疾病预防控制中心修订了名为敏感但非机密信息.本修订的目的是提供政策和程序,允许CDC完成其公共卫生使命,同时保护足够敏感、需要保护但可能不被指定为机密信息的数据和文件。本政策包含以下方面的指导:
- 建立协调中心和国家中心、办公室级文件控制人员。
- 文件控制人员审查和指定敏感但非机密文件的政策和程序。
- 敏感但未保密信息的存储、传播和保护要求。
- 与实施计划有关的角色和责任。
要直接转到策略,请在浏览器的位置行中输入以下[CDC Intranet] URL:http://intraspn.cdc.gov/maso/policy/Doc/policy464.htm
安全和应急准备办公室是这项政策的支持者。如果您对本政策有任何疑问或意见,请致电404-498-1516与政策分析师Tom Jones联系,或向CDC政策邮箱发送电子邮件。詹姆斯D.塞里格曼
首席信息官
敏感但未分类的信息
一、目的和范围
本文件的目的是提供政策和程序,以允许疾病控制和预防中心(CDC))完成其公共卫生任务,同时保护敏感到需要保护但可能不会被指定为机密信息的数据和文件。
本政策适用于所有雇员、研究员、客座研究人员、附属军服服务人员(美国公共卫生服务(USPHS)委任部队、国防部雇员和服务人员)承包商、分包商或在CDC或其赞助下工作的任何其他个人。
2背景
CDC是由OMB A-130号通告,联邦信息资源管理,
保护政府信息的风险和损害程度,可能导致的损失,滥用,或未经授权的访问或修改该等信息
已经存在保护机密事项的安全计划和程序。然而,公众普遍可获得的信息以及某些可检测的活动可能会揭示机密或敏感信息或承诺的存在,有时甚至是细节。这些指标可能有助于那些试图压制或利用美国政府行动的人(第298号国家安全决定指令)。该政策旨在最大限度地减少这种风险。
3首字母缩略词和定义
一个。对于本政策的目的,以下简称适用:
1. CC / CON协调中心和协调办公室
2. CISO�首席信息安全官
3. DCO�文件控制官
4.HHS�部门健康和人类服务
5.信息自由法
6. ITSO�信息技术服务办公室
7.数控� 国家中心
8.NSDD� 国家安全决策指示
9.安全与应急准备办公室
10.美国卫生和公众服务部安全与药物测试办公室
11. SBU�敏感但未分类
B。对于本政策的目的,适用以下定义:
1.文档控制人员
一种。NC.-和办公室级DCO - NC或办公室级的员工,由其NC或办公室主任负责适当维护与监控、保护、存储、传输和销毁被归类为SBU的信息相关的记录NSDD-189,《科学、技术和工程信息转让国家政策》.
b. CC/CO DCO - CC/CO级别的员工,由其CC/CO主管负责审查所做的决定和/或向NC或办公室DCO级别提供指导。
c.当出现无法在NC、办公室或CC/CO层面上决定的敏感性问题时,OSEP DCO应作为最终的批准机构。OSEP DCO还应负责进行与本政策相关的必要培训。
2.电子媒体
电子媒体包括磁带盘、磁盘组、磁盘、光盘、可移动硬盘、磁盘盒、光盘、纸带、磁盘盘、磁卡、磁带盒、微型盒式磁带,录像带和存储数据的任何其他设备,并且通常由用户或运算符从系统中移除。
3.禁止区
“禁区”是一个安全区域,通过障碍物识别边界,包围指定的空间,包括访问控制和入侵检测,以提供合理的保证,只有授权人员可以在没有护送的情况下进出该区域。进入禁区需要接近卡,访问授权,以及证明需要知道。美国疾病控制与预防中心目前和计划选择的特工实验室被指定为禁区。
4.输出受管制的信息或材料
出口管制信息或材料是指未经国务院批准或许可,不能向外国国民或外国实体代表发布的信息或材料。这涉及受《国际武器贩运条例》或商务部管制的物品,并包括受《出口管理条例》管制的物品。出口控制信息必须作为SBU信息进行控制,并进行相应标记。
5.信息自由法
要求公布公开要求的信息的法律,但有几个例外:
一种。免除1:当前已正确分类的信息。
b。免2:仅与机构内部规则和做法有关的信息,披露这些信息可规避机构规章。
c。免3:由制定特定扣缴标准的法规特别豁免的信息。法规的语言必须清楚地说明信息不会被披露。
d。豁免4:以特权或机密方式从公司获得的信息,如商业秘密和商业或财务信息,如果发布,将对公司造成竞争伤害,损害政府未来获取类似信息的能力,或损害政府遵守计划有效性的利益。
e。免5:机构内部的备忘录这是审议。这种豁免适用于作为决策过程一部分并包含主观评价、意见和建议的内部文件。
F豁免6:如果发布,可以合理地预期将构成对个人隐私的明显无正当理由的侵犯的信息。
G豁免7:为执法目的编制的记录或信息:
我.有理由预期会干扰执法程序;
2将剥夺他人获得公正审判、公正裁决的权利;
3可以有理由认为构成对他人个人隐私的无端侵犯;
4.披上了机密来源的身份;
v.公开调查技术和程序;或
6 .有理由认为可能危及任何个人的生命或人身安全。
H豁免8:金融机构监管机构的相关记录。
我.豁免9:有关油井的地质和地球物理信息。
6.有限的面积
有限的区域是居住在物业保护区内的安全区域(有关房地产保护区的定义),具有识别其界限并包含指定空间的障碍。建筑物的周边通常定义有限区域的边界。它具有访问控制和入侵检测,以提供合理的保证,只有允许授权人员进入并退出未经护送的区域。访问有限区域需要邻近卡和访问授权。
7.产权保护领域
物业保护区由CDC设施的最外围定义,建立了这种安全领域,以防止伤害,破坏和盗窃CDC拥有的财产。当罗巴尔网站,周边围栏建立了物业保护区;它定义了界限罗巴尔校园和控制人员和车辆通道。
8.专有信息
专有信息是指在特权或机密基础上从公司获得的信息,如商业秘密和商业或财务信息,如果发布,将对公司造成竞争损害,损害政府未来获取类似信息的能力,或损害政府遵守计划有效性的利益。
9.非保密的敏感
“敏感但非机密”指的是根据《信息自由法》可以豁免向公众强制发布的非机密信息。(关于《信息自由法》的九项豁免,请参阅本节中的《信息自由法》定义。)SBU是指根据法律或法规,需要某种形式的保护,但不属于正式分类系统的信息行政命令12958,修改。
10.特别禁止区
特殊隔离区是一个安全区域,通过障碍物来确定其边界并包围指定的空间。此外,它还包括出入管制,以合理保证只有经过授权的人员才能在没有护送的情况下进出该地区。进入一个特殊的禁区需要接近卡,访问授权,证明需要知道,和入侵检测。经授权进入这些地区的人员必须持有适当级别的安全许可。
四,。政策
所有CDC员工和其他关联人员应遵循本政策文件中包含的程序和/或CDC、HHS、行政命令、其他总统指令、美国联邦法院裁决和美利坚合众国适用法律中的相关政策,保护SBU信息。
五、责任
A. CDC ossep主任(或其指定人员)关于SBU信息的职责
1.指派一名或多名OSEP DCO(s)执行本政策和程序。
2.进行全局的培训。
3.为CC/CO、NC和办公室提供指导和建议dco.
4.如有需要,成立上诉委员会,及时就敏感度决定的上诉作出判决。
5.将敏感性决策的挑战提交给SDT。
B. CC/CO主管(或其指定人员)在SBU信息方面的责任
每位抄送/联席董事(或抄送/联席董事)�应任命一名或多名CC/CO DCO审查NC或办公室DCO级别的决策,并向NC和办公室提供指导dco.
NC和办公室主管(或其指定人员)对SBU信息的责任
每个NC或办公室主任(或指定的NC或办公室主任)应指定一个或多个NC或办公室DCO(s)审查所有提交的材料;进行灵敏度测定;并维护与监控、保护、存储、传输和销毁被归类为SBU的信息相关的记录NSDD-189,《科学、技术和工程信息转让国家政策》.
NC和办公室DCO关于SBU信息的职责
NC和办公室DCO应根据本政策和适用的其他法律、命令、规则和法规审查所有提交的材料,并作出敏感性决定。灵敏度测定应以书面形式记录下来。文件将按照CDC记录控制计划.
数控,office-leveldco负责审查和批准内部发布信息、网站内容,并明确在内部网上发布的政策和程序。
数控,office-leveldco被授权使敏感性确定确保某些信息不用于公开发布,并且该信息应标记为SBU。但是,必须向公众提供任何信息请求,必须转发给FOIA办事处,以获得决心和反应。
E. CC/CO DCO(s)关于SBU信息的责任
CC/CO DCO应在必要时审查NC或办公室DCO所作的决定,并酌情向NC或办公室DCO提供指导。
F.OSEP DCO对SBU信息的责任
OSEP DCO应执行本政策和相关程序;进行必要的培训;并为CC/CO和NC或办公室提供指导和建议dco. 当出现在NC、办公室或CC/CO级别无法决定的敏感问题时,OSEP DCO应作为最终决策机构。
G.主管对SBU信息的责任
监事应确保只有授权的个人�在本政策中确定,�就可以访问SBU信息。每年的基础,更常见的话,主管应告知其员工,需要保护SBU信息,并要求将其创建可能包含SBU的所有文件的要求应发送给NC-或Office-Level DCO(s)用于敏感性确定。监事应在员工之间进行本政策的程序,以及他们负责的工作空间内。主管应立即向CC / CO DCO报告疑似或已知违反本政策或程序。
H.员工和关联人员对SBU信息的责任
按照本政策第I节的规定,员工和关联人员应了解本政策和程序,并遵守所制定的要求。
一、CDC信息自由官员对SBU信息的职责
疾控中心信息自由官员应就《信息自由法》SBU问题提供建议、协助、政策和技术指导金博宝正规网址dco和管理,根据需要。CDC Foia官员将在最终FOIA决定之前获得敏感性确定,以释放或拒绝CDC记录。
J. CTC CISO关于SBU信息的责任
CDC CISO应提供信息系统安全方面的建议、协助、政策和技术指导,重点是2002年联邦信息安全和管理法案,1987年计算机安全法案.
6程序
SBU应遵循以下程序:
公开发布信息前的审查和批准
CC/CO和NC-或办公室级别dco获授权审查和批准可在CDC内部网站上发布的信息,并作出敏感性决定,以确保某些信息不可供公开发布,并将该信息标记为SBU。
CC / CO和NC-或办公室级别dco负责建立提交程序,并使受影响的人员知道这些程序。
标记信息SBU不会自动使其有资格获得公开发布豁免。如果收到公众对SBU文件的请求,应由CC/CO DCO审查该信息,以确定它是否真正有资格获得豁免。然而,只有疾控中心的《信息自由法》官员有权批准公众根据《信息自由法》要求隐瞒的信息。
在审核文件时,没有SBU或其他相关标记并不一定意味着信息应该公开发布。某些类型的记录(例如,大多数人力资源和财务信息)通常不标记为SBU,但根据《信息自由法》仍有资格扣留,除非个人另行授权公布。因此,所有信息在公开发布之前都应该经过审核和批准。
敏感性审查的要求同样适用于纸质文件和电子文件。需要敏感性审查的电子文件包括但不限于提交给在线出版物的文件;金博宝更改账户在公众可访问的主页上起草或存储的文件;和提交到另一个互联网网站,不管网站或位置。
当任何拟披露的信息“可能”被保密协议覆盖时,在收到OSEP DCO的书面许可之前,不得采取任何公开披露的步骤。这是一项终身义务,只要信息仍然敏感,就会一直有效。
B.网站内容出版前的审查
互联网上的信息可能面向有限的受众;然而,世界各地的观众都可以观看。万维网的设计并没有考虑到安全性,未加密的信息被泄露的风险很高。CDC CISO和ITSO指南考虑了哪些安全访问控制(如果有的话)对特定地点有效,信息的敏感性,以及信息的目标受众。
大多数类型的SBU信息不应该出现在网站上,除非该网站受到加密保护。
在将未标记的信息放在网站上之前,信息应由NC或office DCO和/或该信息所属的CC/CO DCO进行敏感性审查。CC/CO董事或董事代表也可以对信息进行审查。
CDC敏感性决定和分类决定要求在作出判断时,应考虑到聚集的潜在后果。术语“聚合敏感”指的是这样一个事实:一个网站上的信息可能看起来不重要,但是,当与来自其他网站的信息结合在一起时,它可能会形成比预期或期望的更大、更完整的画面。同样,将大量信息汇集在一个网站上可能会增加该信息的敏感性,并使那些寻求可能用于攻击CDC的信息的人更有可能访问该网站。
个人信息,如地址;电话号码(市民可轻易取得的电话号码除外);社会安全号码;出生日期;家庭成员的姓名在履历总结等不应该张贴在互联网上。
C.敏感性决策和通知
如果在NC或办公室级别的DCO和CC/CO DCO审查后敏感性决策存在问题,则应由CC/CO DCO通过电子邮件或办公室间邮件将该决策提交给OSEP DCO。OSEP DCO应在15个工作日内就文件草案的信息敏感性作出决定。如果不能做出决定,或者确定信息应该保密,则该文件将被发送给CDC osp的安全审查小组和/或转发给SDT进行敏感性确定。OSEP DCO将立即将文件的状态通知提交人。
D.对敏感决定的上诉
敏感性决定可由发起人通过受影响的CC/CO主管通过电子邮件或办公室间邮件,通过正式的书面请求提出上诉,并发送给osp主管进行最终决定。
E.SBU信息的类别
敏感信息包括任何不受《信息自由法》限制的信息,包括但不限于与人员、安全及特定代理人有关的信息。
例子包括但不限于:
1.人员
一般人事信息,如评估和绩效数据;安全信息,包括背景调查结果和裁决,违规/事件报告;ReportsReports相关个人信息,当个体�年代工作主题,涉及安全(例如,名称和细节的处理选择代理,机密数据,反间谍)或与那些被授权的访问级别超出平均中心员工/承包商/访客。
2.安全
设施蓝图和其他详细的设施信息;与物理安全系统相关的数据库;这种设施或敏感信息的漏洞;网络安全信息;安全程序;访问代码(组合或密码);徽章设计信息;安全审计结果;物理安全性能测试结果;响应力练习的结果; incident reports and disciplinary actions; response force capabilities; and security plans.
3.选择代理
与选定代理程序相关的数据库和实验室记录,包括但不限于库存数据库和保管记录链;选择代理转移记录;与导致意想不到结果的实验有关的文件9 CFR $ 121.10;以及审查和批准小组认为过于敏感而不能公开发布的信息。
F.《信息自由法》规定的SBU强制性豁免
确定为SBU的电子或硬拷贝形式的信息必须属于第II节中确定的九个FOIA豁免类别中的一个或多个。B. 5。到免于向公众强制释放。
G. SBU人员出入要求
美国
公民直接雇佣的主管员工负责访问、传播和发布SBU材料。员工将限制访问权限,以保护SBU的信息不被意外公开披露。
如果法律、法规或跨部门协议没有禁止,员工可以将SBU材料分发给其他人,包括非美国公民,以执行美国政府的正式职能。
H. SBU保护和储存要求
1.在使用过程中保护SBU信息
应采取合理的预防措施,防止不需要该信息执行其工作的人接触敏感信息(例如,敏感文件不应在公共场所阅读或带回家)。
2.SBU信息的存储规则
无论是纸本还是电子形式的敏感信息,都应受到物理保护,并应储存在有限的区域内。排除区和特殊排除区也是可接受的存储位置,但高密封实验室只应在绝对必要时用作敏感信息的存储区域。只有在采取额外的保护措施,将保护提高到与有限区域相当的水平时,才能在财产保护区域或公共区域存储敏感信息。
硬拷贝中存在的所有敏感信息应存储在有限或排除区域的锁定容器中,访问控制的电子环境或授权个人的物理控制。当个人在境内旅行时
美国
如果没有限制区域或隔离区,在上锁的房间内上锁的集装箱就足够了(例如,在上锁的酒店房间或车辆内上锁的公文包或手提箱)。敏感信息不应外带
美国
.
以电子方式处理和通过网络传送的信息被公布或篡改的风险较高。存储在CDC网络上的敏感信息应受到一定程度的保护,以确保只有被授权查看信息的人才能访问这些信息(例如,机器生成的密码、加密)。CDC网络系统应保持高水平的电子保护(例如,防火墙、入侵检测、深度防御、敏感信息隔离、良好实践网络管理),以确保敏感信息的完整性,并防止未经授权的访问这些系统。定期审查所使用的保护方法和系统审计对于维护这些系统的保护也是至关重要的。
应在有限区域或排除区域内保护存储和发送敏感信息或具有直接访问敏感信息的网络系统的物理元素。信息资源的中心越多,(例如,网络或安全系统控制室),应该应用的访问控制级别越高。
I. SBU标记要求
已确定为SBU的信息应指定为SBU,并使用以下适当的标记和标签:
1.文件
包含敏感信息的文件应包括在一个�敏感但非机密封面,封底外侧应标明:敏感但非机密
文件的内页应标记为�敏感但在每一页的顶部和底部用字母清晰地与文本区分。当空格中不允许拼出“敏感”时,可以使用缩写SBU但非保密。�
第一页应在左下角包含以下声明,并填写适用的《信息自由法》豁免号码:
�敏感但不保密(SBU)
本文件包含根据《信息自由法》(5 U.S.C. 552)可免于公开发布的信息。,免(s) ______申请。在通过信息自由办公室公开发布信息之前,需要获得疾病控制和预防中心文件控制官员、安全与应急准备办公室以及疾病控制和预防中心信息自由官员的批准
2.电子媒体
包含敏感信息的电子媒体应标注为“敏感”但非保密。�The label should be plainly visible and should be applied in a way that does not interfere with the drive mechanism. The outer covering for any of the above removable storage media should also be marked �Sensitive但非保密。�
录像带还应包含�敏感但如果可能的话,在播放视频的开头和结尾处未分类。如果可能的话,音频盒应在播放部分的开头和结尾中包含可听语句,通知侦听器磁带包含SBU信息。
3.蓝图、工程图纸、图表和地图
应标记包含敏感信息的蓝图、工程图纸、图表和地图�敏感的但非机密-建筑信息或“SBU-BI”在每一页的顶部和底部。如果蓝图、图纸、图表或地图足够大,可能会被卷起或折叠,�敏感但非机密-建筑信息,应放置,使标记是可见的,当项目是卷起或折叠。
4.照片和底片
包含敏感信息的照片应标明为“敏感”但如果可能的话,不要在脸上显示机密信息。如果不能这样做,则应将标记放在背面。包含敏感信息的底片、正片或其他胶片应标记为�敏感但如果可能的话,对影片本身不进行保密;否则,它应该被保护在一个有标记的容器中。
J. SBU信息的复制
在未经发起人许可的情况下,可以转载SBU文件,以履行官方CDC活动的必要程度。副本应以与原件相同的方式保护。如果复制机故障,应清除复印机,并检查包含敏感信息的论文的所有纸张路径。
K. SBU转移要求
1.敏感信息交流
可以通过以下方式传送敏感信息:
人与人之间的直接接触;通过固定电话;通过头等、优先或隔夜邮件;通过传真机;通过电子邮件与完全驻留在CDC网络中的CDC电子邮件地址([…]) @cdc.gov);通过电子邮件发送和/或从CDC网络外的电子邮件地址发送,前提是敏感数据经过加密和身份验证。
2.通过电话或视频会议讨论敏感信息
虽然在固定电话上可以讨论敏感信息,但不应该在移动电话上讨论敏感信息。敏感信息不应通过开放的网络通信渠道传播,包括在线视频会议,除非该会议是在受限网络上举行的。
3.邮寄敏感资料
敏感信息的传递应以一种方式进行,即告知那些有必要知道敏感程度的人,而不是向公众宣传事实。使用可靠的运输方式也很重要。这些考虑有助于避免未经授权的泄露或传播敏感信息。
4.内部邮件
在通过CDC内部邮件传输敏感信息之前,信息应具有适当的标记和封面,并应放在SBU信封中。
5.外部邮件
在疾控中心外发送的敏感信息应通过一级邮件、优先邮件或隔夜邮件传送。外包装上的标记不应暴露信封或包裹的内容给未经授权的人员。
6.传真敏感但非机密资料
在传真敏感信息之前,发送方应确认将有授权人员在接收端接受传送,或发送方应核实接收设施已受到足够的保护,以防止未经授权的人获取传送的材料。
7.电子传输
如果敏感信息从CDC网络发送到不安全(非CDC)网络,则应该对其进行加密和身份验证。不应通过无线技术传递敏感信息,例如蜂窝电话或无绳电话或无线数据设备(例如,黑莓� 设备)。
SBU处置和销毁的要求和方法
敏感信息应通过切碎或焚烧的方式销毁;含有敏感信息的纸张不应回收。
删除、擦除或格式化将不足以从电子存储格式中删除敏感信息。相反,文件应该通过使用硬盘清除程序的多次通过(最少10次)来删除。电子或可移动介质在处理前应通过粉碎、消磁、熔化或其他方法被损坏到无法操作的程度。
m .执法
违反本政策可能导致惩罚性行政行动,包括终止雇佣、解雇或从USPHS委托的兵团中开除。可寻求进一步的民事和刑事起诉在下面法律中编纂的一项或多项法律美国联邦法规.
n .实现
本政策中标识的要求适用于本政策实施日后产生的文件。然而,所有产品,无论何时生产,均受本政策剩余条款的约束,自本政策实施之日起生效。
7参考文献
一个。CDC信息自由政策。2002年3月19日。
B。CDC记录控制计划.1998年5月15日。
C。1987年计算机安全法案,公法100-235(H.R.145)。1988年1月8日。
D。第12958号行政命令,国家安全信息。1995年4月17日。
E出口管理条例.2006年1月27日。
F2002年联邦信息安全管理法案.2002年12月。
G信息自由法.1996年9月18日。
H。《国际武器贩运条例》. 1992年4月1日。
我。国家标准与技术研究所:计算机安全. 2003年7月。
J。NSDD-189,国家科学、技术和工程信息转移政策。1985年9月21日。
K。《美国联邦条例法典》(1996年至今).2006年2月1日。
8额外的资源
一个。武器出口管制法.1994.
B。CDC-IR-2002-06,信息资源保护.疾病预防控制中心,2002年4月。
C。疾病预防控制中心- ir - 2002 - 03,机密材料.疾病预防控制中心,2002年4月。
D。CDC- is -2005-03,疾病预防控制中心信息技术资源利用.疾病预防控制中心,2005年8月。
ECDC-AM-2004-02,采购完整性限制.疾病预防控制中心,2004年2月。
F疾病预防控制中心- ga - 2005 - 06,间隙的在CDC外分发供公众使用的信息产品。疾病预防控制中心,2005年7月。
GCDC-GA-2000-01,隐私法. 疾病预防控制中心,2000年11月。
H。CDC-GA-2002-02《信息自由法案》.疾病预防控制中心,2002年3月。
我。《生物、化学及相关技术数据和设备出口管制》.疾病预防控制中心,1998年6月。
J。CDC-GA-2000-02,联邦咨询委员会会议记录.疾病预防控制中心,2000年12月。
K。CDC- ga -2005-14,《美国疾病控制与预防中心/美国毒物及疾病登记署数据发布和共享政策》.疾病预防控制中心,2005年9月。
