美国农业部
华盛顿,D.C. 20250

部门监管 数字:3440-002
主题:
控制及保护“敏感保安资料”		 日期:2003年1月30日
OPI:
采购和财产管理厅人事和文件保安司

目录

1

2

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

附录A.

目的

特别说明

政策

参考

背景

定义

缩写

职责

信息自由法案

识别和标记

保管和储存

传播和传播

记录处理

SSI保护的持续时间

承包商人员

保护信息技术(IT)资产

其他部门的资料

2001年10月12日的备忘录备忘录

  1. 目的
    该法规为美国农业部(USDA)确定非机密但敏感信息并防止其未经授权使用或泄露确立了程序。该法规包括最低保护要求,包括将非机密但敏感的信息识别为“敏感安全信息”,并建议在信息的敏感性需要时应用额外的安全措施。

  2. 特别说明
    本规定适用于美国农业部的所有组织要素。

  3. 政策
    美国农业部的政策是在控制中保障未分类但敏感的安全信息。USDA将扣除不适合与法律,法规和法院决定一致的公开披露的发布敏感信息。

    值得注意的是,根据总统67 FR 61465(2002年9月26日)的命令,农业部长最初被授权将信息归类为“机密”。因此,如果美国农业部发出了它认为应该分类的文件,部门管理(DA)应该尽快通知。

    信息不得被指定为敏感安全信息(SSI),以掩盖违法行为;效率低下;管理错误;防止对个人、组织、部门或机构造成尴尬;或限制竞争。

  4. 参考
    1987年计算机安全法案,P.L. No. 1000-235, 101 Stat. 1724 (1988)
    管理和预算办公室通告A-130,联邦信息资源管理,附录三,联邦自动化信息资源的安全
    《信息自由法》,5 USC€552 (2000)
    第12958号行政命令,国家安全机密信息,1995年4月12日
    美国司法部长就《信息自由法》给所有联邦部门和机构负责人的备忘录(2001年10月12日)
    DM 3440-001分类、解密和保护机密信息,
    DR 3440-001分类、解密和保护机密信息。
    DR 3450-002《信息自由法实施条例》。
    3040-001电子记录管理计划。
    3060-1 USDA通信管理规范,第17条,限制信息处理。
    3080-1博士记录性格。

  5. 背景
    需要制定所有组织要素的正式指导,概述概述识别,保障,使用和维护被视为敏感的信息的处置,如敏感的安全信息,例如与国土安全的威胁,漏洞和风险有关的信息。美国农业部设施的物理安全。

  6. 定义

    1. 关键基础设施意味着基于物理和网络的系统,资产(包括无论是纸上的信息,电子方式或使用其他方式),以及美国政府或经济的服务或其经济,包括但不是仅限于,系统,设施和库存所需的必要产品和服务,如电信(包括语音和数据传输和互联网),电力,天然气和储油,运输,银行和银行和金融,公共卫生(包括生物,化学,放射性和其他危险材料),供水,废水,应急服务(包括医疗,火灾和警察服务)以及政府运营的连续性;
    2. 敏感的安全信息意味着非保密信息的敏感性,可以预期,如果公开披露产生有害影响联邦的安全操作或资产,公共健康或安全的美国公民或居民,或国家的长期经济繁荣;描述、讨论或反映:
      1. 美国关键基础设施的任何要素抵御物理或基于计算机的攻击或其他违反联邦、州或地方法律的类似行为的入侵、干扰、妥协、盗窃或丧失能力的能力;损害了美国的州际和国际贸易;威胁公众健康和安全的;
      2. 任何当前可行的评估,投影或估算美国关键基础设施的任何要素的安全漏洞,特别包括但不限于漏洞评估,安全测试,风险评估,风险管理计划或风险审计;
      3. 美国任何关键基础设施的安全问题或解决方案,具体包括但不限于任何设施的维修、恢复、重新设计、重建、搬迁、保险和运营的连续性;
      4. 提供以下类别以用于说明目的,仅用作为信息类型(无论格式如何)的示例,可以被分类为SSI:
        1. 美国农业部实验室、研究中心、现场设施等的物理安全状况,可能也包含漏洞;
        2. 有关上述美国农业部设施的物理安全信息的调查和分析材料;
        3. 可能导致个人身体风险的信息;
        4. 可能导致严重损害关键设施和/或基础设施的信息;
        5. 网络安全信息,包括但不限于
          1. 网络图纸或平面图
          2. 程序和系统安全计划
          3. 关键和敏感信息技术(IT)系统和应用
          4. 资本计划和投资控制数据(I-TIPS)
          5. IT配置管理数据和库
          6. 它限制空间(图纸,计划和设备规格以及实际空间)
          7. 事件和漏洞报告ReportsReports
          8. 风险评估报告,清单,可信设施手册ReportsReports和安全用户指南
          9. 网络安全政策指导和手动章节
    3. 需要知道的意味着由SSI的授权持有人进行的确定,前瞻性收件人需要访问该SSI,以便在合法和授权的政府职能中履行或协助。

  7. 缩写
    DA��部门管理
    Foia�� - 信息自由行为
    这��信息技术
    OCIO——首席信息官办公室
    总法律顾问办公室
    oigć-办公室的检查员将军
    Pa�� - 隐私法案
    SSI��敏感的安全信息

  8. 职责
    1. 根据和助理秘书,机构管理人员,区域董事,办公董事和外地机构负责人称为部门组织,将负责识别和指定认证保护SSI的信息。
    2. 部门组织负责人将:
      1. 指定源自组织或准备使用其组织的类别或信息类型,并指定为SSI。如果部门组织头在提供的定义下确定信息不再有资格,则可以从FOIA请求中请求的信息中删除SSI标签。如果信息的敏感性需要保护超过根据该订单建立的最低水平,则部门组织负责人应确保所有办事处提供信息监护,并遵守此类标准。所有源自SSI的部门组织都有责任遵守审查,符合3080-01博士,记录性格。
      2. 确定有权确定在监督或认知下的哪些信息的下属官员需要保护免受未经授权的披露。如此指定的官员负责确保其方向下的人员意识到被认为是SSI的信息。
    3. 机构和员工办公室将:
      1. 如果需要,会发出指令,建立用于在其组织内识别SSI责任的标准。所有指令都将在最终确定和批准之前先前批准。
      2. 确保实施足够的安全措施和程序来保护SSI。
      3. 确保其组织的员工意识到他们保护SSI的责任。
      4. 进行风险分析和决心,以确定潜在威胁和适当的漏洞在监护权中对SSI进行潜在威胁和适当的漏洞。
      5. 确定损失,滥用或未授权访问或修改SSI的潜在危害。
      6. 确定适当的信息并将其指定为SSI。
      7. 确保对负责未经授权披露SSI的人员采取迅速和适当的纪律处分。
    4. 部门的政府将:
      监控并确保遵守此博士,并提供有关SSI的识别和保护的指导。
    5. 首席信息官办公室将:
      1. 建立记录管理处理政策和程序,确保指定为SSI的记录按照USDA和Agency记录控制时间表进行维护和处理。
      2. 与DA的合作伙伴以确保明智的使用是在联系人,安全意识培训和紧急程序的安全点。
      3. 建立美国农业部的IT系统保护政策和标准。系统保护功能包括加密,网络安全产品,计算系统的可靠性和安全性和物理障碍。OCIO将进行合规审查,以确保遵循政策和标准。
      4. 在严重中断后,建立重建和恢复关键信息技术基础设施的战略和程序。OCIO将建立恢复服务的方案,包括风险管理和后果管理分析研究和工具,系统生存能力技术,备用和恢复能力,以及冷/热点策略和要求。
    6. 总法律顾问的办公室会:
      在响应任何初始FOIA请求,隐私法(PA)请求或涉及SSI的任何其他记录请求之前提供并发。机构和员工办事处应继续遵守7 C.F.R.1.14在拒绝FOIA或PA上诉时获得OGC同意,但也应在任何行政上诉的情况下获得OGC并发,无论是涉及SSI的记录,是否批准或拒绝。

  9. 信息自由法令请求
    FOIA申请访问SSI的请求应按照第8章第8F条并根据USDA规定和2001年10月12日的司法备忘录,审议所有适用的FOIA豁免,包括以下一项或多项:
    1. 可能适用于SSI的《信息自由法》豁免:
      1. 对于与美国农业部业务或资产有关的SSI,应考虑《信息自由法豁免2》;
      2. 对于目前由自愿提交给美国农业部的私营部门或行业信息组成的通常受提交人保护的SSI,应考虑《信息自由法》豁免4;
      3. 对于任何被联邦法规禁止披露的SSI,应考虑《信息自由法豁免3》;和
      4. 对于任何由为执法目的而编制的信息组成的SSI,应考虑《信息自由法》豁免7。

  10. 识别和标记
    USDA材料包含USDA组织的负责人确定的信息,要求防止未经授权的披露保护,必须以显眼的方式标记以下通知:“敏感的安全信息 - 仅适用于时才播放。”SSI的识别将通过:
    1. 标记在前盖的底部的SSI通知(如果存在一个),标题页(如果一个是存在),第一页和后盖的外部(如果存在);
    2. 在包含SSI的文件的每一页的顶部和底部标记SSI通知;
    3. 含有“SSI”的段落开头的个别部分标记,应当使用缩写“SSI”;
    4. 在封面备忘录中表示
    5. 没有附加的分类信息但是确实具有SSI附件的传输文档应具有声明“敏感的安全信息附件 - 仅需要依次传播”;
    6. 包含SSI的电子传输的消息或数据应在文本开头之前“敏感的安全信息 - 仅仅需要了解”;
    7. 包含在一个组织指令中识别为SSI的类别,并已知所有处理信息的人员;
    8. USDA外部分布的所有文档应在所有页面上进行标记:
      “本文件包含可能免于FOIA下强制披露的信息。豁免______申请。”,和
    9. 任何经DA授权的其他方法。

    识别SSI的目的是确保材料的所有接收者都知道信息需要保护,并应仅在需要时传播。选择的识别方法应该对组织的操作效率产生最小的影响。


  11. 保管和储存
    1. 被指定为SSI的材料监护的员工应当谨慎行使,以确保信息不适用于该信息。在最低限度的情况下,不能证明“需要的”的个人必须无法进入未经审查或未观察的区域,并可以视觉访问SSI。
    2. 在非占用时间期间,应在锁定的桌面或文件柜中的最低限度保护SSI,或使用能够提供足够保护的物理访问控制措施的设施或区域存储,以防止未经授权的访问。一些SSI材料的灵敏度可能需要更高水平的保护,例如具有组合锁的安全性。
    3. 由IT设施存储和处理的SSI有足够的物理,行政和技术保障。

  12. 传播和传播
    1. 作为SSI所识别的信息已被识别,并以SSI向未经授权的个人保障,以便在物理上标记。免于披露的保障包括对口头披露的预防措施,防止可视访问信息和防止材料的预防措施到未经授权的人员。
    2. 离开原发机构控制的SSI必须在一个棕色信封或适当密封和地址的包装中发送。
    3. SSI可以通过任何形式的商业运输或美国邮政服务方法传输。
    4. SSI可以在电话上讨论;然而,电话窃听的便捷性决定了在存在窃听威胁的情况下应酌情处理。在后一种情况下,应该考虑使用语音隐私设备或安全电话。
    5. 不应通过不安全的寻呼机、无线设备或电话设备来传输或讨论SSI。这些设备本身并不安全,在使用之前需要额外的加密功能。
    6. SSI可以通过未分类的传真机传输。然而,材料的灵敏度将确定需要更安全的通信传输(安全传真)。在后一种情况下,如果持有者没有意识到使用哪种方法,DA或OCIO将通过电话,传真或其提供适当的传输方法的指导。
    7. 互联网是不安全的,因此不应该用来传输SSI。保护和充分保护SSI免受非法或不当披露是至关重要的。OCIO将提供有关适当传播方法的指导。
    8. 在部门外分发的SSI应附有一封信,说明该材料将采用与接收机构制定的与SSI类似的规定措施相同的控制措施处理,至少满足我们的安全控制措施(敏感但不保密,仅限于官方使用,仅限于官方使用,等等)。如果没有接收机构在这一级别的内部安全程序,应提供附带有适当控制措施的文件的信函。

  13. 记录处理
    1. 在适当情况下,可将SSI撕成小块,与其他废物一起丢弃。高灵敏度的材料必须用撕碎法销毁。在确定适当的销毁方法时,材料的灵敏度将是一个不可分割的因素。微缩胶片和微缩胶片的小片段是可读的,因此,必须将其破坏成非常小的颗粒或条带。DA应就碎纸机和其他销毁方法的现行安全要求,向所有部门组织提供指导。
    2. 包含SSI数据的存储介质应在释放存储介质之前用非敏感数据覆盖。所有数据存储设备应通过批准的方法如消磁,覆盖(随机1和0的6-7次)或在处理之前完成的物理破坏来渲染。OCIO应为所有部门组织提供关于当前IT安全要求的所有部门组织,以适当销毁IT存储媒体。有关更多指导,请参阅DR 3040-01。
    3. 携带SSI指定的记录应根据批准的USDA或机构记录控制记录记录的主题内容的记录控制计划处理。如果被指定为SSI的记录需要更长或更短的保留期,则必须联系美国农业部或代理商记录管理人员以获得该纪录的新拨款。

  14. SSI保护的持续时间
    当不再符合本规定第6.B节中建立的标准时,信息不得保留为SSI。除非指定官员持续不超过10年,否则这些信息常将受到SSI不超过10年的保护,除非指定官员做出了新的决心,保护较长的时间。

  15. 承包商人员
    如果作为合同或赠款的一部分,SSI必须向非政府人员公布,美国农业部组织负责人应与DA一起确定信息的敏感性是否足以要求对处理敏感信息的承包商人员进行调查。采购文件必须包括承包商的背景信息要求和合同的其他安全要求。美国农业部各机构的安全联络点应确定所需调查的范围,范围从适用性确定到国家安全许可请求,并为合同制定强制性安全要求。在向采购办公室提交招标文件之前,应将合同的安全要求转交DA同意。

  16. 保护信息技术(IT)资产
    1. 安全性和加密或以其他方式保护SSI的需要与丢失,滥用或未授权访问或修改信息产生的风险和损害的风险和幅度相称。这包括确保原子能机构使用的系统和应用程序有效运行,并通过使用具有成本效益的管理,人员,运营和技术控制来提供适当的机密性,完整性和可用性。这种方法强调了基于风险的确定在SSI上的成本效益。
    2. 负责当局认为敏感的信息,或确定具有高值的信息,或代表高风险的信息,如果在传输或存储期间容易受到未经授权的泄露或未检测到的修改,则应采用加密方式进行保护。
    3. 由于保护关于非政府拥有的系统的敏感信息,因此禁止使用个人家庭计算机存储或传输SSI。将发出并配置政府所有设备,以维持适合计算机上所含信息的最高信息的强大安全保护。

  17. 其他部门的资料
    一些政府机构已经发布了保护敏感信息的规定,例如“仅供官方使用”或“敏感但不保密”。应根据本条例保护其他政府机构的敏感材料不被未经授权泄露,或根据提供敏感信息的机构的具体要求提供额外的保护。

附录A.

总检察长办公室

2001年10月12日

给所有联邦部门和机构首脑的备忘录

从:John Ashcroft,律师将军

主题:信息自由法案

如你所知,司法部和本届政府承诺完全遵守《信息自由法》(FOIA), 5 U.S.C. 552欧元(2000)。只有通过了解信息的公民,我们国家的领导人才能继续对被统治者负责,美国人民才能确信政府的欺诈和浪费不会被隐瞒。

司法部和本机关同样致力于保护我们社会持有的其他基本价值观。其中,在维护我们的国家安全,提高我们执法机构的有效性,保护敏感的商业信息,尤其是保留个人隐私。

我们的公民在一个完全正常和有效的政府中也有很强的兴趣。国会和法院已暂时认识到某些法律特权确保了坦诚和完整的机构审议,而不必担心他们将公开。其他特权确保律师的审议和沟通保密。没有领导人可以在没有机密建议和律师的情况下有效运作。Foia的豁免5,5 U.S.C.�552(b)(5),包含这些权限和它们的声音策略。

我鼓励贵机构在根据《信息自由法》作出信息披露决定时,仔细考虑对所有这些价值观和利益的保护。您的机构在披露受《信息自由法》保护的信息时,只有在充分和慎重考虑了披露信息可能涉及的机构、商业和个人隐私利益后,才能酌情作出任何决定。

在做出这些决定时,您应该在出现重要的FOIA问题以及我们对FOIA诉讼事项的公民部门以及对FOIA诉讼事项的公民部门进行司法部的信息和隐私部门。乐动冠军当您仔细考虑FOIA请求并决定在全部或部分地扣留记录时,您可以放心,除非他们缺乏合理的法律依据,否则司法部将捍卫您的决定,或者对其有害影响不利影响的危险风险其他机构保护其他重要记录。

该备忘录取代了1993年10月4日司法议员的司法部,同样可以在法律上创造无法执行的实质性或程序权。