目录
有效安全系统的关键基础
可靠和值得信赖的人
教育,培训和意识以及问责制
Cross-Cutting Issues
安全政策委员会结构和流程
重组安全策略委员会结构
风险管理的概念
了解威胁
了解成本
安全政策委员会工作人员职位资金
安全专业人员的外界
工业安全
监督合规性--A Need Overlooked
附件
JSC-II I期建议的摘要
B专员和员工名单
C原始JSC建议的摘要和状态(不带此文档)
INTRODUCTION
大约六年前,国防部长兼中央情报部长建立了第一个联合安全委员会,基于他们相信国家的安全制度超越冷战,效率低下,内置不平等和成本比应有的要多。1994年2月,该委员会提出了一套前瞻性,理性,公平和经济高效的安全系统的政策,实践和程序。委员会提议制定安全政策委员会来监督安全政策的制定和实施。现任国防部长和中央情报部主管指示,联合安全委员会出于两个目的而重新申请:
PART I: MEETING THE GOALS OF PDD-29
政策和实施进展
安全政策委员会结构在实现PDD-29中描述的目标方面有助于取得重大进展。以下各节讨论了取得不同程度的重要问题。金博宝正规网址这些部分涵盖了重要且困难的问题:金博宝正规网址
在安全政策委员会程序中开发和批准,由总统批准,并由NSC颁布,统一的裁决准则和调查标准构成了两项调查的互惠和裁决决定的基础,以确保整个政府分类的访问。有了这些标准和准则,当一个人从一个机构的安全性权限移动到另一个人时,不再有合理的理由来重新进行评估或审查。该政策节省了时间和资源,并有助于确保公平,公平的治疗。这些准则反映了坚决的妥协,并在理想安全与生活的财政事实之间融合了权衡。他们的认识尤为重要的是,通过对曾经高度分类的信息进行了广泛的分会,并且现在有越来越多的敏感材料在秘密层面上可用,秘密被清理的人群需要比以前更大的安全关注。他们为秘密访问而强加的政权源于此认可。尽管如此,关于某些标准的适当性仍需要解决的重要问题。金博宝正规网址关于任何概念的充分性,还专注于保护机密信息的任何概金博宝正规网址念也有重要问题。在现代运营环境中,根据分类提供的保障措施,将信息至关重要的信息可能是不切实际的或不可能的。在本报告的“金博宝正规网址关键基础”部分中进一步讨论了这些问题。
还有其他值得注意的成就。设施安全界在董事会提供的框架内工作,通过发布解决相关问题的共同标准,实际上实现了设施的互惠。金博宝正规网址
制定政策的进展领域
The special access community, long regarded as a repository of arbitrary security practices, has made substantial progress toward more effective security by eliminating duplication and other venerable but questionable customs, by working toward much greater reciprocity of access eligibility decisions, and by standardizing security requirements across programs to a considerable extent. DoD's国家工业安全计划运营手册补充has replaced multiple service-specific Special Access Program security manuals with a single set of rules; this is particularly valuable in industry, where facilities housing multiple programs need no longer work to multiple sets of overlapping yet conflicting guidance.
安全政策委员会将EO 12958要求的保障指令转发给了大约一年前的国家安全委员会,以进行最终批准,但批准或不赞成尚未到来。保护指令更新了统一程序,用于通过EO 12958替换EO 12356的处理,存储,传输和破坏机密信息。它还建立了指定特殊访问程序(SAP)的基线定义(SAPS)。在1998年初,该论坛批准并转发给董事会授予EO 12968要求的财务同意书;最终的董事会行动就在一年后进行。这两个例子表明,封闭是董事会必须更积极地解决的问题。
进步有限的地区
董事会尚未成功地解决信息系统安全(INFOSEC),他们无法建立预期的Infosec委员会,也没有像PDD-29所提供的那样建立了监督机制。我们将在本报告的第二部分中讨论信息系统安全。
有效安全系统的关键基础
无论被视为特定的问题是什么,要保护机密信息,保护计算机和网络系统或保护所有类别的关键任务信息的经典任务,有一个有效的安全系统的两个基本基础:
确保我们所有具有访问机密信息的人,获得其他任务关键信息以及信息系统控制和管理的人,并且将保持可靠和可信赖的态度,仍然超出了合理期望的范围。可以实现的目标是对于一个系统,该系统保持了审查人们的可靠性和可信赖性的合理且负担得起的标准。关于入门级通关进程的严格性,人们一直在继续讨论,其中一些事实是,损害美国安全利益的间谍是有这种许可的人。委员会发现这是一个循环的论点。由于我们将间谍定义为通过将机密信息泄露给未经授权的人来违反信任的人,因此所讨论的间谍将来自被清除的个人的人口。
调查和重新研究不能承担确保可靠性和可信赖性的全部负担。相反,初步调查提供了保证,一个人尚未证明可能引起安全问题的行为;它可以预测过去和将来的行为是相关的,并且在调查实践能够揭示相关的过去行为的程度上。重新研究是一项重要的正式检查,可帮助发现初始清除后发生的行为变化。在某种程度上,它类似于周期性的物理。但是,就像身体只是一个好的健康计划的一部分一样,重新研究只是继续人员安全的一部分。调查和重新进行调查都没有使主管和老年人责任和责任感,以使其人民的持续安全健康,并确定问题并努力解决他们在常规重新研究周期之外的解决方案。
一些人建议调查标准应与个人当前访问水平相关联。尽管在某种程度上是一种当前的做法,但试图正式地将个人对个人的可靠性和可信赖性的兴趣水平调整到当前的访问水平,充其量在行政上是非常困难的。在最糟糕的情况下,这将表明放弃一个标准的想法,该标准对除危险的少数人以外的所有人都羞辱他们对保护安全信息的承诺。
争议不应该的重要性the goal, but about the utility of approaches to checking for reliability and trustworthiness. For example, there are three issues regarding background checks that continue to generate debate, each of which impacts cost and risk assessments. The three areas are neighborhood checks, telephone interviews, and financial data reporting. At present there is little analytical basis for judging the cost effectiveness of these measures. However, many security professionals strongly support them. Without analytical data on risk, there is little choice but to stay with long-standing practices in spite of doubts in parts of the community about their utility.
There are other important unknowns that need to be resolved to ensure that the process is expending resources on valid approaches to assessing reliability and trustworthiness. Data mining to detect anomalies that could indicate someone thought to be reliable and trustworthy is engaging in unauthorized activity is one example of a technique that may hold promise for reducing the amount of fieldwork. However, it could also have the opposite effect of generating productive leads that warrant further investigation. To make intelligent decisions about the future substance of personnel security, there is a critical need for authoritative research to determine the value of various practices.
所设想的研究类型是由研究专业人员在安全政策委员会的指导下进行的一年间,多年的努力。委员会注意到已经在进行的努力,包括正在进行的工作,以巩固和协调董事会的人事安全研究,最新的国防和情报社区的资助计划以及对财务披露的成本和价值的测试。
需要适度的资源来进行这项必要的研究,以确定现有的安全政策,标准和标准是否足以以基于威胁和经济有效的方式支持部门和机构的运营安全和任务保证需求。为了避免重复和浪费,委员会建议将SPB用作桥梁和种子资金的酌处预算线,以资助由指定部门或机构执行的项目。
此外,许多安全专业人员和委员会认为,对确保可靠和值得信赖的人的重新评估比最初的清算调查更为重要,因为持有通行时间更长的人更有可能与更关键的信息和系统一起工作。然而,国防部过期的定期重新评估的估计高达70万,在本报告时,积压仍在增长。中央情报局也不符合最高秘密通量的标准,而是制定了一项计划,以达到2000年的标准。
虽然5年和10年是任意的,但所有代理商都不遵守的标准的需求不是。尽管如此,国防部迅速挖掘出有关重新审查的情况并不实际。即使资金没有问题,也可能需要几年的时间才能提供所需的调查人员并通过积压工作。因此,委员会建议,随着新的重新评估到期,国防部将近期日期设置为开始遵守标准。此外,该部门应筛选所有这些逾期化的人进行重新研究,以确定那些根据位置和访问权限构成最大风险的人,并尽快解决该类别中的所有人员。国防安全服务(DSS)不太可能有能力处理此要求。因此,可能需要增加外包。无论如何,作为国家侦察办公室的示例,高级领导和适当的资源的承诺实际上超过了重新研究标准。
目前,临时间隙的持续时间没有限制。国防部应设定180天的限制,要求在此期间完成所需的背景调查和裁决过程。
While recent progress is encouraging, a continued focus will be required to complete this work. Significant issues remain, including full implementation of SAPSSWG-approved personnel security reciprocity policies for SAPs and the elusive but desirable goal of reciprocity between the SAP and SCI communities. Fielding a SAP access database is essential to both efforts. Such a database, subject to appropriate security controls, would provide the single source for information regarding SAP eligibility determinations necessary for effective reciprocity. Its continued lack has stymied implementation of the genuine advances made in SAP policy.
教育,培训和意识以及问责制
委员会的最后一份报告到现在的时间在安全培训领域都很动荡。组织的裁缝和资金的重新分配几乎对行政部门的每个机构产生了不利影响。解散国防部安全研究所为国防部和非DOD安全专业人员提供了质量培训,已证明尤其有害。依靠他人接受培训的机构不仅发现他们的培训预算大大减少了,而且还受到挑战,即使剩下的培训资金也可以找到其他能够接受外部学生的政府课程。然而,有效的安全意识计划对于维持对安全问题敏感的劳动力至关重要,并了解安全与自己工作的成功之间的关系。金博宝正规网址GSA,OPM,CIA和DOD需要立即采取措施重新调查其安全培训机构。此外,由于对培训和意识资源的需求非常重要,并且由于关键要求可以在正常预算周期的反应能力之外实现,因此存在桥梁和种子资金来源的需求,以启动指定部门或代理机构会发起的项目然后执行。通过SPB,可以通过酌情预算线提供此类款项。
安全意识是每个主管和每个人都可以访问机密信息或其他关键信息或系统的责任。在各个层面上,无法替代高水平的意识和线路管理的问责制。反情报和线路管理对安全的责任必须齐头并进,如果没有每天与人民打交道的线经理的承诺,就不会有少数专业人士的反对意见。
Even so, commitment to a professional security force will continue to be essential to effective security education, training, and awareness program. It is important that this profession be considered a key part of the management and operational chain. A robust national security training program is an important element of risk management. No one agency should bear the burden of supporting all of the federal government, but one or more agencies can lead with resources and attention to ensure that adequate security training will simply be available. Future success in developing a national training program depends on obtaining adequate funding and support from the federal community. The Commission supports continued efforts toward creating a national training program for security professionals.
然而,安全专业人员的作用是领导和建议该过程。安全是线路管理的责任。有效的安全需要一支知识渊博和有动力的清除劳动力。安全意识计划是创建这样的劳动力的重要因素。他们的振兴至关重要。
安全政策委员会结构和流程
重要的国家安全领导人认为,安全政策委员会的流程繁琐且笨拙,花费了太长时间来制定政策,并导致其所制定的政策的越来越多。这些看法是合理的。
We address in detail some important remaining obstacles to faster and more relevant progress in the following pages. However, the overarching issue is that both the daily detailed attention to long-standing security issues and the emerging issues demanding more emphasis and new innovation require the commitment of senior leadership to ensure effective and efficient security policies and practices. Part of that commitment has to be adequate resources directed at the right challenges. At present, the security profession is struggling with a downsized workforce and diminished resources while facing a more complex threat environment. The most obvious consequence of not matching resources to declared policy is the large backlog of overdue periodic reinvestigations already cited. However, there are others; for example,
国防安全局一直无法对支持该部门的设施的许多工业综合体进行安全援助访问。
Agencies have canceled core security training and awareness programs vital to addressing insider threats.
信息系统安全策略在管理层面上仍然存在分散,其责任的定义较差,并分布在多个机构上。
The continued organization of threat analysis into specialty areas (such as separate centers for counterterrorism, counterintelligence, infrastructure protection, and so on) makes it difficult for policymakers and security professionals to obtain an accurate and usable picture of the threat to the things they are charged with protecting.
The Security Policy Board has been operating for over four years. Figure 1 shows the current structure.
SPB结构图
图1:安全策略委员会结构
委员会的参与者是对特定领域有兴趣的机构的主题专家。委员会成员从事制定推荐政策所需的详细工作。该论坛由来自安全结构的所有机构的代表组成。该论坛根据需要开会,以评估委员会的建议。对于某些问题,论坛金博宝正规网址可以批准代理实施政策。对于其他人来说,它将建议转交给安全政策委员会,该委员会由国防部长和中央情报局局长共同主持,并由来自各个部门和机构的高级代表组成。
在我们的审查中,我们发现了一个安全政策委员会的结构,该结构在委员会级别运行,就像原始联合安全委员会所设想的那样。此外,事实证明,重要的方面利益是在政府安全界建立积极的工作关系,增强了融洽的关系,合作并最大程度地减少了既得利益之间的不信任。安全政策论坛已经证明了价值,尽管在这个层面上,就政策制定和批准达成共识的愿望导致了一个笨拙,耗时和沮丧的过程。因此,由于论坛通常无法解决其水平的问题,因此太多的人被视为需要董事会行动。金博宝正规网址如果董事会校长在论坛上倾向于导致僵局的问题范围内行使其决策权,那么繁琐,耗时的流程和积分实施的问题可能会消失。金博宝正规网址尽管如此,他们仍然不愿意这样做并不奇怪,坚持认为,带给董事会的问题是详细的,并且在其参与者级别的行动范围内适当。金博宝正规网址董事会的正确解决方案是授权并要求论坛在有或没有共识的情况下解决正确级别的困难问题。金博宝正规网址
The Security Policy Board structure is not addressing the increasingly important issues associated with greatly expanded electronic network systems or the globalization of business and technology. There is no integrated structure currently in place to address security policies associated with this class of challenges.
重组安全政策委员会
安全政策论坛特别有价值,是增加有关安全事务的信息和知识流并在成员之间创造买入的一种手段。如前所述,它还提供了做出重要政策改变并在实施方面取得重大进展所需的领导才能,但在时间和精力消耗的价格很高。共识建设和决策之间需要保持谨慎的平衡。
Because the Forum, envisioned in PDD-29 as a body of Assistant Secretaries, has evolved into a de facto congress of Security Directors, an important management level has been effectively excluded from the security policy process. This void has, in turn, played a role in the difficulty in resolving issues at the Forum level. It has also played a role in the apparent lack of commitment to resourcing the policies. To fill this void, the Commission proposes creation of an Executive Committee, consisting of a few key players at the Assistant Secretary level. This should not be viewed as an additional layer. It is intended, instead, to be the resolution level for most issues. This Executive Committee would establish specific priorities, provide the Forum guidance as necessary, and serve as the primary avenue of communication between the Board and its subordinate structure. Working with the Board staff, the Executive Committee would be responsible for ensuring that policy initiatives, regardless of their source, do not flounder in prolonged debate, but are brought efficiently to resolution. The Forum Co-Chairs, together with the committee chairs, would jointly be responsible to the Executive Committee for day-to-day operations of the policy process.
委员会认为,可以通过在建立执行委员会的同时继续论坛的当前会员资格来实现这两个目的。在执行委员会主席的呼吁下,可以邀请其他具有特定利益和股票的成员参加特定问题。金博宝正规网址
风险管理的概念
具有成本效益的安全系统的基本概念是风险管理,而不是避免风险的无法实现且无法承受的目标。但是,基于风险管理的有效且负担得起的系统的概念假设了解威胁,衡量成本的能力以及衡量风险的某些手段。目前,这些参数中的任何一个几乎没有可靠的分析数据。取而代之的是,重点是安全实践的某些特定子元素的成本,而无需考虑对其他安全成本或风险的影响。以下各节讨论了一些具体示例。
了解威胁
认识到需要更好地理解威胁导致国家反情报中心(NACIC)的威胁的方法的必要性。NACIC已向促进信息流促进了每天使用该信息来形成安全对策的人的信息流。但是,对于那些寻求权威来源的相关威胁情报的人来说,情况更为复杂。引起关注的各个领域包括间谍活动,恐怖主义,对关键基础设施和环境安全的威胁,信息/网络战,非法技术转移,毒品和其他国际犯罪组织以及知识产权欺诈。情报生产者,发射器和用户的多个基础架构在代理商线路上宣传威胁产品。
这种分裂使得政府和行业的安全对策社区更加困难,以获取及时,准确的威胁数据。克服这种分裂的最有效方法是通过一个指定的单个组织,该组织为被清除社区的客户提供一个中心位置,以满足其威胁情报需求。今天,国家反情报中心是其责任领域的传播外国反情报信息。考虑到其他资源和责任,它可能会成为一个社区参考中心,该中心将提供合并的威胁数据,或者至少将客户推荐给与其需求相关的其他类型的威胁数据来源。结合扩展的NACIC,Advancing Technology还提供了传播威胁信息的其他可能性,例如计算机化的下拉系统,这些系统将在用户需要时提供数据。
还应向行业合作伙伴提供有意义的威胁信息,从而提出更大的责任。政府和行业官员都有他们经常相互共享的信息。如果NACIC采用了一种更加协作的方法,并与行业官员定期进行咨询,那么NACIC现在提供的少数机密威胁“简报”可能会变成更有用的威胁“研讨会”,为政府的反情报官员和行业安全代表提供了更好的两人。方式交流。这将使双方对当前问题集的范围以及如何以合并方式防御威胁有更好的了解。
1997年4月,由SPB宪章以识别和解决威胁传播过程的一个机构间小组发出了协调全面的情报生产需求声明,以支持安全对策消费者,确定与特定安全需求相关的情报项目。它旨在作为开发有效,有效的过程和对话的第一步,以支持威胁情报信息的传播。尽管事实证明它有用,但该小组的工作有更多的潜力。国家安全顾问应正式认识到它反映了安全界的需求,应发布该文件。完成此操作后,需要更充分地解决有意义的威胁数据传播所需的过程和基础架构。
正如委员会在1994年的报告中指出的那样,安全成本是一个难以捉摸的目标。今天仍然如此。委员会认为,取得了有限的进展。1994年,OMB在响应房屋拨款委员会的任务时,首先捕获了安全部门内的安全成本估算,以保护行政部门内的机密信息。在1994 - 95年期间,安全政策委员会开发了一个框架来估算所有安全成本,而不仅仅是与保护分类信息有关的框架。从1995年开始,该框架适应了根据EO 12958的要求,以每年在行政部门的保护中收集安全成本估算。
无论多么不完美,EO 12958下的年度成本报告是最广泛的(即使不是唯一的措施)对政府安全成本的适用。安全费用的其他部分指标是99财年的特别授权,总计122亿美元。在这笔款项中,已授权28亿美元用于计算机安全和生物战防御,80亿美元用于全球大使馆的物理安全,14亿美元用于关键基础设施保护。同样,虽然不是衡量安全成本的衡量,但Y2K的紧急资金是罕见的支出示例,以支出其他优先事项,这些优先事项会偶然受益于安全性。
我们看到了一些重要的局限性,威胁要继续进行准确的安全成本会计。最重要的是,很少有行政部门和代理机构拥有单独的预算销售项目以进行安全。在许多情况下,安全资源都包含在间接费用帐户中。此外,将与分类和未分类事项有关的安全成本区分出来是有问题的,因为安全人员和物理资产通常同时同时有助于这两个领域。OMB认识到,EO 12958年度收集的初步报告充其量是ReportsReports估计的,并且最初无法审核数据。OMB希望随着时间的流逝,通过重复和熟悉收集参数和收集技术的完善,数据将变得更加可信。但是,公平地说,我们注意到尚无后续测量,以确保对这些年度收藏或在部门/代理机构范围内进行适当的严格性。这意味着由于系统,安全数据标准和代理机构之间的数据可靠性引起的可比性问题限制了当前报告的准确性和完整性。此外,代理商安全预算与执行国家安全政策之间通常没有纽带。一项承诺将按功能类别收取安全成本针对SPB开发的框架,将克服这一缺点,并允许在每个代理机构中建立单独的安全预算线,这将为安全成本问题提供直接且易于理解的答案。
Given today's budgeting practices, and varied perspectives on what security means, there is no one simple answer to the question, "How much do we spend on security?" Post-Cold War notions abound that "security costs too much" or that a "peace dividend" should be found by decreasing security resources to match supposedly diminished threats. Such notions are simplistic and misinformed. Whatever its effect on our national security, the loss of the popular notion of a single, all-encompassing threat has only obscured the emergence and proliferation of often less restrained and more virulent security threats. Such novel challenges require vastly different security countermeasures prescriptions, for which the resource implications remain undefined.
委员会发现,在董事会成立的前四年中,对SPB员工的任务通常在促进SPB的任务方面效果很好。向员工详细介绍的人员为政策制定过程带来了广泛的经验和专家的知识。但是,承诺的非正式性质会造成动荡,并对员工的职能产生不利影响。SPB应获得资助的员工职位。
有效的安全,互惠是c的关键omponent requires effective communications among those responsible for administering it. Such communications are important for activities ranging from policy coordination to rapid announcement of changes to day-to-day tasks such as clearance passing and access verification. The Extranet for Security Professionals (ESP), currently experimental, provides a vehicle for such communications. The experiment is proving successful. ESP holds particular potential for resource savings through providing clearance and visit certification throughout government and industry. Full development and continued operations and maintenance resourcing of the ESP, with attention to providing confidence in its future, should greatly expand its use and ensure the continued availability of what should prove to be an essential tool for more effective security.
Including industry observers in the committees and at the Forum has facilitated a dialogue between industry and government that has proven beneficial to both. Industry is and will remain a critical contributor to national security. As such, it is important that the dialogue continue, but not merely at the policy level. DSS security assistance visits play an important role in ensuring effective security programs, both by serving as a means for identifying problems and potential problems and by conveying to management that the government continues to place value on security. Yet DSS's ability to conduct these visits has eroded to the point that they have become sporadic: still good in some areas, but nonexistent in others. Industry continues to suffer from excessive backlogs in the clearance process that delays putting people to work. The government suffers as this slows progress on classified projects and ultimately drives up costs.
自1995年以来,在为国防工业提供可用的Infosec指南方面,缺乏进步。Nispom基线的第8章陷入了主要参与者,中央情报局和DOE之间的分歧。这种情况在急需有效,最新的安全政策的领域中产生了真空。尤其重要的是该文档应基于绩效还是规范性的问题,但尚未解决。政策统一性和实施的一致性必须是所有INFOSEC指导的要素。持续无法为行业提供指导的是对行业造成巨大的挫败感,并削弱了国家安全Infosec计划。这是一个应得的问题,并要求高级领导力在信息系统安全方面引起人们的注意。NISPOM必须按照预期的方式成为工业安全计划的单一管理文件。
PDD-29分配了SPB制定和协调政策的责任。但是,这是对监督实施的机制的沉默。EO 12958租用了Isoo,但限制了其责任领域,并且没有解决资源。其他相关文件,包括EO 12968,PDD-63和OMB通函A-130,不提供国家级别的监督。
有内部机构的监督,这是必不可少的;但是,今天没有有效的机制来监控政策实施以保持连贯性和一致性,并确保公平地应用政策,并以与国家的标准安全政策和机构间互惠相一致的方式。这种监督不是合规检查的问题,而是政策层面上的协商审查问题,旨在确保政策是实际的,易于理解的,并解决了实际问题,并确定和解决实施问题。金博宝正规网址SPB应建立及时报告所有机构遵守进度的过程。SPB可以很好地担任这一国家一级的监督角色。
为实施监督的一般问题做出贡献是缺乏明确定义的,并且为安全政策委员会发行其决定的明确定义和广泛接受的机制。一旦董事会批准了一项政策,即使在国家安全顾问的备忘录中认可政策,也没有明确的方式来使整个政府的政策制度化。通过创建一系列公认且可识别的有约束力政策文件,可以很容易地克服这种缺点。
JSC-II I期建议的摘要
可靠和值得信赖的人
建议2:国防部应将SRC重新定位为OASD C3我;moreover, DoDPI should be redesignated the National Polygraph Institute with the Security Policy Board designated the National Manager and DoD OASD/C3我是执行代理。
建议3:国防部应首先开始完全执行重新审查的标准,然后在90天内,应在整个逾期筛查中进行重新审查以识别那些位置和访问权限的人,并应提供最高的风险,并应提供资源以完成这些迅速进行了重新评估;中央情报机构应迅速执行其在2000年消除积压的计划。
建议#4:国防部和中央情报局应为新的临时间隙设定限制为180天,要求在此期间内完成所需的背景调查和裁决过程。此外,他们应筛选所有现有的临时间隙,并迅速关闭那些位置和访问权限的人,这表明风险最高。
Recommendation #5: The Security Policy Board should maintain a high priority on applying common standards to Special Access Programs and require that any needed policy recommendations go from the SPB to the NSC within 180 days.
建议6:国防部应立即提供足够的资金,并通过适当的安全控件提供SAP访问数据库,以促进有效的互惠。
建议#7:董事会应向NSC提出一项新的行政命令,该命令采用全面的方法来解决对联邦政府工作敏感职责的人员的适用性,可靠性和可信赖性。这将包括以任何身份工作的个人,并基于职责的敏感性,无论获得分类信息。安全政策委员会提出的该命令的提案与其在PDD-29中规定的任务一致。
建议9。SPB应将一项协调的,政府范围内的安全意识计划授予,以在两年内完全实施。
Recommendation #10. A funding line for bridge and seed money should be created to be used for initiating security training and awareness projects, and for research initiatives, executed by designated departments or agencies.
Recommendation #13: The Security Policy Board should formally request the National Security Advisor to issue the全面的情报生产需求声明,以支持安全对策消费者。
建议#15:代理商应将安全性作为年度预算中的单独订单项。
建议#19:安全政策委员会联合主席应要求执行委员会为完整的安全政策委员会提供约定的基线第8章,以在180天内批准。
建议21:建立公认的SPB决策机制。
Commissioners and Support Staff
Commissioners Larry D. Welch,主席
杜安·安德鲁斯(Duane P. Andrews)
Robert F. Behler
` Thomas A. Brooks
罗伯特·伯内特(J. Robert Burnett)
Ann Caracristi
Antonia H. Chayes
Cynthia P. Conlon
James J. Hearn
Bernard A. Lamoureux
Anthony A. Lapham
弗兰克·马丁
James R. Philblad
丹·瑞安(Dan Ryan)
罗斯·史珀(Ross E. Schipper)
Nina J. Stewart
哈里·沃尔兹(Harry A. Volz)
工作人员丹·雅各布森(Dan L. Jacobson),执行董事Navy
小爱德华·威尔金森(Edward S. Wilkinson)Deputy Executive Director中央情报局
韦恩·贝克空军
克里斯托弗·比索德(Christopher Bythewood NSA)
加里·高尔州
Gary Harris CMS
道格·欣克利中央情报局
约瑟夫·霍尔托斯中央情报局
Willard Isaacs DOD/DSS
弗吉尼亚(Ginna)Kerry Nstissc
Daniel Knauf Nstissc
雷·拉文(Ray Lavan)财政部
Winiford (Winnie) Lehman Energy
斯蒂芬·麦克·夜海军
Dan McGarvey NRO
威廉·穆森·迪亚(William Mussen Dia)
罗杰·施瓦尔姆中央情报局
戴夫·史蒂文斯NSA
行政的,Secretarial and Clerical Support:
Annette Purcee CIA
菲利斯·诺林海军
Deborah Jermunson IDA
Annex C