在过去的几年里，世界发生了巨大的变化，对我们的社会、我们的政府、国防和情报部门产生了深远的影响。我们对影响国家安全的一系列问题的理解正在发生变化。金博宝正规网址经济和环境问题日益受到关注，并与传统的政治和军事问题争金博宝正规网址夺资源和注意力。从用于制造核武器的技术到连接我们电脑的技术，都在激增。必须评估这些技术的影响和影响。人们普遍认识到，必须改变冷战期间制定的安全政策、做法和程序。即使冷战没有结束，我们的安全体系显然已经达到了无法接受的低效率、不公平和成本水平。我国必须发展一种新的安全体系，以应付我们在本世纪最后几年和下个世纪头几年所面临的新挑战。

考虑到这些当务之急，联合安全委员会将注意力集中在国防部和情报界用于制定和实施安全政策的流程上。在审查安全的所有方面时，委员会以四项原则为指导:

o我们的安全政策和服务必须切合我们所面临的威胁。我们用来制定策略和交付服务的流程必须足够灵活，以便在威胁演变时进行更改。

o我们的保安政策和做法必须更加连贯一致，从而减少效率低下的情况，使我们能够有效地分配稀缺资源。

o我们的安全标准和程序必须导致公平公正地对待那些我们赖以保卫国家安全的人。

o我们的安全政策、做法和程序必须以国家能够承受的代价提供必要的安全。

本报告详细介绍了委员会的建议，主要分为三类:

(1)通过避免重复和提高效率，以较低成本维持并有望增强安全性的建议;

(2)降低当前安全水平但符合基于不断变化的威胁的风险管理原则的建议;和

(3)建议创建新的流程，以制定和监督政府范围内的安全政策。

在极少数情况下- -最明显的是关于人员安全和信息系统安全- -委员会建议增加安全要求，这将增加费用。委员会的建议还包括税收中立的改变，但将使安全系统更合理和本质上更公平。虽然委员会正在建议某些具体的改变，但委员会的主要关切是创建新的和灵活的程序，随着政治、经济和军事现实的演变，调整安全政策、做法和程序，以实现我们所阐明的目标。

在过去，大多数安全决策都或多或少地与对威胁的假设联系在一起。这些假设往往是假定一个无所不知、能力强大的敌人。针对这种危险，我们努力通过最大化我们的防御和最小化我们的漏洞来避免安全风险。今天的威胁更加分散、多方面和动态。我们还知道，有些漏洞永远无法完全消除，也不可能因为成本和收益而尝试。虽然委员会认识到某些安全失误的后果是特别严重的，需要采取特别的保护措施，但在大多数情况下，有可能在信息披露的损失或损害风险与反措施的费用之间取得平衡。然后，我们可以选择一种组合，既能提供充分的保护，又不会花费过多的美元，也不会妨碍信息向那些需要随时获取信息的人的有效流动。委员会认为，国家必须制定一个安全框架，提供一套合理的、具有成本效益的、灵活的政策、做法和程序。此框架必须使用一种风险管理方法，将实际威胁、固有漏洞以及对策的可用性和成本作为制定安全决策的基础。

风险管理要求评估安全政策和标准中提议的变更对资源的影响。在今天的会计系统中，这几乎是不可能的，因为它们不是为收集安全成本数据而设计的。委员会认为，建立一个收取保安费用的制度是有效精简和减少费用的关键。因此，我们建议创建一个统一的成本核算方法和跟踪系统，用于国防部、情报部门和支持行业的安全资源支出。

委员会认为有两个领域需要特别注意。首先，人员安全是我们安全体系的核心。如果我们不能确保那些必须处理敏感和机密信息的人的可信度，再多的物理、信息系统或程序安全都不够。政府的现任或前任雇员和承包商决定成为我们对手的间谍，给美国造成了严重损害。因此，委员会认为，必须作出新的努力来加强我们的人员安全制度。委员会还认识到有必要加强我们为安全官员、管理人员和工作人员提供的培训，使他们认识到安全的重要性以及他们在保护国家信息资产方面的作用。

我们在国防和情报机构中用于清理人员的程序因机构而异。不同的机构适用不同的标准;许可证不能轻易转让;批准批准的时间在一家机构为几周，在其他机构为几个月。因此，我们建议采用共同的裁定标准和联合调查服务，以规范背景调查，从而利用规模经济。

第二，需要加大对信息系统安全的重视。在当今世界，生产力与信息系统及其连通性直接相关。国防和情报部门越来越依赖信息系统来代表国家执行复杂的任务。然而，信息系统技术的发展速度比信息系统安全技术要快。如果我们的计算机和网络要保护机密和非机密信息资产的机密性、完整性和可用性，克服由此产生的差距将需要仔细的威胁评估、深思熟虑的投资战略、充足的资金和管理关注。

委员会认为，在就安全反措施的应用作出决定时，有必要采用系统办法。通过将所有的安全责任放在每个安全规程上，我们已经创建了对多层安全的需求，而这些需求几乎没有增加什么价值。在物理安全方面，这一点尤其明显，机密文件可能被储存在上锁的容器中，被存放在安全的建筑物内的安全密室中，并有武装警卫巡逻。即使在冷战最激烈的时期，这也是过度的杀戮，在今天的安全环境中更是如此。风险管理系统方法将调整应对威胁的对策，并将产生大量节省，可用于改善人员和信息系统安全，或维持或改善与成功执行国防和情报任务直接相关的其他领域。

改进我们的安全政策、做法和程序所带来的回报比支持国防和情报机构的工业基地更高。我们当前的实践使行业受制于一系列令人困惑的需求，这些需求是基于法规遵循的，不一致的，经常是矛盾的。对行业施加的安全要求远远超过政府机构和组织为保护相同信息而使用的要求。虽然为了保持竞争，必须对一些承包商保留一些预算和专有信息，但委员会发现，出于安全目的，几乎没有理由将工业界与政府区别对待。我们必须在政府和工业界之间建立伙伴关系，以加强安全，摒弃敌对角色。委员会还认为，我们的安全政策不应不必要地阻碍外国对美国公司的投资，也不应在争夺世界市场更大份额的过程中给我们的工业基地造成过度负担。

中央委员会的建议是直接形成一个社会安全执行委员会主持国防部长(或被任命者)和中央Intelligence-responsible主任创建安全策略和监督这些政策的连贯的实现国防和情报部门。当然，这个委员会不会取代国防部长和中央情报局局长现有的法定权力，包括后者保护消息来源和方法的责任。然而，该委员会将取代许多现有的论坛，这些论坛目前独立制定的安全政策和程序往往不一致，有时甚至相互矛盾。安全政策的单一来源应带来相应的成本降低和效率提高。虽然这超出了我们的章程范围，但委员会还认为，在不久的将来，应该扩大这个委员会，增加来自其他政府部门和机构的代表，并赋予其制订全政府安全政策的责任。该委员会应向国家安全委员会(nsc)报告，监督安全体系，并设立由杰出美国人组成的外部咨询小组，以确保产业界、学术界和公共利益团体在制定安全政策方面有发言权。

为了促进安全政策、做法和程序的制定、实施和监督，委员会提出了一个全新的分类系统，大大简化了现有的系统，消除了其固有的主观性。委员会与国家安全信息行政令第12356号修订特别工作组密切合作，分析了可能发生的变化及其影响，并决定采用二级保护的单一等级。大多数机密信息将使用一套一致的人员、物理、信息系统和程序安全标准来保护，并将根据目前对机密和机密材料实行的酌处知情权。高度敏感的信息，例如今天被保护在绝密、敏感分隔信息或特殊访问计划级别的信息，将通过使用一套更严格的标准来保护，并将基于集中管理的需要知道的决定。这一系统的应用将建立在风险管理而不是完全避免所有风险的基础上，并将集中精力将安全作为对我们社区的一项服务，而不是目前使用的基于合规的惩罚性方法。

联合安全委员会很高兴提出建议，以建立一个改进的程序，以便制定、管理和监督安全政策、做法和程序。我们认为，这一进程的实施及其成果的一致应用应确保选择安全对策，以配合不断演变的威胁，并尽量减少低效和成本。由此产生的安全系统将公平地对待人们，并提供保护我们的信息资产、设施、人员和国家利益所需的安全的平衡组合。