国土安全部
管理指令系统
MD号码:11042
发行日期:5/11/2004保护敏感但不保密的东西
(只供官方使用)资料
1.目的
该指令确立了国土安全部(DHS)关于识别和保护来自国土安全部的敏感但非机密信息的政策。它也适用于国土安全部从其他政府和非政府活动中收到的其他敏感但非机密的信息。2.范围
本指令适用于所有国土安全部总部、组成部分、组织要素、承包商、顾问和其他有权获得本指令所涵盖信息的人。3.当局
2002年国土安全法案。4.定义
访问:获得信息知识的能力或机会。
仅供官方使用(FOUO):在DHS中使用的术语来识别敏感性质的未分类信息,而不是由法规或法规分类,其中未经授权的披露可能会对一个人的隐私或福利,联邦方案的行为或其他方案或行动产生不利影响国家利益。影响美国国家安全和分类机密,秘密或最高秘密的信息,执行命令12958,“分类国家安全信息”,如修订,或其前身或继承命令,不应被视为福诺。FOOO不被视为分类信息。
需要知道:经授权的信息持有人确定,未来接收者为了执行或协助合法和经授权的政府职能,即为执行公务需要访问特定信息。
组织因素:在本指令中,组织元素的定义见DHS MD编号0010.1,管理指令系统和DHS公告。
关键基础设施信息保护(pci):关键基础设施信息(CII)定义在6 U.S.C. 131(3)(《国土安全法案》第212(3)节)。关键基础设施信息通常不属于公共领域,而是与关键基础设施或受保护系统的安全相关的信息。受保护的关键基础设施信息是自愿提交给联邦政府的CII的子集,请求者根据pci计划要求对其进行保护。
敏感的安全信息(SSI):敏感安全信息(SSI)的定义见49 C.F.R.第1520部分。SSI是一种特定类别的信息,需要保护不被披露。《美国法典》第49条第40119条对在进行某些安全或研究和开发活动中获得或开发的信息的披露进行了限制,限制在已确定信息的披露将是对个人隐私的无根据侵犯的范围内;泄露商业秘密或特权或机密的商业或财务信息;(三)在运输中危害旅客安全的。
5.责任
安全的将A.国土安全部办公室:1.负责项目各方面的实际应用,保护FOUO。
B.国土安全部组织要素负责人将:2.公布全系政策指导。
1.确保遵守本指令中所引用的保护敏感但非机密信息的标准。
C.组织单位的保安干事/保安联络将:2.指派一名官员担任安全官员或安全联络员。
负责执行和监督FOUO信息保护计划,并将担任国土安全部安全办公室和其他组织安全官员之间的联络人。
D. DHS雇员、承包商、顾问和其他有权访问的人将:1.注意并遵守本指令中对FOUO信息的保护要求。
E.主管和经理人员:2.要注意,未经适当授权泄露信息可能会导致行政或纪律处分。
3.执行DHS表格11000-6,未分类的敏感信息保密协议(NDA),在初始分配给国土安全部。其他人没有分配到或者约定的义务,以国土安全部,但给谁获得的信息将被授予,可能会被要求由项目经理来,他们将有机会决定执行保密协议。
1.确保建立和保持足够的教育和意识水平,以强调保护和防止未经授权的FOUO信息泄露。
2.当违规发生时,采取适当的纠正措施,包括适当的行政或纪律措施。
6.政策和程序
答:一般1. 1987年计算机安全法案,公法100-235,界定了“敏感信息”作为“的任何信息,丢失,误用或未经授权的访问或修改这些都可能产生不利影响的国家利益或联邦项目的行为,或到个人在第5篇第552A题为隐私,美国法典(隐私法),但还没有下通过行政命令或国会法案设立的标准特别授权应保密的兴趣的国防和外交政策“。然而,某些类型的信息由成文法,具体,规范标准和术语定义的类型信息,授权指定的受保护的异常“敏感信息”并不在联邦政府内存在。这样的指定留给每个个体机构的自由裁量权。
仅供官方使用2.在“敏感但非机密”领域,除了法律或法规特别描述和保护的各类信息,如纳税申报单信息、隐私法案信息、敏感安全信息(SSI)、关键基础设施信息(CII)、大陪审团信息等。各机构在确定非机密信息为敏感信息时还使用了许多附加说明,例如,仅供官方使用;执法敏感;官方只使用;有限的官方使用;等。不管用于识别它的警告,但是,命名的原因是不变的。信息被指定为敏感信息,以控制和限制对某些信息的访问,这些信息的发布可能会对个人的隐私或福利造成损害,对经济或工业机构造成不利影响,或危及对维护我们的国家利益至关重要的项目或操作。
3.将信息指定为FOUO不是掩盖政府疏忽、无能、非法或其他令政府机构尴尬的不体面情况的工具。
4.根据《信息自由法案》(5 U.S.C. 552, FOIA)的规定,被指定为FOUO的信息不会自动免于披露。根据《信息自由法》要求,公众所要求的信息仍须逐案审查。
在国土安全部内部,“仅供官方使用”的警告将用于识别国土安全部内部未被法律或法规明确描述和管理的敏感但非机密信息。这些和其他经批准的说明的使用将受适用类别信息发布的法规和规章的管辖。
C.指定为FOUO的信息1 .以下类型的信息将被视为FOUO信息。如果以下引用的信息也符合根据其他现有法规或法规指定的标准,适用的法规或监管指南将优先。例如,如果信息符合指定为敏感安全信息(SSI)的标准,那么SSI的标记、处理和保护指南将优先考虑。
d指定权威(a)根据美国法典第552条(《信息自由法》及其修正案)可豁免披露的信息类型。将信息指定为FOUO并不意味着该信息已经根据《信息自由法》免于披露。根据《信息自由法》提出的关于被指定为foo的信息的请求,将按照与其他任何信息自由法要求相同的方式进行审查和处理。
2.其他政府机构和国际组织可能会使用不同的术语来识别敏感信息,如“有限官方使用(LOU)”和“仅官方使用(OUO)”。在大多数情况下,对这类信息的保护需求相当于FOUO。但是,其他机构和国际组织可能对保护敏感资料有额外要求。服从其他机构或组织提供的保障指导。如果没有这样的指导,信息将按照本手册中对FOUO的要求进行保护。如果附加的指导比本指导的限制少,则信息将按照本指导的要求得到保护。(b)根据《隐私法》5u.s.c. 552a豁免披露的信息。
(c)受法规、条约或其他协定保护的国际和国内银行界和金融界的资料。
(d)受规约、条约、条例或其他协定保护的其他国际和国内资料。
(e)可以出售牟利的资料。
(f)可能对人员造成人身危险的资料。
(g) DHS信息技术(IT)内部系统数据,揭示用于服务器、台式机和网络的基础设施;应用程序名称、版本和发布;交换、路由器和网关信息;互连和接入方法;任务或业务用途/需要。信息的例子是系统库存和企业架构模型。根据经修订的第12958号行政命令有资格分类的有关国家安全系统的信息将酌情分类。
(h)揭示系统安全状况的系统安全数据。例如,威胁评估、系统安全计划、应急计划、风险管理计划、业务影响分析研究以及认证和认可文件。
(i)说明或披露设施基础设施或ReportsReports保安漏洞的检讨或报告,不论这些漏洞是针对根据经修订的第12958号行政命令不符合分类资格的人士、系统或设施。
(J)可能构成美国政府的意图,能力,操作或活动的指标或以其他方式威胁运营安全信息。
(k)开发或现有技术,其发布可能会阻碍国土安全部的目标,损害技术优势或对策,导致拒绝服务,或向对手提供足够的信息来克隆、伪造或绕过某个过程或系统。
任何DHS员工,透露或承包商都可以指定落在第6节,段落段,案件中所引用的一个或多个类别中的信息。职业官员占据监管或管理职位有权指定其他信息,未在其管辖范围内列出,作为福霍。
E.指定期限被指定为FOUO的信息将保留其指定,直到发起者或对发起者和/或信息负有项目管理责任的监督或管理官员另行确定。
f标志1.指定为FOUO信息将得到充分的标记,以便能够访问它,人都知道它的敏感性和保护要求。对材料缺乏FOUO标记不从维护责任免除持有人。其中FOUO标记不存在于由保持器已知为FOUO材料,该材料的保持器将保护它作为FOUO。由法规或调节,例如,PCII和SSI等保护的其他敏感信息,将被标记根据用于该类型的信息的适用的指导。标记按照提供了一种用于信息的类型的引导信息无需另外标记FOUO。
G.一般处理程序(a)在扉页、扉页、扉页、封底及每一页包含FOUO资料的底部显著地作标记,并注明“仅供官方使用”。
(b)含有特定类型FOUO的材料可能会被进一步标记适用的警告,例如“执法敏感”,以提醒读者所传达的信息类型。如果信息的敏感性要求对其进行额外的访问和传播限制,则发送人可以引用额外的访问和传播限制。例如:
警告:本文件仅供官方使用(foo)。根据国土安全部与FOUO信息相关的政策,对其进行控制、存储、处理、传输、分发和处理。未经发信人事先授权,不得将该资料分发到原收件人以外。
(c)向国土安全部以外的收件人(例如其他联邦机构、州或地方官员等)传送的材料,可能不知道FOUO警告所代表的内容,应包括以下附加通知:
警告:本文档仅供官方使用(foo)。它包含了根据《信息自由法》(5 U.S.C. 552)可以免于公开发布的信息。根据国土安全部关于FOUO信息的政策,对其进行控制、存储、处理、传输、分发和处理,未经国土安全部授权官员的事先批准,不得向公众或其他没有有效“需要知道”的人员发布。
(d)计算机存储介质,即,盘,磁带,可移动驱动器等,包含FOUO信息将被“仅供工作使用。”标记
(e)仅包含FOUO信息的机密文件部分,即主题、标题、段落和子段落,将用缩写(FOUO)标记。
(f)文件中不需要包含其他名称的个别部分标记。
(g)不需要指定者或发起者信息和标记、降级指示和日期/事件标记。
虽然FOUO是用于识别敏感非保密信息的DHS标准警告,某些类型的信息FOUO可能比其他人更敏感,从而保证超出建立本手册中的最低要求额外的保护措施。例如,某些类型的信息可以根据所可导致信息被释放或损害的影响被认为是极为敏感。这样的后果可能是生命或举报人或操作的妥协的损失。附加的控制要求,可以根据需要加入以得到适当的保护来的信息。美国国土安全部的员工,承包商和detailees必须使用加上风险,脆弱性的评价声音的判断,以及对人员或财产的潜在损失,作为确定超过规定的最低要求为保障需要的基础,并进行相应的保护的信息。
H.传播和获取1.当从一个授权的存储地点(见6.1节)被移出时,没有必要知道的人在场,或者偶然的观察会向未经授权的人泄露FOUO信息时,将使用“仅供官方IJSE使用”的封面页(附件1),以防止未经授权或无意的泄露。
2.当转发FOUO信息时,应在递交信、备忘录或文件的顶部放置一张FOUO封面。
3.当从其他政府机构收到FOUO等效信息时,按照其他政府机构提供的指导进行处理。未提供指导的,按本指令的要求处理。
1.FOUO信息将不会以任何方式传播-口头,视觉,或电子-未经授权的人员。
一、存储2.获得FOUO信息是基于由信息的持有者确定的“需要知道”的。凡有不确定性,一个人需要到知道,信息的持有者将要求其下一级的主管或信息的传播鼻祖说明。
3.信息持有人将遵守任何查阅和传播限制。
不需要访问FOUO信息4.安全检查。
5.当讨论或向其他个人传递FOUO信息时,确保与之进行讨论或信息传递的个人具有有效的知情权,并采取预防措施,防止未经授权的个人偷听对话、观察材料,或以其他方式获取信息。
6.foo信息可以与其他机构、联邦、州、部落或地方政府和执法官员共享,前提是已经建立了具体的需要知道的信息,并共享信息以促进协调和官方的政府活动。如果其他机构的官员要求获得FOUO信息,而没有协调或其他官方政府活动,则提出请求的机构将向适用的国土安全部项目办公室提出书面请求,提供被要求访问的人员的姓名,要求访问的具体信息,以及需要知道的基础。然后,国土安全部项目办公室将决定是否将信息发布给其他部门官员。(见第6节。F为标记要求)
7.其他受法令或法规保护的敏感信息,如隐私法、CII、SSI、大陪审团等,将根据此类信息的适用指南进行控制和传播。
8.如果所要求或讨论的信息属于另一个机构或组织,请遵守该机构关于第三方讨论和传播的政策。
9.当通过电话讨论FOUO信息,使用STU III(安全电话单元),或安全的电话设备(STE)的,鼓励,但不是必需的。
1.当无人看管时,FOUO材料将至少存储在一个上锁的文件柜、上锁的书桌抽屉、一个上锁的头顶储物柜(如系统家具书柜)或类似的上锁储物柜中。材料也可以存储在一个房间或区域有足够的物理访问控制措施提供足够的保护,防止未经授权的访问通过公众,游客,或他人没有应,如一个锁着的房间,或者一个区域访问控制一个守卫,密码锁定,或者读卡器。
j .传输2.FOUO信息不会存储在与存储机密信息相同的容器中,除非信息之间存在相关性。当FOUO材料存储在存放分类材料的同一容器中时,会尽可能地与分类材料分离,即单独的文件夹,单独的抽屉等。
3.存储FOUO信息的IT系统将按照联邦和国土安全部的标准进行认证和认证。请查阅美国国土安全部信息技术安全计划手册,出版物4300A,以获得更详细的信息。
4.包含FOUO信息的笔记本电脑和其他媒体将被存储和保护,以防止丢失、盗窃、未经授权的访问和未经授权的泄露。存储和控制将按照美国国土安全部敏感系统信息技术安全计划手册,出版物4300A进行。
1.在美国及其地区传送硬拷贝FOUO:
k .破坏(a)材料将被放置在一个单一的不透明信封或容器和充分地密封,以防止意外打开,并显示出篡改的证据。信封或容器将承担的完整名称和发件人和收件人的地址,包括项目办公室和预期收件人的姓名(如果知道的话)。
2.传送至海外办事处:当海外办事处采用军事邮政设施(即APO/FPO)服务时,可直接传送至该办事处。如果海外办事处没有军事邮政设施,材料将通过国务院的外交信使发送。(b) foo材料可以通过美国邮政服务一级邮件或可靠的商业递送服务如联邦快递或联合包裹服务邮寄。
(c)如果提供足够的保护以防止未经授权的进入,例如密封的信封,FOUO材料可以进入办公室间的邮件系统。
3.电子传输。
(a)传真传送。除非发起者另有限制,FOUO信息可以通过非安全传真发送。但是,我们强烈鼓励使用安全的传真机。在使用不安全传真的情况下,发送方应与接收方协调,以确保所传真的材料不会无人看管或在接收端可能遭到未经授权的泄露。资料持有人应遵守任何查阅、传播和传送资料的限制,或资料的发起者口头传达的限制。
(b)通过电子邮件传送
(i)通过电子邮件传送的FOUO信息应加密或在安全的通讯系统内传送。当这是不切实际或不可用时,FOUO可以通过常规的电子邮件通道传输。为了增加安全性,当通过常规电子邮件渠道传输FOUO时,信息可以包含在一个密码保护附件中,密码在单独的掩护下提供。FOUO信息的接收者将遵守任何由发件人施加的电子邮件限制。
(c)国土安全部互联网/内联网(ii)根据DHS MD 4300, DHS敏感系统手册,由于固有的漏洞,FOUO信息不应发送到个人电子邮件账户。
(i) FOUO的信息不会发布在国土安全部或任何其他互联网(公共)网站上。
(ii) FOUO信息可发布在国土安全部内部网或其他政府控制或赞助的受保护加密数据网络,如国土安全信息网络(HSIN)。但是,被授权发布该信息的官员应该知道,对该信息的访问是对所有被授权访问该特定内部网站点的人员开放的。官员必须确定信息的性质是否适用于所有人员;发布信息的好处大于潜在的妥协风险;张贴的信息被显著标记为仅供官方使用;发布的信息不违反《隐私法》的任何规定。
1.FOUO材料将在不再需要时被销毁。销毁可通过以下方式完成:
l .事故报告(一)“硬拷贝”材料将被粉碎、燃烧、制浆、粉碎等方式销毁,以确保销毁后无法辨认和重建。销毁后,材料可与正常废物一起处理。
(b)电子存储媒体应通过覆盖或消磁进行适当消毒。如需其他指导,请联系当地IT安全人员。
(c)载有FOUO资料的纸制品,除非已按上述规定销毁,否则不会弃置在普通垃圾或回收容器内。
1.如FOUO信息丢失、泄露、可疑泄露或未经授权泄露,将予以报告。在DHS IT系统中涉及FOUO的事件将根据IT事件报告要求报告给组织的计算机安全事件响应中心。
2.以任何方式(如电子邮件或口头)提出的可疑或不适当的信息请求均应向国土安全部安全办公室报告。
3.员工或承包商如果发现或意识到FOUO信息的丢失、泄露、可疑泄露或未经授权泄露,应立即但不迟于下一个工作日向发起人和当地安全官员报告。
4.适当的国土安全部管理人员的其他通知,将立即在披露或妥协可能导致人身伤害的个体(S)或计划或正在进行操作的妥协进行。
5.在始发者的请求,询问将被当地安全官员或其他指定人员进行,以确定原因和事件和对罪犯的行政或纪律处分的适当性的影响。