。“敏感的聚合敏感”是指关于一个网站上的信息似乎不重要的事实,但是,当与来自其他网站的信息相结合时,它可以形成比意图或期望的更大且更完整的图像。类似地,在一个站点上一起将大量信息的编译在一起可能会增加该信息的灵敏度,并使该信息更有可能被寻求信息用于CDC的信息。
个人信息�,如地址;电话号码,除了随时可供公众使用的电话号码;社会安全号码;出生日期;在传记摘要中的家庭成员的名称等。�不应在互联网上发布。
C.敏感性决策和通知
如果在NC或办公室级别的DCO和CC/CO DCO审查后敏感性决策存在问题,则应由CC/CO DCO通过电子邮件或办公室间邮件将该决策提交给OSEP DCO。OSEP DCO应在15个工作日内就文件草案的信息敏感性作出决定。如果不能做出决定,或者确定信息应该保密,则该文件将被发送给CDC osp的安全审查小组和/或转发给SDT进行敏感性确定。OSEP DCO将立即将文件的状态通知提交人。
D.敏感决策的吸引力
敏感度测定可以通过通过受影响的CC / CO主任从发起人的电子邮件或办公室邮件通过电子邮件或办公室邮件提出上诉,并送到OSEP的董事进行最终决定。
E. SBU信息的类别
敏感信息包括从FOIA豁免的任何信息,但不限于与人员,安全和选择代理有关的信息。
例子包括但不限于:
1.人员
综合人员信息,如评估和绩效数据;安全信息,包括背景调查结果和裁决,以及违规行为/事件报告;ReportsReportspersonal information, when associated with an individual�s work on topics where security is involved (e.g., names and details of those working with select agents, classified data, counterintelligence) or with those individuals who are authorized to have a level of access beyond the average CDC employee/contractor/visitor.
2.安全
设施蓝图及其他详细设施资料;与物理安全系统相关的数据库;该等设施或敏感资料的弱点;网络安全信息;安全程序;访问码(组合或密码);徽章设计信息;安全审计结果;物理安全性能测试结果;反应力练习结果; incident reports and disciplinary actions; response force capabilities; and security plans.
3.选择代理人
与选择代理程序相关的数据库和实验室记录,包括但不限于库存数据库和保管记录链;选择代理传输记录;与实验相关的文档导致意外结果被禁止9 CFR $ 121.10;以及审查和批准小组认为过于敏感而不能公开发布的信息。
F. SBU强制性释放豁免在FOIA下
被确定为SBU的电子或纸质信息必须属于第二节确定的9个《信息自由法》豁免类别中的一个或多个。b . 5。到免于向公众强制释放。
G. SBU人员访问要求
美国
公民直销监督员工负责访问,传播和释放SBU材料。员工将限制访问免于无意见的公开披露的保护SBU信息。
员工可以将SBU材料传递给其他人,包括非美国公民,官方政府职能,如果没有以其他方式禁止法律,监管或际际协议。
H. SBU的安全保护和存储要求
1.在使用时保护SBU信息
应采取合理的预防措施,防止不需要该信息执行其工作的人接触敏感信息(例如,敏感文件不应在公共场所阅读或带回家)。
2.SBU信息的存储规则
无论是纸本还是电子形式的敏感信息,都应受到物理保护,并应储存在有限的区域内。排除区和特殊排除区也是可接受的存储位置,但高密封实验室只应在绝对必要时用作敏感信息的存储区域。只有在采取额外的保护措施,将保护提高到与有限区域相当的水平时,才能在财产保护区域或公共区域存储敏感信息。
所有以硬拷贝形式存在的敏感信息应存储在一个上锁的容器内,在一个限制或排除区域内,在一个可访问的电子环境中,或在一个被授权的个人的物理控制下。有时当一个人在
美国
如果没有限制区域或隔离区,在上锁的房间内上锁的集装箱就足够了(例如,在上锁的酒店房间或车辆内上锁的公文包或手提箱)。敏感信息不应外带
美国
.
以电子方式处理和通过网络传输的信息处于释放或改变的风险较高。存储在CDC网络上的敏感信息应在一个可以确保只允许查看信息的级别的级别保护,允许访问(例如,机器生成的密码,加密)。The CDC network systems should maintain a high level of electronic protection (e.g., firewalls, intrusion detection, defense-in-depth, isolation of sensitive information, good practices network administration) to ensure the integrity of sensitive information and to prevent unauthorized access into these systems. Regular review of the protection methods used and system auditing are also critical to maintain protection of these systems.
存储和传输敏感信息或直接访问敏感信息的网络系统的物理元件应在限定区域或排除区域内受到保护。信息资源越集中(如网络或安全系统控制室),应应用的访问控制级别就越高。
I. SBU标记要求
已被确定为SBU的信息应指定为SBU,具有以下适当的标记和标签:
1.文件
包含敏感信息的文档应涵盖�sscisive但未分类的封面页,后盖的外部应标记为敏感但未分类。
文档的内部页面应标记为“已敏感”但在每个页面的顶部和底部的字母中的顶部和底部都清晰可区分。当空间不允许拼写缩短时,可以使用首字母缩略词SBU但未分类
第一页应在左下角包含以下声明,并填写适用的《信息自由法》豁免号码:
�敏感但未分类(SBU)
本文件包含可根据“信息法”(FOIA)(5 U.S.552)免除公开发布的信息,免税(s) ______申请。在通过信息自由办公室公开发布信息之前,需要获得疾病控制和预防中心文件控制官员、安全与应急准备办公室以及疾病控制和预防中心信息自由官员的批准
2.电子媒体
包含敏感信息的电子媒体应标记为敏感但未分类The label should be plainly visible and should be applied in a way that does not interfere with the drive mechanism. The outer covering for any of the above removable storage media should also be marked �Sensitive但未分类
录像带还应包含�scystive但如果可能的话,在播放视频的开始和结束时都不加分类。如果可能的话,磁带应该在播放部分的开始和结束包含一个可听到的陈述,告诉听众磁带包含SBU信息。
3.蓝图,工程图形,图表和地图
蓝图,工程图形,图表和包含敏感信息的地图应标记为敏感信息但非机密-建筑信息或“SBU-BI”在每一页的顶部和底部。如果蓝图、图纸、图表或地图足够大,可能会被卷起或折叠,�敏感但非机密-建筑信息,应放置,使标记是可见的,当项目是卷起或折叠。
4.照片和底片
包含敏感信息的照片应标记为“已敏感”但如果可能的话,不要在脸上显示机密信息。如果不能这样做,则应将标记放在背面。包含敏感信息的底片、正片或其他胶片应标记为�敏感但如果可能的话,在电影本身上没有分类;否则,它应该在标记的容器内保护。
J. SBU信息的繁殖
SBU文件可以在必要的情况下未经发证人许可进行复制,以开展CDC的官方活动。副本应以与原件相同的方式受到保护。如果复印机出现故障,应清除复印机,并检查包含敏感信息的所有纸张路径。
K. SBU转移要求
1.传达敏感信息
敏感信息可通过以下方式传达:
从人到彼此直接接触的人;在陆路电话上;通过头等舱,优先级或过夜邮件;通过传真机;通过在CDC网络中完全驻留的CDC电子邮件地址通过电子邮件([...] @ cdc.gov.);通过电子邮件发送和/或从CDC网络外的电子邮件地址发送,前提是敏感数据经过加密和身份验证。
2.通过电话或视频会议讨论敏感信息
尽管可以在固定电话上讨论敏感信息,但不应在蜂窝电话上讨论敏感信息。除非在受限制网络上持有此类会议,否则不应通过开放网络通信通道传输敏感信息,包括在线视频会议。
3.邮寄敏感资料
应以通知那些对敏感度的需求的方式通知那些敏感信息的方式进行敏感信息的传输,同时不会向公众宣传事实。使用可靠的运输方式也很重要。这些考虑因素有助于避免未经授权的披露或传播敏感信息。
4.内部邮件
在通过CDC内部邮件传输敏感信息之前,信息应具有适当的标记和封面,并应放在SBU信封中。
5。外部邮件
CDC外部附近发送的敏感信息应通过第一类邮件,优先级或过夜邮件传输。外包装不应以揭示信封或包装的内容或包裹的方式标记为未经授权的人员。
6.传真敏感但未入住的信息
在传真敏感信息之前,发送方应确认将有授权人员在接收端接受传送,或发送方应核实接收设施已受到足够的保护,以防止未经授权的人获取传送的材料。
7.电子传输
如果从CDC网络发送到不安全(非CDC)网络,则应加密和认证敏感信息。永远不会通过无线技术传达敏感信息,例如蜂窝或无绳电话或无线数据设备(例如,黑莓�设备)。
L. SBU处置和销毁要求和方法
敏感信息应通过粉碎或燃烧销毁;包含敏感信息的纸张不应回收。
删除,擦除或格式化不会充分从电子存储格式中删除敏感信息。相反,应该使用硬盘驱动器擦拭程序的多次通过(最小10倍)来删除文件。电子或可拆卸介质应在处理前通过粉碎,消磁,熔化或其他此类方法进行物理损坏。
M.执法
违反本政策可能导致惩罚行政行动,包括终止雇用,解雇或卸货委托军团。可以寻求进一步的民事和刑事起诉在下面编纂的一个或多个法律美国联邦法规.
N.实施
在本政策中确定的标记要求适用于此策略实施之日起生成的文件。但是,所有物品,无论它们在制作时,都须遵守本政策的剩余条款,在此政策实施之日实施。
VII。参考
一个。CDC信息政策自由。2002年3月19日。
B。CDC记录控制计划.1998年5月15日。
C。1987年计算机安全法案,公共法律100-235(H.R.145)。1988年1月8日。
D.执行订单12958,国家安全信息。1995年4月17日。
E.出口管理条例.2006年1月27日。
F。2002年联邦信息安全管理法.2002年12月。
G。信息自由法.1996年9月18日。
H。武器条例中的国际交通.1992年4月1日。
我。国家标准与技术研究所:计算机安全.2003年7月。
J。NSDD-189,关于转让科学,技术和工程信息的国家政策。1985年9月21日。
K.美国联邦法规(1996年至今).2006年2月1日。
8额外的资源
一个。武器出口管制法案.1994.
B。CDC-IR-2002-06,信息资源保护.CDC,2002年4月。
C。CDC-IR-2002-03,分类材料.CDC,2002年4月。
D.CDC-IS-2005-03,使用CDC信息技术资源.疾病预防控制中心,2005年8月。
E.CDC-AM-2004-02,采购完整性限制.CDC,2004年2月。
F。CDC-GA-2005-06,间隙的在CDC外分发供公众使用的信息产品。CDC,2005年7月。
G。疾病预防控制中心- ga - 2000 - 01,隐私法.CDC,2000年11月。
H。CDC-GA-2002-02《信息自由法案》.疾病预防控制中心,2002年3月。
我。《生物、化学及相关技术数据和设备出口管制》.疾病预防控制中心,1998年6月。
J。CDC-GA-2000-02,联邦咨询委员会会议纪要.CDC,2000年12月。
K.CDC-GA-2005-14,CDC / ATSDR释放和共享数据.CDC,2005年9月。
