主席先生和委员会成员:
感谢您给我机会就国务院安全项目向委员会作证,因为这些项目涉及敏感情报和国家安全信息的保护。
自1998年8月爆炸议事馆在内罗毕和达累斯萨拉姆州,督察将军(OIG)监督保护人民,信息和外交设施的监督已成为更为关键的使命。我在OIG创建了多学科团队,以评估许多实体安全倡议的实施以及紧急安全拨款的15亿美元的支出。截至2000财年结束时,自爆炸以来,OIG将评估68个大使馆的物理安全和紧急准备。此外,我们现在在莫斯科新安全校长设施的6年系列评论中完成了决赛,我们正在监督在中国大使馆建设附件的进展情况。
该部门实施了勤奋有效的战略,以提高海外任务的物理安全,今天美国任务明显比18个月以前更安全。我们的大使馆通常会有很好的工作保护分类信息,包括我们的分类计算机系统。
在国家总部设施部(主要国家)在华盛顿特区最近的安全漏洞清楚地表明,必须注意在保护由OIG去年确定的国内方面的重要信息给予地址的漏洞。
国务卿于4月24日决定将保护敏感情报相关材料的权力从情报和研究局(INR)移交给外交安全局(DS),这一决定实施了我们建议的至关重要的纠正行动,以确保对我们最敏感的情报相关的适当保障information.
在我今天的声明中,我将讨论导致国务院安全环境松懈的具体缺陷,以及OIG在我们的安全监督审查过程中发现的缺陷。在一九九七至一九九九年提出的保安建议中,本署已落实约77%。
综上所述,OIG发现:
虽然该部已开始处理这些具体的人身和程序安全问题,但真正需要的是该部所有人员不断保持警惕,不断承诺保持和执行最高水平的安全意识和遵守规定。
背景
国家OIG是督察中唯一的将军,除了所有的审计,检查,调查和对传统IG功能,我们也有一个多学科的办公室里只关注安全和情报监督。这给了我,我需要锻炼所有美国政府人员的安全监督海外(除了那些在我们的地区军事指挥官)我的特殊责任的工具。在执行这一功能,OIG已经通过我们与中心的安全评估合作伙伴享受以上从中央情报局局长的大力支持十年。
如您所知,遵循几个令人不安的事件,最重要的是,1998年2月的事件发生在秘书套件的办公室中的个人删除了秘书套件的敏感文件,所以我的办公室由参议院选择智力选择“......”审查国务院总部的处理课程政策和程序,并在1999年9月发布的任何需要改进时向适当的国会提交给予适当的国会委员会的报告。“我们的报告有权保护国务院总部的机密文件(SIO/A-99-46)。
我们在那次审查中提出的大多数建议尚未得到充分实施,但部长最近决定将情报相关材料的敏感保护权力从情报研究所移交给情报部门,这一决定提出了一个关键建议。此外,新闻部还告诉我们,它已开始计划执行调查团余下的大部分建议。
我现在将讨论调查小组在下列领域发现的不足之处,并提出该部对我们建议的回应:
该部门处理,流程,并每天在海外员额和主要州总部设施中储存数千名分类文件。讨论讨论分类信息的无数会议。收集,分析和分发敏感情报信息是培训大学委员会的核心,以实现美国外交政策。无论提供信息的方式如何传播,必须披露这些信息的披露限于授权人员,该人员具有需要了解和适当的安全许可,他已经充分介绍了保护此类信息的政策和程序要求。
访客访问
1998年8月,当我们开始审查国务院保护州总部机密文件的政策和程序的有效性时,该部门的政策允许访客在无人陪同的情况下四处走动,只要他们向一个周边入口的警卫证明他们在大楼内有合法业务。这些访客甚至在前往处理、处理和讨论机密信息的区域时也无人陪同。这些来访者中有相当一部分是外国政府官员。联检组的结论是,这种出入造成了不必要的安全风险,需要对所有访客的行动进行更大的控制。
国务院于1999年8月制定了一项新的访客陪同政策,要求所有没有有效美国政府身份证的访客在主州总部设施内必须一直陪同。这是很好的第一步,我们将在稍后的日期报告政策的实现和遵守情况。
火炭部队及承办商
为了响应OIG的建议,该部在十二月发出通知,1999年提醒上司,所有未清除的清洗和维修人员必须在分类工作区域工作时,被护送。该部已开始审查分配给该部门,以确定哪些承包商需要清除的员工和承包商是否都符合这些要求的所有承包商。我们相信,该部正在认真努力,以消除此漏洞。
媒体访问
虽然调查团支持新的护送政策,但一个持续的关切是,媒体成员(外国和美国)会得到永久的建筑徽章。这些身份证经过编码,便于媒体人员进入主州外围入口的读卡器。新闻部长期以来的政策是允许持有身份证的新闻工作者24小时出入,包括周末和节假日。调查团仍然感到关切的是,向新闻工作者提供的身份徽章使徽章持有者有机会未经授权进入州总部设施的其他地区。
秘书套房的办公室
在1998年2月“穿粗花呢夹克的男人”事件之前,就连国务卿套房也遭受了许多同样的访问控制缺陷。在1998年之前,大约有2万名员工和承包商、其他机构的员工以及他们的客人都可以进入该套房,这些人都拥有可以进入的身份徽章。在审计期间,OIG观察到两扇为更严格限制进出而设计的门通常是开着的。当时安装的读卡器不可靠,无法跟踪谁进入或离开套房,警报系统也不完善,在测试时也不总是工作。维护、维修和清洁人员没有被护送,也没有专业的安全人员被分配到秘书套房。
在部门的信用,在“Tweed夹克”事件中的“人类”发生了相当大的改进。可以在秘书长和整个建筑物中安装可以跟踪访问的新读卡器系统。无限制地访问套件仅限于经常在秘书长套件中工作的个人,现在有一个24小时的警卫岗位。据报道,维护,维修和清洁员工始终陪同,DS分配了一名专业安全官员,以监督在秘书办公室的安全要求的执行。
控制机密信息
INR收到的敏感分隔信息(SCI)——高度机密的情报相关信息——需要比“秘密”或“绝密”级别的文件更严格的保护。对于SCI设施,中央情报总监指令(DCID) 1/21要求徽章系统来验证身份和验证人员的访问许可。该部正在处理这一要求。
SCI设施(scif)必须通过目视控制或个人身份认证加以保护。身份验证可以通过将个人识别号码与编码徽章结合使用或通过个人身份验证来实现,这种身份验证被称为生物识别,通过一些独特的特征来识别个人,比如手的几何形状、指纹和“声音指纹”。除非该区域在工作时间处于监控之下。我们建议,并且部门同意,生物识别设备应该安装在SCI设施和其他敏感办公室。DS已经同意使用生物识别设备,但由于技术上的困难,系统的安装一直被推迟。在此期间,部门会安装一套使用个人识别号码的更先进的出入系统。
与其他机密文件相比,dcid需要更严格的物理和程序安全措施来保护SCI。OIG发现该部门没有遵守DCID的要求。SCI材料经常被引入到那些没有被认可处理或讨论SCI的办公室,文件也不总是被正确地存储或解释。INR没有遵守140个保留SCI的部门办公室的例行检查要求。虽然没有具体要求,但没有一个办事处收到了技术监视反措施检查,以确定是否在任何办事处植入了窃听装置。
INR于2000年3月通知我们,它正在访问每个办公室,其中SCI被处理或讨论,并且每个安全工作区域的物理和程序改进将被确定在“加速”的基础上确定。我们回答说,当部门时,OIG将关闭这些建议:
为了解决文件控制方面的缺陷,INR建议我们,将从情报界派一名专家到该部建立一个健全的文件控制程序。国务卿最近在她2000年2月3日向国会提交的报告中表示,将为此目的增加工作人员和资金。我们将保持警惕,监测在未来几个月取得的进展,并确定是否已建立脊髓损伤的阳性控制。
信息安全
美国国务院在机密和非机密通信以及存储和处理数据方面严重依赖自动化信息系统,而这些数据对支持该机构的使命至关重要。这些系统中使用的数据通常是机密的或敏感的,对于希望了解或破坏部门运作或寻求金钱利益的组织和个人来说,这些数据是一个有吸引力的机会目标。例如,大约3万名国务院雇员的个人信息可能对外国政府寻求建立选定雇员的个性档案有用。此外,未经授权修改领事瞭望系统的数据可能会使危险人士进入美国。
自成立以来,在OIG对双方的信息管理和信息安全做了大量工作。认识到安全问题,在信息技术领域发挥关键作用,OIG已重新调整其资源集中于新兴的信息技术问金博宝正规网址题。我的办公室在审计办公室已经巩固了其信息技术和其长期的信息安全工作,创造一个单一的信息资源和安全管理司(IRSM)。该IRSM司将解决五个方面的兴趣国会新出现的问题:信息管理,电信,信息安全,信息金博宝正规网址技术人力资源,信息战。战略目标是确保:
在过去的几年里,OIG对部门的机密和非机密计算机系统进行审计,发现了许多漏洞,我们已经与部门合作进行了纠正。在采取的一系列行动中,部门已赋予首席信息官责任和全权,以确保该机构的信息安全政策、程序和实践是充分的。
去年十一月,OIG发布了提出了关于外国服务国家的员工对我们的敏感但非保密网络和我们的电话交换机广泛的准入问题上的越洋电话系统安全管理的审计报告。
此外,作为OIG审计部门财务报表的一部分,我们评估了巴黎会计和支付系统的安全控制。我们发现巴黎金融服务中心的四个主服务器极易被未经授权的内部系统用户入侵。此外,我们发现,由于密码管理程序薄弱,巴黎会计和支付系统的密码很容易被窃取。作为回应,部门已升级所有的服务器和客户端在巴黎金融服务中心密码更安全的配置和安装了过滤器需要密码至少8个字符长,包含字母、数字和非字母数字的特殊字符。
OIG目前正在审查部门的关键基础设施保护计划,以确定其满足PDD- 63要求的程度。作为我们评估的一部分,我们正在评估影响该部国内外的信息保障和关键基础设施保护问题,以及影响东道国和政府的问题。金博宝正规网址此外,我们计划确定该部门是否充分平衡了机构范围内的安全风险——国内外——与关键基础设施需求的估计成本。我们计划在2000年6月底之前完成对部门关键基础设施计划的审查。OIG将利用我们的关键基础设施审查的结果作为我们履行监督和报告责任的基础,这些责任被纳入1993年《政府信息安全法案》的拟议立法中。
人力资源和安全管理
最近的举措鼓励我们加强物理访问和文件控制。然而,有两个领域的安全管理领域继续关注我们:人事安全和单位安全官员。
人员的安全
在我们1998年对SCI访问管理的回顾中,我们发现INR并没有有效地履行其确保SCI保护的职责。具体来说,我们发现INR没有遵守DCID的要求,即只有有必要了解的个人才能访问SCI材料,并且在做出决定时必须考虑背景调查的结果。
此外,该部门缺乏正式的、文件化的政策和程序来授予和终止SCI访问。INR没有一个可靠的跟踪系统来确定个人什么时候需要知道的信息已经停止,从而可以终止SCI访问。例如,一个死亡超过两年的人仍然被列为SCI访问。INR依赖于对国务院杂志而不是正式的人事记录,以确定员工调动,辞职或死亡。总干事已经同意协助INR与建立一个程序,通知相关人员的转移或终止的INR,但该方法尚未建立。
DS进行请求SCI访问的人员的调查,并向INR建议授予或拒绝访问。在100个INR安全性案例文件的随机样本中,我们发现60不包含DS推荐。我们认为,在最终确定是否授予访问权限时应审议DS评估。
我们的审计报告是在1998年9月发行,并建议更正指出INR不足。迄今为止,我们还没有收到来自INR正式回应。
单位保安人员
机密文件的控制问题不仅限于INR。许多部门没有遵守保护机密信息的安全规定。
该部要求在每个局和厅指定一名股保安干事。uso负责维护一个积极的计划,通知员工他们遵守安全法规的责任。我们发现,USO的责任没有得到履行,因为许多USO没有充分了解自己的安全责任,他们认为自己没有权力执行安全程序。USO的职能一般是次要责任,监督人员没有强调USO的安全责任。
普遍服务义务通常没有1)机构的安全程序,如正式盘后检查系统,2)执行办公室进行安全审查,或3)短暂的员工定期的安全法规。在检查的23个办事处的21,有没有保证,下班后进行检查,或进行妥善保存该机密文件。23个普遍服务义务采访时,17没有执行办公室进行安全审查,只有23的5个办事处护送未清除的清洁人员,以及有关安全只有23的11定期听取员工。我们建议该部提高安全性的情况介绍和相关培训给予员工的频率,并确保普遍服务义务定期接受培训。
我们进一步建议该部采用国务卿套房使用的模式,即指派一名全职、专业的保安人员监督和执行安全要求,并向总部各局指派保安人员,以扩大uso的职能,担任安全顾问。监督办公室内部安全程序。
作为回应,DS发布了新的安全指令。目前正在拟订一个正式的索联组织培训课程,定于2000年实施。国防部还与各局执行主任和人事官员合作,要求USO
评估报告包括他们的USReportsReportsO职责。OIG将核实这些措施何时到位。
该部已接受了我们的建议,并正在审查指定的信息安全专家在每局作为主要USO服务的可行性。然而,DS还没有收到额外的位置,以符合有关程序的责任这个约定。
保安事故、纪律处分及调查转介
调查团发现,新闻部对妥善处理机密材料的认识和关切低得令人无法接受,部分原因是为防止不适当处理机密材料而采取的认识培训和行政行动没有效果。
保安事故及纪律处分
该部门有一个安全事故计划,旨在识别不恰当的安全程序,并教育员工如何正确保护机密信息。事件被定义为违反或违反,这是未能保护机密材料。当信息保护失败可能导致实际或可能的资料泄露时,即为违规;当信息没有得到适当的保护,但没有导致实际的或可能的材料的损害时,就会发生违规。1998年,该部门记录了4项违规行为和1673项违规行为。
本署的合约警卫在正常工作时间以外进行巡查。这种检查相当草率,但每天都有几起不恰当的安全事件被报道。作为训练的一部分,海警到访本署时,他们的视察要严格得多。1998年,美国海军陆战队在美因州进行的8次检查中,每一次平均有63次违规。这些事件通常涉及打开的保险柜和未加密的文件。
我们还发现,当INR分发SCI材料时,经常会出现SCI处理不当的情况,但安全事件报告通常不会发布。ReportsReports相反,INR将试图检索丢失的文档。在我们看来,当SCI材料在营业结束时没有被退回到已批准的SCI设施时,事故报告应定期提交给DS进行调查。我们建议INR实施程序,确保SCI文档每晚都被归还给scif。
该部门的安全事件计划尚未有效,因为安全意识和行政和纪律处分尚未充足。重复罪犯获得逐步纪律水平。重复犯罪者收到警告信,根据情况的重力,他们可以继续保留其安全许可以获取分类信息并保留他们的SCI访问权限。我们建议该部门增加了安全简报频率和相关培训,该部门已开始这样做。我们还建议该部门加强与安全事件有关的纪律处分。总干事和DS正在研究实施此建议的选项。
调查推荐
经修订的1978年《监察长法案》(Inspector General Act)和1980年《外交服务法案》(Foreign Service Act)赋予监察长调查国务院项目和运作中的欺诈、浪费和滥用的广泛授权。OIG调查办公室(Office of Investigations)负责审查司法部项目和运作中涉及犯罪活动和员工不当行为的指控。这可能涉及与司法部有业务往来的雇员、承包商或其他个人的不当行为。我们的管辖范围包括违反刑法的行为,如签证和护照欺诈、利益冲突和虚假索赔,以及合同和采购欺诈和违反员工行为标准的行为,如滥用职权。IG法要求司法部在调查过程中向IG提供信息和协助。《外交事务手册》要求国务院雇员向OIG报告国务院项目和运作中涉及欺诈、浪费、滥用和管理不善的任何信息。反过来,根据IG法案,只要我们有合理的理由认为存在违反联邦刑法的行为,我的办公室就必须迅速向司法部报告。
OIG调查过程
我们收到了广泛的来源,包括其他执法机构,部门经理,员工和公众的指控。每一项指控进行及时和仔细审查。如果提供给我们的信息是足够具体的,我们可以在收到的指控立即展开调查。如果提供的信息过于模糊,我们在试图开发出更多的信息或澄清已经提供的信息打开一个初步调查。初步调查后,我们要么展开调查,并指定一名调查或者,如果没有信息证实的指控,我们将关闭初步询价,并采取进一步的调查行动。如果情况需要,我们可以将此事提交至部的信息或适当的行政措施。
1990年《情报授权法案》(P.L. 101-193)第603节要求,美国驻外外交使团雇用或派遣人员违反美国间谍法的信息应立即向联邦调查局报告。同样,1995年《情报授权法案》(P.L. 103-359)第811节要求我们向联邦调查局报告机密信息正在或可能以未经授权的方式泄露给外国势力的信息。因此,在这些情况下,我们将把此事提交给联邦调查局,并在调查过程中提供适当的协助。OIG一直在积极参与有限数量的反情报调查。
如果有其他类型的机密信息处理不当的指控,我们会将此事提交给DS进行调查,并对信息处理不当造成的损害进行评估。然而,如果指控涉及员工不当行为的各个方面,我们会与DS协调,处理案件的各个方面。一旦调查开始,探员将开始收集证据,并与司法部检察官协调,以发展案件。
我们根据联邦执法机构建立的调查程序进行调查。这包括审查有关档案和文件,以及与投诉人、证人、技术专家和调查对象的面谈和书面陈述。调查人员使用各种执法手段,如发出监察长传票引出tecum、自愿监控对话、进行监视和执行搜查令。
调查的行政阶段
在进行刑事调查时,本署可能会立即采取一些行政措施,以确保本署行动的操守。例如,它可能会让调查对象行政休假,暂停个人的安全许可或建筑通行证,或在调查完成之前暂时将个人安排到不敏感的职位。如果一项刑事调查被拒绝起诉,它通常会被提交给司法部,接受行政或纪律处分,范围从训诫或谴责到暂停或免职。
***********
结论
总而言之,主席先生,我对该部管理部门为纠正我们在工作中注意到的主要州的物质和程序安全缺陷所采取的行动感到鼓舞。然而,同样重要(如果不是更重要的话)的是,该部所有人员都要保持警惕,并不断承诺保持和执行最高水平的安全意识和遵守规定。
我准备好的声明到此结束,我很高兴回答你们可能对我的声明提出的任何问题。