安全和情报
监督审计
保护机密文件
国务院总部
SIO / a - 99 - 461999年9月
重要的通知
根据《信息自由法》,本报告已经过编辑,以供公开发布。根据5 U.S.C. 522(b)(2), (b)(6)进行了修订
安全和情报监督办公室
保护机密文件
国务院总部
执行概要
这次审计的结论是,项目已经到位,以评估个人的可信度和需要处理机密信息。同样地,还采取了实际和程序上的保障措施,以保护信息不被未经授权地泄露给那些没有必要访问国家安全信息,特别是与情报有关的材料的个人。然而,安全意识和防止未经授权的泄密的控制水平可以大大提高。具体地说:
与情报报告有关的高度机密文件没有按照政府规定加以保护。大多数办公室从未接受过检查,也没有资格处理此类文件。相当多的外国国民可以在无人陪同的情况下进入司法部。[(b) (2 )----------------------- ]
- 对员工采取的管理措施并不能确保不良的安全措施得到纠正。单位保安人员对保安要求不了解,也没有权力执行保安要求。
部门评论
OIG员工提供了向DS和智力和研究局(INR)的报告草案的副本,并与每个局的官员单独举行会议。DS官员审查了本报告的草案,并同意了调查结果和建议。主管局初级关注的是,为了实施建议,DS必须正式被指定为情报信息安全的安全办公室,DS需要额外的资金。
印度内政部官员说,该局同意调查结果,即安全政策没有得到充分执行。INR管理层不同意将DS指定为SCI保护的认知安全办公室的建议。INR对一些安全指令也有不同的解释,认为某些办公室不需要完全认证来讨论和处理SCI。INR还认为,OIG夸大了SCI被错误处理的程度。INR的书面评论见附录a。OIG的回应见报告的相关章节。
安全和情报监督办公室
保护机密文件
国务院总部
表的内容
目标、范围和方法
2背景
3结论和建议
-
A.部门对DCI指令保护SCI文件的遵守情况
B.陪同访客及合约雇员
C.身份证系统
D.安全事故计划
E.部队安全官员计划
附录a:部门意见
这项审计是由监察长办公室(OIG)发起的,以回应1999财年情报授权法案,该法案要求监察长办公室“……对国务院总部处理机密信息的政策和程序进行审查,并向国会相关委员会提交一份报告,其中包括任何必要的改进建议....”。由于几起高度机密信息下落不明的报道,国会要求进行审计。据报道,在1998年2月的一次事件中,一个穿着花呢外套的人从秘书室拿走了机密文件。这起“花呢大衣”事件的当事人身份尚未确定。
根据这项立法要求,监察组确定了下列可报告的问题:金博宝正规网址
1.是否以符合政府规定的方式处理、传播和储存机密信息,并将未经授权泄露的可能性降至最低?
2.国家的主要出入控制和护送程序是否足以保护机密信息?
审计现场工作于1998年8月10日至1999年4月30日在华盛顿特区进行,由秘书办公室(S)和情报与研究(INR)、外交安全(DS)、欧洲事务(EUR)、南亚事务(SA)、近东事务(NEA)和人事(M/DGP)局进行。
在评估保护课程信息的政策和程序时,审计专注于通过审查INR文件控制程序和六个总部办事处的程序示例来评估所有分类文件的处理程序,审核符合敏感的舱室信息(SCI)。审计侧重于处理硬拷贝文档,并未解决与电子数据传输和存储相关的可能漏洞。
OIG采访了DS负责安全事件程序、访问控制、警卫部队和调查的官员;INR安全人员负责SCI安全;以及其他INR情报分析员、文件控制官员和高级管理人员。OIG监督文件分发和访问控制程序。
审核组审核了所有相关部门法规和中央情报总监指令(DCIDs)文件保护,审核了部门对这些指令的遵守情况,检查安全意识简报和其他指导方法,以评估其在激励员工保护机密信息方面的有效性。审计小组还向已获批准的部门员工提交了调查问卷,征求他们对部门保护机密信息的程序和对这些程序的态度的意见。
该团队采访了联邦调查局(联邦调查局)负责调查违反议题和未经授权披露的分类信息,中央情报局(CIA)官员负责颁布促销政府的智力社区标准,以保护SCI和认证的SCI设施(SCIFS)。
审计人员通过采访负责官员、审查工作要求说明和实际履行的职责,比较了DS、INR和职能局之间的安全级别,并评估了保护机密文件的责任划分。由James Martino(审计经理)、Thomas Boots、Stephanie Hwang、Mary Siatis按照公认的审计标准进行了审计。
美国国务院每天在海外邮局和州政府总部大楼处理、处理和储存数千份机密文件。无数次的会议都是在讨论机密信息的地方举行的。收集、分析和传播信息是国务院执行美国外交政策的核心任务。这些信息通常包括国家安全问题,如情报信息、与双边和多边关系有关的敏感问题,以及其他国家安全问题。金博宝正规网址信息通过各种媒介传播,包括电子邮件、计算机系统、硬拷贝、电话、传真机和会议。
无论传播这种资料的手段是什么,重要的是只限于有适当安全许可的经授权的人员,并向他们充分介绍如何保护这种资料。无意中或有意地泄露机密信息,尤其是高度机密的情报信息,可能会导致:
- 美国决策者和军事规划者失去了重要的信息来源;
- 对消息来源或其他个人的逮捕、酷刑或死亡;
- 在数据收集方法的研究和开发上的巨额经费浪费;和
- 严重损害政府与其他政府的关系。
部门规章要求每个局的执行主任确保指定一名主要单位保安员。USO的职责是确保机密信息按照规定处理,并与办公室工作人员合作,确保所有员工都了解安全要求和程序。根据规定,保护机密信息的最终责任在于每个组织单位的主管。《外交事务手册》(FAM)还指出,“每一位接触和/或拥有机密材料的员工都有责任维护这些材料的安全。”
调查小组认识到,在负责收集和保护情报信息的人和必须利用这些信息制定和实施外交政策的人之间,存在一种不可避免的紧张关系。
本报告描述了部门保护机密信息的政策和程序。以及安全措施在防止机密信息未经授权泄露方面的有效程度。
这个部门基本上不符合管理SCI处理的DCID。inr的助理秘书1是部门的高级官员的情报社区(SOIC) (1 FAM 431),因此被要求监督部门的努力,以保护SCI,并确保SCI按照dcid处理。不符合dcid的主要原因是INR的主要任务不是安全,它没有资源来满足其获取、分析、传播和保护SCI信息的多重责任。另一方面,根据1986年《综合外交安全和反恐怖主义法》(公法99-399)的规定,国防部长有责任为国防部在国外和国内提供安全保障,其中包括对最高机密级别的机密信息的保护。在INR和DS之间划分SCI和分类信息的保护责任是不有效的。因此,SCI经常在没有充分保护或负责任控制的情况下进行处理。
-
1国家安全法(公式80-253)包括INR作为情报界的一部分。
INR是SCI的接收者和控制者,也是某些特殊访问程序的管理者。作为部门的SOIC, INR的助理部长负责实施dcid,包括覆盖SCI保护的dcid(行政命令[E.O.]1981年12月4日,12333)。出于SCI保护和DCID实施的目的,SOIC被认为相当于一个认知安全机构的负责人。DCIDs 1/14、1/19和1/21为保护SCI建立了许多物理和程序安全要求,所有情报机构都必须遵守这些要求。实现DCID安全需求的责任在于SOIC的INR安全部门。对于部门员工,INR要求DS审查员工的安全文件,以确定符合SCI访问标准的资格;INR授予或拒绝SCI访问,并提供安全意识简报。INR可以授予SCI访问豁免权。中央情报总监(DCI)通过DCID 1/19授予SOIC权力“将执行适当的DCID中规定的政策和程序的责任下放……交予保安监察办事处”(DCID 1/19)。换句话说,SOIC可以在INR中建立一个安全单元,或者将该责任委托给另一个实体,例如DS。
正如INR 1999-2000财政年度计划计划声明所反映的那样,该局的主要任务是获取、分析和传播情报。INR将为国务卿提供四项核心服务;新闻部高级决策者和特派团团长;在某种程度上,DCI:
- 通过保持24小时的监视提供当前的情报和警告。
- 通过书面和口头简报,提供独立的、全来源的分析秘书的早晨情报摘要一年中的每一天。
- 协助部门和任务主管协调边境安全等情报活动,与情报界协调收集活动,并在反间谍、秘密行动、执法和其他敏感问题上发展部门的职位。金博宝正规网址
- 在预算和资源问题等政策论坛上代表部门利益支持部长和情报总监,并就情报改革、外交支持和情报政策向部长和情报总监提供建议。金博宝正规网址
DS 1999-2000财政年度计划计划声明指出,该局的主要任务是通过承诺保护生命、信息和财产,为处理外交事务提供一个安全的工作环境。任务包括:
- 国内外设施的身体和技术保护。
- 保护国务卿和其他高级政府官员、来访的外国政要和外国驻美国使团。
- 国际旅行证件、敏感信息和管理信息系统的完整性。
- 刑事、反情报和人事安全调查。
部门符合DCID要求
本部门不按照DCID要求保护SCI信息。具体来说,SCI文件经常被引入到没有被认可处理或讨论SCI的办公室,并不是总是适当地存储,也没有适当地解释。
未经授权的办公室
本部门的大多数办公室,如果SCI是常规阅读和讨论的,则没有按照DCID 1/21的要求进行检查或认证处理SCI。收到、分析和储存SCI的INR办事处已经被检查和认可。[(b) (2 )-------------------------- --------------].如果工作区域不符合DCID标准,则必须由SOIC机构以书面形式批准并通知DCI。安全政策委员会的期望是,当实际措施不够时,应采取补偿程序措施,并应再次强调对适当的安全做法的认识。
本部门拥有39个SCI认证文件,用于SCI信息的存储、处理和电子处理。然而,SCI通常被交付给大约140个其他没有被检查和认可处理SCI的办公室。
SCI材料由INR以邮袋或电子方式从其他情报机构接收。INR使用这种材料生产SCI材料,如秘书的早晨情报摘要.这些产品以邮袋的形式分发给140个部门收件人:INR分析师向94个非授权办事处的部门员工介绍SCI材料,同时保管SCI材料,邮袋被分发给46个非授权办事处,并在INR下班后返还。返回后,邮袋将由INR人员“剥离”,SCI材料将被销毁或储存在INR scif的保险箱中。
在将SCI引入非认证办公室之前,安全人员需要对办公空间进行检查,以确定物理或程序控制是否符合DCID标准。如果不符合这些标准,就必须寻求豁免。DCID还要求安全监督机构定期检查认可的办事处,监督安全控制。
INR已经发出信函,授权140个办公室中的33个(未经过检查和正式认证)作为临时安全工作区(TSWAs)接收,但不存储SCI。发出这些信件是为了提醒员工“……在工作日结束时,邮袋必须连同所有内容以印度卢比(INR)退还。”DCID 1/21规定TSWAs可以被指定为每月40小时,最长6个月。多年来,在没有适当豁免的情况下,INR允许SCI进入这些TSWAs。TSWA的指定是针对特殊情况和短暂时间,而不是针对日常业务。
负责处理和讨论SCI的140个办公室没有接受技术监视对策检查。这些检查的目的是确定窃听装置是否被秘密地引入。DCID 1/21(3.2.2)规定,这些检查可由认可的安全当局酌情决定。所有在这些办公室工作的人员都应该被清除到SCI级别,如果没有,应该对未清除的员工进行监控。[(b) (2 )------------------------------------------------------------------------------------ ---------------------------------------------------------------------------------------------------------------------- --------------------------------------------------------]
SCI未正确存储
一些SCI文件由INR在工作时间分发给部门办公室,按照DCID 1/21的要求,在下班后未归还scif存储。根据安全政策委员会设施保护工作组主席的说法,在任何情况下,办公室都不应该被允许在SCIF之外过夜存储SCI材料。
OIG审查了由国家安全局(NSA)密码学支持组维护的最高秘密SCI文件的记录2联络处主要状态,(b) (2 )---------- ------------------------------------------- ------] 从8月19日,1998年,和1998年10月19日。这一审查显示,在这一期间交付的1890份文件中,有239份(12.6%)没有归还给密码支持小组SCIF。对INR安全办公室记录的审查显示,在SCIF外数小时后发现了SCI材料和含有SCI的袋子,这些袋子被送到了非认可的办公室,并没有在下班时归还INR。INR手表办公室人员还列举了一些装有SCI材料的袋子在数小时后没有归还给INR手表办公室SCIF的例子。
-
2美国国家安全局有一个系统来跟踪某些交付给部门的文件,而部门并不跟踪它收到的SCI文件。
SCI没有占
按照DCID 1/19第6.10节的要求,INR不跟踪分发到非授权办公室的SCI文件。要求负责人员以这种方式获得SCI的签名收据,并确保使用条件将提供足够的安全性,直到SCI被归还给SCIF。
每天,估计有3500页SCI分发给46个非授权办事处。虽然由INR手表组装的邮袋的标准分发清单表明收件人应收到什么材料,但并没有实际交付什么材料或材料是否已退回的记录。[(b) (2 )------------------------------------------------------------------ ---------------------------------------------------------------------------------------------------------------------- ---------------------------------------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------- ---------------------------------------------------------------------------------------------------------------------- ----]
INR的主要任务和安全责任
INR的主要任务是为秘书、七楼校长和高级政策人员进行分析和研究。为了在传播信息和确保遵循适当的安全做法之间取得平衡,INR管理部门把及时和有效地分发信息列为高度优先事项。
INR安全办公室的主要安全功能是授予和跟踪SCI许可,进行SCI意识简报,调查SCI安全事件。INR安全办公室没有提供DCID 1/19要求的SCI处理的日常管理,如确保SCI被适当控制、跟踪、传输、包装、保护和销毁。
INR和DS人员意识到对机密材料的不当处理。部门的高级官员需要及时审查当前的情报信息,有时需要严格遵守安全要求。基于OIG对部门官员的采访和对员工问卷的回答,SCI用户普遍认为Main State的安全措施足以阻止恶意获取信息的企图。
INR并没有有效地履行对SCI的保护责任。INR的主要任务是分析并向国务院官员分发情报,以支持美国的外交政策。第二个问题是确保信息按照安全法规处理。在OIG看来,INR并不适合监督SCI安全的日常管理。在一定程度上,有效分发SCI的愿望与适当保护信息的需要是冲突的。DS的主要功能是确保人员和信息得到适当的保护,这在12 FAM 512中已经明确确立。国防情报局拥有一批训练有素的安全专业人员,他们了解保护机密材料的物理和程序程序,并负责监督部门保护机密信息直至绝密级别的程序。保护SCI的责任应委托给DS。
建议
调查小组建议情报和研究助理部长:
-
1.指定DS为SCI保护认定安全办公室。(动作:INR)
-
2.检查和授权所有处理SCI的办公室,并进行所有物理和程序上的安全增强以保障SCI。对DCI的任何弃权都应正式转交给DCI。(动作:DS)
3.执行相关程序,确保SCI文件每晚都能返回scif。(动作:DS)
4.对从scif中删除的SCI文件建立符合DCID 1/19的控制。(动作:DS)
INR表示,如果在向部门官员通报工作区域的情况时,SCI材料仍处于INR官员的持续视觉保护之下,那么DCIDs不要求对这些办公室进行认证。他们还声称,只要在营业结束时将邮袋退还给印度卢比,办事处就可以被认定为TSWAs。OIG与社区管理人员(负责所有机构的DCID发展)讨论了这一点。反情报和安全团队的主席向OIG重申,社区管理人员的政策是,所有引入SCI的办公室都必须获得认证,即使SCI可能只是讨论,而且SCI绝不能被常规允许进入TSWAs全天使用。按照DCID标准,SCI可以在这样的办公室进行处理,每月不超过40小时。twas用于短时间的使用,而不是例行的、持续的工作。临时认证期限最长为6个月。
INR还对OIG的发现提出质疑,即12.6%的NSA分发到[b)(2)-------------]的文件没有归还给CSG。INR说问题的文档返回给[(b) (2 )---------------------------] 每天晚上。OIG没有发现这种假设的基础。[(b)(2)--------------------]的既定程序是在夜间将国安局文件放入他们的邮袋;这些袋子将被运送到[(b)(2)------------------------]�和CSG�,后者将文件放在一个烧包中进行销毁。有关文件没有退还给CSG。INR的立场,即文件返回INR前厅SCIF里面不能确认,因为印度卢比不知道哪些文档没有回到CSG INR没有跟踪这些文件,和(b) (2 )----------------] 不要求返回文档INR前厅。反恐小组负责人告诉OIG的审计员,如果没有归还NSA文件,她就不知道文件的位置;此外,她表示,当部门官员轮换其他任务时,他们会定期向CSG归还可能或可能没有存储在经认证的scif(注:[(b)(2)-------------------------------]中的NSA文件。
陪同访客和合同员工
部门规定,如果访客获准进入大楼,他们可以在无人陪同的情况下四处走动。因此,访客在前往讨论、处理和处理机密信息的区域时是无人陪同的。本署应加强管制这类访客的活动。提出了一项新的游客陪同政策,以建立这样的控制,但没有实施。
[(b) (2 )-------------------------------------------------------------------------------------------------------------- -------------------------------------------------------------------------------------------------------] 部门要求未清偿人员护送地区分类工作正在进行或分类材料存储。[(b) (2 )--------------------------------------------------------------------- ---------------------------------------------------------------------------------------------------------------------- ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------]
标准
该部门的访客政策授权家属,外国官员,会议与会者,其他政府雇员,贵宾,媒体代表和其他私人公民在没有护送的情况下迁移国家部门总部。1995年11月,隶属于管理局局局委员会批准了DS提出的新政策,以便对此类访客进行更大的控制。“新访客护送要求”策略作为部门通知授予“....。。。。。。所有访客除了出现适当照片识别的美国政府机构人员外,应始终陪同。”此后不久撤回该公告以进一步审查。
该部要求未通过安检的人员在保密地区必须得到护送。据DS的一名官员说,雇员有责任确保承包商进入他们的办公室有适当的许可,如果没有,他们必须一直在陪同下进入。
访客不受控制
DS对记录在访客日志上的访客进行了为期四周的调查,结果显示,14%的访客是外国政府官员,22%是美国政府雇员,63%是美国公民或外国公民。据民主党官员说,每天大约有1000人参观国务院大楼,但人数差别很大。OIG对1998年9月8日和29日的访客记录进行了抽查,结果显示,在两天的时间里,共有1726名访客,其中326人(占19%)是外国政府官员。一旦获准参观并获得访客通行证,大多数访客就会在无人陪同的情况下在大楼里走来走去。
对于参加会议或参观的访客和来访的部门员工,访客使用书面的预准入表,即可获得预许可。员工向部门前台提供完整的“预准入授权表”,列出访客的信息,包括姓名、出生日期、公民身份和赞助人姓名。来访者向接待员出示身份证件,接待员会根据所提交的表格核对来访者的姓名。访客在访客记录上登记,发给访客徽章,并获准进入大楼。访客在事先未向前台确认身份的情况下,可以在给访客目的地打过电话后进入,或者如果访客与拥有陪同权的部门员工一起进入。访客出示接待员身份证件,在访客记录上签名,领取访客徽章,然后进入大楼。
出于礼节,一些贵宾和达官贵人会被护送。其他人则在无人护送的情况下前往预定目的地。几个小时后获准入境的游客由警卫或其他有护送权的人护送到目的地。在离开大楼时,游客需要将访客徽章归还给位于大楼四个入口之一的警卫。
护送维护和维修人员和克劳力
[(b) (2 )-------------------------------------------------------------------------------------------------------------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------------------------------------------------------------------------------------------- ------------------------------------------------------------------]
根据DS的说法,大约有350个承包商,其中绝大多数尚未被批准。例如,一份设备维护合同提供了35名员工,但只有9名员工有许可;一项保管服务合同提供大约100名雇员,其中15人有许可证。
[(b) (2 )--------------------------------------------------------------------------------------------------- ---------- ---------------------------------------------------------------------------------------------------------------------- -----------------------------------]
护送是繁重的
国务院允许在美因州的无人护送行动,是因为他们期望这些人一旦到达指定的目的地,经过安检的美国雇员将护送他们进入敏感区域,而这些雇员的护送人员将勤勉地监视他们的行踪。该部门官员认为,要求所有未通过安检的访客必须在大楼内全程陪同,这太麻烦了。
无护送访问是一个安全漏洞
参观者被联无资可证进入该部门,[(b)(2)-------------------------- -----------------------------------------------------------------------------------------------------------------------------------------------]最近的联邦调查局报告称,怀疑的外国情报人员被授予了无标志性的访问。允许国内外联网访问的政策对听力设备,盗窃文献或放纵讨论进行了暗中种植的严重安全漏洞。
建议
调查团建议主管管理的副部长:
-
5.执行访客护送政策,即任何未经美国政府安全许可的访客在本州设施内都要一直被护送。(动作:M]
6.[(b) (2 )-------------------------------------------------------------------------------------------- ----------------------------------------------------------]
自“花呢大衣”事件发生后,部门员工胸牌制度有所改进,但仍需进一步改进。本部门目前的系统不符合DCID对SCIF访问控制的要求,使得未经授权的访问大楼和机密工作区域成为可能。
标准
在为主州选择新的徽章读取系统时,部门要求符合UL (Underwriters Laboratories)代码。该系统将信息存储在多个服务器上,以确保冗余,以便读卡器可以连续读取和记录谁进入和离开大楼。该系统可编程读取徽章过期日期,并拒绝访问过期徽章。
此外,本署亦致力为其自动徽章系统提供“智能卡”功能。智能卡(政府提倡在政府范围内使用)包含计算机芯片,除了建筑访问外,还可以用于广泛的功能,包括旅行、文字处理、购买和医疗信息。
DCID 1/21要求SCIF的自动门禁系统必须识别个人并认证此人的准入许可。身份验证可以通过使用个人识别号码(pin)和编码徽章,或通过个人身份验证,即生物识别,通过一些独特的特征来识别个人,如手的几何形状、指纹和“声音指纹”。
部门徽章系统
本部门向所有需要进入本部门设施金博宝正规网址的员工发放证件。从1999年4月开始,使用Monitor Dynamics, Inc. (MDI)系统的新读卡器在整个州安装,取代了旧的“Cardkey”系统。MDI系统显著提高了“粗花呢外套”事件发生时的徽章系统的可靠性。MDI为该部门提供了实施智能卡和生物识别读卡器的能力。
[(b) (2 )-------------------------------------------------------------------------------------------------------------- ------------------------------------------------------------------------------------------------------------------------------- -]
部门依靠这个徽章对scif和分类工作区域进行访问控制。对于本部门的SCIF区域,DCID 1/21要求使用徽章系统来验证个人身份,除非SCIF入口在工作时间内一直处于目视控制之下。[(b) (2 )------------------------------- ------------------------------------------------------------------------------ ------------- ------------------------------------]
DS官员表示,生物识别技术将在需要更严格的访问控制的领域发挥作用,如scif、TSWAs、分类和开放存储区域,并且DS已经成功地测试了手部几何结构。DS建议为印度研究所的一些办事处安装这样一个系统,并向印度研究所提交了一份成本概算。印度卢比尚未对他们的提议作出回应。
本部门的徽章制度虽有所改进,但仍有不足之处。智能卡和生物识别技术的应用还没有得到充分的研究。[(b) (2 )---------------------- ---------------------------------------------------------------------------------------------------------------------- ---------------------------------------------------------------------------------------------------------------------- -----------] 在主要的机密材料分散州警,未经授权进入敏感区域的可能性非常高需要加强控制。
建议
调查小组建议主管外交安全的助理国务卿:
-
7.在scif和其他入口不受持续视觉控制的敏感办公室安装生物识别门禁。(动作:DS)
安全事故程序旨在识别不恰当的安全程序,并教育员工如何正确保护机密信息。3.从1995年到1998年的4年间,有53起案件因未经授权泄露机密信息而提交给联邦调查局;1998年,缅因州发生了1 673起保安事件。当没有遵守INR的SCI处理程序时,没有发布违规;INR的做法是检索处理不当的文件,并向员工介绍正确的安全程序。国防司为部队安全官员提供了安全简报,并发起了一次城镇会议,讨论雇员安全责任。然而,员工的安全意识和对正确处理机密材料的关注很低,这是因为意识培训不够充分,并且采取行政措施阻止机密信息的不当处理没有效果。因此,机密信息很容易被有意或无意的泄露。
-
3.安全事故是指未能按照规定保护机密材料,可以是违反或违反。当信息没有得到适当的保护,但没有导致实际的或可能的材料的危害时,就会发生违规。当未能保护信息可能导致实际或可能的材料泄露时,就会发生违规。1998年,Main州发生了4起违规事件,1673起违规事件。
作为国务院的SOIC,负责INR的助理国务卿负责确保dcid(管理访问SCI材料的资格)得到遵守,并符合国家安全利益。这一责任包括保证在需要知道的基础上控制和保护情报信息。INR安全官员负责确保情报信息在部门内得到适当保护。
DS�助理秘书司司长监督部门股权信息安全计划包括:
- 防止机密信息(包括情报信息)未经授权泄露,
- 并建立安全意识计划,教育员工按照E.O. 12958的要求履行其职责和责任。
保安人员进行下班后的安全检查,并发布安全事故报告。ReportsReports安全事件被转发给DS进行裁决。纪律处分可包括:
- 警告信;
- 申斥信;
- 暂停无薪;或
- 解雇。
安全事件计划
尽管有安全事件计划,但仍有一些未经授权的泄密事件被国务院提交给联邦调查局,可能会受到刑事起诉,而且还有多次违反安全规定的人。一九九八年,海上保安及合约警卫共发出1,673宗保安事故,主要属“机密”及“机密”级别。有6起事故报告涉及SCI材料。4
-
4由于部门预算有限,一段时间内没有进行合同警卫和海上警卫的下班后保安检查。然而,作为对GAO报告的回应,下班后的安全检查重新开始。
-
51995年情报授权法案第811条(美国法典402a第50条)和第603条(美国法典533第28条),要求执行机构或部门向联邦调查局报告所有迹象,表明机密信息正在或可能以未经授权的方式泄露给外国政府或其特工。
- 美国国家安全局的SCI文件多次被退回scif。
- (b) ---------------]邮袋被退回,却没有一份高度机密的文件。
- [(b)(2)---]袋在一天结束时没有被归还。
- [(b) (2 )----------------------------------------------] 整个周末袋没有回到印度卢比。当邮袋被归还给印度卢比时,它是空的。
- [(b) (2 )-----------------------------------------------------------------------------------------] 袋是开放的关键时候回到INR看办公室。
程序有效性
由于员工缺乏安全意识和行政纪律措施没有起到足够的威慑作用,安全事件计划没有效果。
许多因安全事件被引用的员工表示,他们不了解处理和保护机密材料的程序。uso并没有加强保护机密材料的必要性。此外,DS官员报告说,近年来,该部门向员工通报所需安全措施的预算已经大幅减少。
一般来说,只有在18个月内发生4起保安事故,本署才会考虑对雇员采取行动。如发生严重事故,不论在18个月内发生了多少宗事故,本署均可采取纪律行动。第四次事件发生后,DS的副助理秘书向该员工发送了一封安全警告信。所有随后发生的事件将提交M/DGP进行行政处理。违反者可能会收到训诫信,被无薪停职或开除。在截至一九九八年九月的十八个月期间,共有218名本地及海外雇员发生4起或以上保安事故。OIG审查了218起案件中的40起;其中,6人被停职1 ~ 6天,10人受到训诫,16人受到警告,8人未受到处分。218名员工无一被解雇。
安全事故程序对员工访问SCI的许可几乎没有影响。自1998年8月以来,DS在18个月的时间里向INR安全人员转发了具有SCI访问和4次或更多安全事件的员工姓名,以可能撤销SCI访问。INR决定,这些员工将失去SCI访问权,直到他们收到安全简报,之后他们的访问权将被恢复,从而允许重复违反者重新获得SCI访问权。
包括SCI在内的部门机密信息容易被泄露。
建议
调查团建议人事总干事:
-
8.加强对发生保安事故的员工的纪律处分。(动作:米/文章)
-
9.增加对员工的安全简报和相关培训的频率。(动作:DS)
E单位安全官员程序
许多股保安干事没有履行其职责,按照该部条例规定的程序保护分配给其组织的机密材料。由于许多USO没有充分了解他们的安全责任,所以USO的责任没有得到履行。此外,uso不认为这些义务是主要责任。uso通常认为他们没有权力执行安全程序。
标准
USO计划要求12个FAM 500以下。局执行主任负责确保局指定了主要的uso。每个USO都应该保持一个积极的培训和入职计划,以告知员工他们遵守安全法规的责任。主管或uso应在保安人员进行检查之前进行安全检查,以确保机密材料已妥善存放,容器已上锁。为了满足这一要求,主管必须指定员工每周进行下班后的安全检查。
DS发布的《单位保安员手册》描述了USO的职责,包括但不限于:
- 介绍新员工。
- 确保员工能够正确地获取他们需要访问的信息。
- 分配护送。
- 管理保密及敏感资料的保安措施,包括:
- 提供开启及关闭保安货柜的指引,
- 确保由主管指派的关门检查人员,
- 保护组合,并确保按要求更换锁组合
- 建立适当的传播、繁殖和破坏程序。
- 提供开启及关闭保安货柜的指引,
- 处理安全事故。
- 根据需要进行内部安全审查和其他职责以保护敏感和分类信息。
uso通常没有(1)建立内部安全程序,如正式的下班后检查系统,(2)进行内部安全审查,或(3)向员工例行介绍安全规定。在23家办公室中,有21家无法保证在下班后进行了检查,或机密文件被妥善保存。在23名接受采访的uso中,17名没有进行内部安全审查。下表总结了USO的计划。
许多USO不知道自己的角色和责任,例如管理安全措施以保护机密和敏感信息,因为没有主管向他们强调USO的责任。此外,许多uso没有接受有关部门安全条例的培训和指导。一名劳军联合组织要求培训,但被告知不存在这种培训。一位USO告诉OIG“DS应该记住这(处理安全事件)不是我们的主要责任....”另一些人认为,他们没有被授权与同行或更高级的人员执行安全程序。
就“花呢大衣”事件,局长指派一名全职高级保安主任至执行秘书处职员秘书办公室,负责:
- 作为安全官员和协调所有安全问题和行动,金博宝正规网址
- 为所有员工策划和实施全面的安全简报,
- 监督uso和最高机密库存控制官员的安全职责,
- 根据需要对安全事件和事件进行调查
- 确保遵守12 FAM和E.O. 12958的外交安全服务的安全惯例和规则。
建议
调查团建议外交安全助理部长:
-
10.指派DS保安人员到总部各区域局担任保安顾问,建立并监督内部办公室保安程序。(动作:DS)
11.确保所有uso接受定期培训。(动作:DS)
的缩写列表
中央情报局中央情报局局长中央情报局局长指令外交安全局行政命令欧洲和加拿大事务局外交事务手册联邦调查局联邦调查局情报和研究局人事局监测动态,Inc .)NEA近东事务国家安全局局国家安全局OIG监察长办公室销个人识别号码年代部长办公室SA南亚事务局SCI敏感分割信息SCIF敏感隔离设施SOIC情报界S / S办公室的高级官员Secretary, Executive Secretariat Staff SSCI Senate Select Committee on Intelligence TSWA Temporary Secure Working Area UL Underwriters Laboratories USO Unit security officer
