美国农业部
20250年华盛顿特区。

部门监管 数量:3440-002.
主题:
控制及保护“敏感保安资料”		 日期:2003年1月30日
OPI:
采购和财产管理厅人事和文件保安司

目录

1

2

3.

4

5

6

7

8

9

10.

11.

12.

13.

14.

15

16

17

附录A

目的

特殊指令

政策

参考

背景

定义

缩写

责任

信息自由法

识别和标记

保管和储存

传播和传播

记录处理

SSI保护的持续时间

承包商人员

保护信息技术(it)资产

其他部门的资料

2001年10月12日的备忘录备忘录

  1. 目的
    该法规为美国农业部(USDA)确定非机密但敏感信息并防止其未经授权使用或泄露确立了程序。该法规包括最低保护要求,包括将非机密但敏感的信息识别为“敏感安全信息”,并建议在信息的敏感性需要时应用额外的安全措施。

  2. 特殊指令
    本规定适用于美国农业部的所有组织要素。

  3. 政策
    美国农业部的政策是在其控制范围内保护非机密但敏感的安全信息。根据法律、法规和法院裁决,美国农业部将不发布不适合公开的敏感信息。

    值得注意的是,根据总统67 FR 61465(2002年9月26日)的命令,农业部长最初被授权将信息归类为“机密”。因此,如果美国农业部发出了它认为应该分类的文件,部门管理(DA)应该尽快通知。

    信息不得被指定为敏感安全信息(SSI),以掩盖违法行为;效率低下;管理错误;防止对个人、组织、部门或机构造成尴尬;或限制竞争。

  4. 参考
    1987年计算机安全法案,P.L. No. 1000-235, 101 Stat. 1724 (1988)
    管理和预算办公室通告A-130,联邦信息资源管理,附录III,联邦自动化信息资源的安全
    《信息自由法》,5 USC€552 (2000)
    第12958号行政命令,国家安全机密信息,1995年4月12日
    美国司法部长就《信息自由法》给所有联邦部门和机构负责人的备忘录(2001年10月12日)
    DM 3440-001分类、解密和保护机密信息,
    DR 3440-001分类、解密和保护机密信息。
    DR 3450-002《信息自由法实施条例》。
    DR 3040-001电子记录管理计划。
    DR 3060-1美国农业部通信管理条例,第17节,限制信息处理。
    DR 3080-1记录处置。

  5. 背景
    现在有必要为所有组织要素建立正式的指导方针,概述识别、保护、使用和维护被认为是敏感安全信息的非机密信息的处置程序,如与威胁、漏洞、以及对美国农业部设施的国土安全和人身安全的风险。

  6. 定义

    1. 关键基础设施意味着基于物理和网络的系统,资产(包括无论是纸上的信息,电子方式或使用其他方式),以及美国政府或经济的服务或其经济,包括但不是仅限于,系统,设施和库存所需的必要产品和服务,如电信(包括语音和数据传输和互联网),电力,天然气和储油,运输,银行和银行和金融,公共卫生(包括生物,化学,放射性和其他危险材料),供水,废水,应急服务(包括医疗,火灾和警察服务)以及政府运营的连续性;
    2. 敏感的安全信息意味着非保密信息的敏感性,可以预期,如果公开披露产生有害影响联邦的安全操作或资产,公共健康或安全的美国公民或居民,或国家的长期经济繁荣;描述、讨论或反映:
      1. 美国关键基础设施的任何要素抵御物理或基于计算机的攻击或其他违反联邦、州或地方法律的类似行为的入侵、干扰、妥协、盗窃或丧失能力的能力;损害了美国的州际和国际贸易;威胁公众健康和安全的;
      2. 对美国关键基础设施的任何要素的安全漏洞当前可行的评估、预测或估计,具体包括但不限于漏洞评估、安全测试、风险评估、风险管理规划或风险审计;
      3. 美国任何关键基础设施的安全问题或解决方案,具体包括但不限于任何设施的维修、恢复、重新设计、重建、搬迁、保险和运营的连续性;
      4. 以下类别仅作为可能被归类为SSI的信息类型(无论格式如何)的示例提供说明:
        1. 美国农业部实验室、研究中心、现场设施等的物理安全状况,可能也包含漏洞;
        2. 有关上述美国农业部设施的物理安全信息的调查和分析材料;
        3. 可能导致个人身体风险的信息;
        4. 可能对关键设施和/或基础设施造成严重破坏的信息;
        5. 网络安全信息,包括但不限于
          1. 网络图纸或平面图
          2. 程序和系统安全计划
          3. 关键和敏感信息技术(IT)系统和应用
          4. 资本计划和投资控制数据(I-TIPS)
          5. IT配置管理数据和库
          6. 它限制空间(图纸,计划和设备规格以及实际空间)
          7. 事件和漏洞报告ReportsReports
          8. 风险评估报告,检查表,可信设施手ReportsReports册和安全用户指南
          9. 网络安全政策指导和手动章节
    3. “需要知道的信息”指的是由SSI的授权持有人确定,未来的接收者为了执行或协助合法和授权的政府职能而需要访问该SSI。

  7. 缩写
    DA��部门管理
    信息自由法案
    这��信息技术
    OCIO——首席信息官办公室
    总法律顾问办公室
    监察长办公室(office of Inspector General)
    PA��隐私的行为
    SSI��敏感的安全信息

  8. 责任
    1. 在部长和助理、机构管理者、区域主任、办公室主任和外地机构负责人(以下简称部门组织)的领导下,将负责识别和指定需要保护SSI的信息。
    2. 部门机构首长会:
      1. 指定信息的类别或类型,这些类别或类型来源于其组织,或准备用于其组织,并被指定为SSI。如果部门组织负责人认定该信息不再符合所提供的定义,则可从《信息自由法》要求的信息中删除SSI标签。如果信息的敏感性需要超过本命令规定的最低级别的保护,部门组织负责人应确保所有保管信息的办公室知道并遵守该标准。所有发起SSI的部门组织都有责任按照dr3080 -01“记录处理”的规定进行评审。
      2. 确定哪些下级官员有权决定哪些源自他们监督或认可的信息需要保护,以防止未经授权的泄露。被指定的官员负责确保在他们指导下的人员知道被认为是SSI的信息。
    3. 各机构和工作人员办事处将:
      1. 如果需要,会发出指令,建立用于在其组织内识别SSI责任的标准。所有指令都将在最终确定和批准之前先前批准。
      2. 确保实施足够的安全措施和程序来保护SSI。
      3. 确保其组织的员工意识到他们保护SSI的责任。
      4. 进行风险分析和决心,以确定潜在威胁和适当的漏洞在监护权中对SSI进行潜在威胁和适当的漏洞。
      5. 确定在其监管下SSI的丢失、误用或未经授权访问或修改所造成的潜在危害。
      6. 确定适当的信息并将其指定为SSI。
      7. 确保对负责未经授权披露SSI的人员采取迅速和适当的纪律处分。
    4. 部门的政府将:
      监控并确保遵守本DR,并提供关于识别和保护SSI的指导。
    5. 首席信息官办公室将:
      1. 建立记录管理处理政策和程序,确保指定为SSI的记录按照USDA和Agency记录控制时间表进行维护和处理。
      2. 与DA的合作伙伴以确保明智的使用是在联系人,安全意识培训和紧急程序的安全点。
      3. 建立美国农业部的IT系统保护政策和标准。系统保护功能包括加密,网络安全产品,计算系统的可靠性和安全性和物理障碍。OCIO将进行合规审查,以确保遵循政策和标准。
      4. 在严重中断后,建立重建和恢复关键信息技术基础设施的战略和程序。OCIO将建立恢复服务的方案,包括风险管理和后果管理分析研究和工具,系统生存能力技术,备用和恢复能力,以及冷/热点策略和要求。
    6. 总法律顾问办公室将:
      在回应任何最初的《信息自由法》请求、《隐私法》(PA)请求或任何其他涉及SSI的记录请求之前,提供同意。当《信息自由法》或《信息自由法》的上诉被拒绝时,各机构和工作人员办公室应继续遵守7 C.F.R. 1.14关于获得OGC同意的规定,但就涉及SSI的任何行政上诉,无论是否被批准,也应获得OGC同意。

  9. 信息自由法令请求
    关于访问SSI的信息自由请求应按照第8f节的规定进行处理,并按照美国农业部法规和司法部2001年10月12日的信息自由备忘录进行处理,同时考虑所有适用的信息自由自由豁免,包括以下一项或多项:
    1. 可能适用于SSI的《信息自由法》豁免:
      1. 对于与美国农业部业务或资产有关的SSI,应考虑《信息自由法豁免2》;
      2. 对于目前由自愿提交给美国农业部的私营部门或行业信息组成的通常受提交人保护的SSI,应考虑《信息自由法》豁免4;
      3. 对于任何被联邦法规禁止披露的SSI,应考虑《信息自由法豁免3》;和
      4. 对于任何由为执法目的而编制的信息组成的SSI,应考虑《信息自由法》豁免7。

  10. 识别和标记
    如果美国农业部的材料中含有美国农业部组织负责人确定需要防止未经授权泄露的信息,则必须以明显的方式标记如下通知:“敏感安全信息-仅在需要知道的基础上传播。”确定策略性污水污染指数的方法如下:
    1. 在封面底部(如有)、扉页(如有)、首页及封底外侧(如有)标记SSI公告;
    2. 在包含SSI的文件的每一页的顶部和底部标记SSI通知;
    3. 含有“SSI”的段落开头的个别部分标记,应当使用缩写“SSI”;
    4. 在封面备忘录中注明;
    5. 没有附加的分类信息但是确实具有SSI附件的传输文档应具有声明“敏感的安全信息附件 - 仅需要依次传播”;
    6. 包含SSI的电子传输信息或数据,应在文本开头加上“敏感安全信息-仅在需要知道的基础上传播”的术语;
    7. 包含在组织指令中被确定为SSI使用的类别中,并为处理该信息的所有人员所知;
    8. USDA外部分布的所有文档应在所有页面上进行标记:
      “本文件包含可能免于FOIA下强制披露的信息。豁免______申请。”,和
    9. 任何经DA授权的其他方法。

    识别SSI的目的是确保材料的所有接收者都知道信息需要保护,并应仅在需要知道的基础上传播。所选择的识别方法应该对组织的运作效率产生最小的影响。


  11. 保管和储存
    1. 被指定为SSI的材料监护的员工应当谨慎行使,以确保信息不适用于该信息。在最低限度的情况下,不能证明“需要的”的个人必须无法进入未经审查或未观察的区域,并可以视觉访问SSI。
    2. 在非占用时间期间,应在锁定的桌面或文件柜中的最低限度保护SSI,或使用能够提供足够保护的物理访问控制措施的设施或区域存储,以防止未经授权的访问。一些SSI材料的灵敏度可能需要更高水平的保护,例如具有组合锁的安全性。
    3. 由IT设施存储和处理的SSI有足够的物理,行政和技术保障。

  12. 传播和传播
    1. 作为SSI所识别的信息已被识别,并以SSI向未经授权的个人保障,以便在物理上标记。免于披露的保障包括对口头披露的预防措施,防止可视访问信息和防止材料的预防措施到未经授权的人员。
    2. 离开原发机构控制的SSI必须在一个棕色信封或适当密封和地址的包装中发送。
    3. SSI可以通过任何形式的商业运输或美国邮政服务方法传输。
    4. SSI可以在电话上讨论;然而,电话窃听的便捷性决定了在存在窃听威胁的情况下应酌情处理。在后一种情况下,应该考虑使用语音隐私设备或安全电话。
    5. 不应通过不安全的寻呼机、无线设备或电话设备来传输或讨论SSI。这些设备本身并不安全,在使用之前需要额外的加密功能。
    6. SSI可以通过非机密传真机传送。然而,材料的敏感性将决定是否需要更安全的通信传输(安全传真)。在后一种情况下,如果持有人不知道使用哪种方法,DA或OCIO将提供关于通过电话、传真或IT传送的适当方法的指导。
    7. 互联网是不安全的,因此不应该用来传输SSI。保护和充分保护SSI免受非法或不当披露是至关重要的。OCIO将提供有关适当传播方法的指导。
    8. 在部门外分发的SSI应附有一封信,说明该材料将采用与接收机构制定的与SSI类似的规定措施相同的控制措施处理,至少满足我们的安全控制措施(敏感但不保密,仅限于官方使用,仅限于官方使用,等等)。如果没有接收机构在这一级别的内部安全程序,应提供附带有适当控制措施的文件的信函。

  13. 记录处理
    1. 在适当情况下,可将SSI撕成小块,与其他废物一起丢弃。高灵敏度的材料必须用撕碎法销毁。在确定适当的销毁方法时,材料的灵敏度将是一个不可分割的因素。微缩胶片和微缩胶片的小片段是可读的,因此,必须将其破坏成非常小的颗粒或条带。DA应就碎纸机和其他销毁方法的现行安全要求,向所有部门组织提供指导。
    2. 包含SSI数据的IT存储介质在释放之前,需要使用非敏感数据覆盖该存储介质。所有数据存储设备在处置前,应采用经批准的方法,如消磁、覆盖(随机使用6-7次1和0)或完全物理销毁,使其无法读取。OCIO应就正确销毁IT存储媒体的当前IT安全要求,向所有部门组织提供指导。更多指导请参考DR 3040-01。
    3. 携带SSI指定的记录应根据批准的USDA或机构记录控制记录记录的主题内容的记录控制计划处理。如果被指定为SSI的记录需要更长或更短的保留期,则必须联系美国农业部或代理商记录管理人员以获得该纪录的新拨款。

  14. SSI保护的持续时间
    当信息不再符合第6节所确立的标准时,其不应继续作为SSI受到保护。本规定的B项。一般情况下,信息作为SSI的保护期限不应超过10年,除非指定的官员作出新的决定,确定保护期限较长。

  15. 承包商人员
    如果作为合同或赠款的一部分,SSI必须向非政府人员公布,美国农业部组织负责人应与DA一起确定信息的敏感性是否足以要求对处理敏感信息的承包商人员进行调查。采购文件必须包括承包商的背景信息要求和合同的其他安全要求。美国农业部各机构的安全联络点应确定所需调查的范围,范围从适用性确定到国家安全许可请求,并为合同制定强制性安全要求。在向采购办公室提交招标文件之前,应将合同的安全要求转交DA同意。

  16. 保护信息技术(it)资产
    1. 安全性和加密或以其他方式保护SSI的需要与信息丢失、误用或未经授权访问或修改所造成的危害的风险和程度相称。这包括确保机构所使用的系统和应用程序有效地运行,并通过使用具有成本效益的管理、人员、操作和技术控制提供适当的保密性、完整性和可用性。这种方法强调基于风险的决定,以节省成本的SSI安全性。
    2. 负责当局认为敏感的信息,或确定具有高值的信息,或代表高风险的信息,如果在传输或存储期间容易受到未经授权的泄露或未检测到的修改,则应采用加密方式进行保护。
    3. 禁止使用个人家庭电脑储存或传送SSI,因为在保护非政府拥有的系统的敏感资料方面,存在很高的保安风险。政府拥有的设备将被发放和配置,以保持强大的安全保护,适用于电脑中包含的最高水平的信息。

  17. 其他部门的资料
    一些政府机构已经发布了保护敏感信息的规定,例如“仅供官方使用”或“敏感但不保密”。应根据本条例保护其他政府机构的敏感材料不被未经授权泄露,或根据提供敏感信息的机构的具体要求提供额外的保护。

附录A

总检察长办公室

2001年10月12日

给所有联邦部门和机构首脑的备忘录

发件人:司法部长约翰·阿什克罗夫特

主题:信息自由法案

如你所知,司法部和本届政府承诺完全遵守《信息自由法》(FOIA), 5 U.S.C. 552欧元(2000)。只有通过了解信息的公民,我们国家的领导人才能继续对被统治者负责,美国人民才能确信政府的欺诈和浪费不会被隐瞒。

司法部和本届政府同样致力于保护我们社会所持有的其他基本价值观。其中包括保障国家安全、提高执法机构的效率、保护敏感的商业资料,尤其是个人私隐。

我们的公民也对一个功能完备、效率高的政府有着强烈的兴趣。国会和法院早就认识到,某些法律特权可以确保机构进行公正和完整的审议,而不必担心它们会被公开。其他特权确保了律师的讨论和交流是保密的。没有秘密的建议和忠告,领导是无法有效运作的。《信息自由法》的豁免,5 U.S.C. 552(b)(5),包含了这些特权和基于这些特权的合理政策。

我鼓励贵机构在根据《信息自由法》作出信息披露决定时,仔细考虑对所有这些价值观和利益的保护。您的机构在披露受《信息自由法》保护的信息时,只有在充分和慎重考虑了披露信息可能涉及的机构、商业和个人隐私利益后,才能酌情作出任何决定。

在作出这些决定时,当出现重大的《信息自由法》问题时,您应向司法部信息和隐私办公室咨询,并就《信息自由法》诉讼事宜向我们的民事司咨询。金博宝正规网址当你仔细考虑《信息自由法》请求并决定保留记录,全部或部分,你可以放心,司法部将捍卫你的决定,除非他们缺乏一个良好的法律基础和提供了一个不必要的风险的不利影响的能力,其他机构来保护其他重要的记录。

该备忘录取代了1993年10月4日司法议员的司法部,同样可以在法律上创造无法执行的实质性或程序权。