中央情报局指令总监
类型:3编号:29
主题:控制访问计划监督委员会
类别:3-DCI咨询机构董事中央情报局DIRECTIVE 3/29的
受控访问计划监督委员会
(2生效1995年6月)
根据经修正的1947年《国家安全法》和12333号和12958号行政命令的规定,为协助中央情报局局长履行其在国家外国情报局控制访问计划中的职责,特设立控制访问计划监督委员会。
1.控制访问程序
本指令涵盖以下受控访问程序:1.1条。敏感分区信息(SCI)。1947年《国家安全法》和12333号和12958号行政命令授予中央情报局局长保护与情报来源、方法或分析过程有关或源自情报来源、方法或分析过程的机密信息的权力。本指令涵盖SCI控制系统内的所有程序。
1.2与情报活动有关的特殊访问程序。1947年的《国家安全法》和12958号行政命令授权DCI建立与情报活动(包括特别活动,但不包括军事行动、战略和战术计划)有关的特别访问计划。本指令涵盖所有此类程序。
1.3受限抵押品信息。本指令还涵盖SCI或特殊访问程序以外的程序,这些程序对机密情报信息或控制程序的访问实施控制,超出了通常为访问机密、机密或绝密信息而提供的程序,并且资金是专门确定的。本指令不包括对人员或组织来源的访问控制。
2。受控访问策略
2.1所有建议创建或维护控制访问程序,由受控的访问计划监督委员会(CAPOC)进行审查。控制访问程序应保持在绝对最低,只有建立和维护,以保护国家最敏感和关键的情报信息。决定建立控制访问程序应基于风险评估,综合考虑灵敏度,披露和剥削,以及信息价值的风险予以保护。
2.2。DCI或者DDCI应决定是否创建,修改或终止控制访问程序。创建或控制访问程序继续应只对特定的发现,即进行:
a、 特定信息的脆弱性或威胁是特殊的;以及
2.3控制访问程序应每年检讨。任何这样的程序不获准继续应decompartmented或终止。
b、 适用于同一级别分类信息的正常访问资格标准不足以保护信息免受未经授权的讨论;或
C。该程序是由法规要求。2.4只有DCI或DDCI可以创建,修改或终止控制访问程序。
3. CAPOC
3.1 CAPOC提供在DCI责任为国家外国情报计划(NFIP)中的访问控制方案和活动的有效执行支持DCI的机制。这些责任包括确保只需要保护敏感情报信息的控制访问程序的创建和延续;监测受控访问方案的执行;引导程序和性能审计和评价作为必要的;并确保有是与这些程序适当代表工作没有冲突或NFIP和其他政府计划内控制访问程序之间不必要的重复。
3.2 CAPOC应审查和验证控制访问程序。DCI或者DDCI可由CAPOC通过等价监督机制覆盖计划放弃审查,或审查时由CAPOC不需要进行DCI的职责。
3.3条。CAPOC应审查新受控访问程序的创建,并验证现有受控访问程序。审查应包括:
一个。的理由受控访问指定或续指定;
3.4 CAPOC的成员应包括:
湾受控访问程序是否重复任何其他程序;
C。任何其他程序是否会受益于控制访问程序或活动保护的信息;
遵守美国的法律,法规和有关政策和程序,获得适当的法律输入d验证;
e、 如果适用,程序的未确认或覆盖状态是否应继续;
f、 要求安全标准超过DCID或其他适用文件所含标准的授权;以及
G。由DCI和参与机构的负责人一致同意的其他事项。a、 DCI或DDCI;
3.5 DCI可邀请其他个人参与特定的CAPOC审查。
湾该DepSecDef如果控制访问程序由防卫厅管理;
c、 负责审查受控访问计划的机构负责人或副负责人(对于中央情报局,中央情报局执行主任应作为机构负责人出席);以及
d。执行主任智能社区事务。3.6 DCI应致电CAPOC的会议。会议纪要应采取包括DCI或DDCI,并将调查结果的2.2要求的决定,上面。
3.7 DCI或DDCI可以审查特殊灵敏度的受控访问程序时改变所述CAPOC的程序。
3.8如有必要,CAPOC将根据安全政策委员会关于受控访问计划的政策,批准与受控访问计划有关的政策、程序和安全标准。
4.控制的访问计划协调办公室(CAPCO)
4.1控制访问计划协调办公室(CAPCO)设在DCI办公室内。CAPCO董事由DCI任命。
4.2 CAPCO应开展以下活动:
一个。制定风险评估标准和审查和控制访问程序评估程序;
4.3在为CAPOC准备材料时,CAPCO应与正在审查受控访问计划的机构合作。
b、 就提交给CAPOC的文件向情报机构提供指导;
c、 与其他受控访问项目监督论坛协调,以满足CAPOC的审查要求;
d。坐标CAPOC议程和监测引导taskings;
即审查和评估机构的意见书,并于CAPOC提出建议;
f、 为CAPOC提供秘书处服务
G。维持NFIP所有控制访问程序的寄存器。4.4 CAPCO应协调与安全策略安全政策委员会和国防部的特殊访问计划监督委员会。
5.智能社区机构的职责
情报部门机构的负责人与本款指令所涉及控制访问程序:a、 根据上述第2节中的标准,建议创建、修改或终止受控访问程序;
湾进行每个程序,包括隔室和它们的子隔离的年度综述,并记录评价。至少,在审查应包括在3.3以上部分中提及的项目;
C。每个控制访问程序,确保安全管理谁负责安全的程序,其中包括创纪录的维护管理的任命;
d。确保涉及行业任何控制访问程序,承包商的设施内适当官员,包括设施安全办公室和其他有关公司官员,是大自然和程序的机构的参与程度的认识;
e、 确保向认可的安全办公室适当报告:1)有权进入项目的人员的不利信息;2)向机构监察长报告涉嫌浪费、欺诈和滥用的事件;
F。指定接触到CAPOC的正式点;和
G。对于多个控制访问程序机构,指定一个中央局在本节进行协调的活动。该中心办公室应接触到CAPOC的官方观点。