美軍涉密信息安全事件查處規范的新發展
——美國防部DoDM 5200.01手冊相關內容述評

□吳瑞，龐瑾

（1.北京郵電大學，北京 100876）

（2.國家保密局，北京 100084）

美軍涉密信息安全事件查處規范的新發展
——美國防部DoDM 5200.01手冊相關內容述評

□吳瑞1，龐瑾2

（1.北京郵電大學，北京 100876）

（2.國家保密局，北京 100084）

美國國防部2012版《信息安全綱要》手冊明確了各類涉密信息安全事件查處的具體要求和做法，重點涉及泄密事件的構成和分類、報告和調查的規程、處置措施和危害評估等方面內容。該手冊中關于涉密信息安全事件查處的相關規范，對我國泄密案件查處工作具有一定的參考和借鑒價值。

信息安全；涉密信息安全事件；危害評估；查處；美國

一、引言

2012年2月，美國國防部發布了新版《信息安全綱要》手冊（編號DoDM 5200.01，以下簡稱手冊），在總結近年經驗的基礎上，針對網絡環境下的信息安全工作做出一些重要修改。手冊分為4冊，分別是概述、定密與解密、涉密信息標識、涉密信息保護以及受控非密信息，其中第3冊[1]相關內容明確了各類涉密信息安全事件查處的具體要求和做法。

二、手冊關于涉密信息安全事件查處的主要內容

手冊第3冊涉及日常保密管理，主要包括涉密信息的保護、存儲、銷毀、傳送和運輸，信息安全教育培訓，涉密信息安全事件以及信息安全主管常涉的信息技術問題。作為本冊的附件6，《涉密信息安全事件》詳述了泄密事件的構成和分類、報告和調查的規程、處置措施和危害評估等方面的內容。以下擇其要點予以介紹。

（一）涉密信息安全事件查處中的幾個概念。

1.違規行為（Infraction）。沒有遵守13526號總統行政命令《國家安全信息保密》、聯邦條例、手冊或其他現行安全政策，但沒有造成或不能合理預見造成涉密信息的損失、危害（或疑似危害）的信息安全事件被界定為違規行為。

2.妨害信息安全行為（Violation）。造成或可以合理預見造成涉密信息的損失、危害的信息安全事件被界定為妨害信息安全行為。其中，危害（Compromise）是指未經授權披露涉密信息的情形，而在檢查中發現涉密信息/裝備丟失并無法立即確定其所在的情形則被認定為損失（Loss）。

3.調查（Inquiry）。調查是在尋求事實并加以分析的基礎上確定是否存在涉密信息損失、未授權人員接觸或可以接觸涉密信息的程序，旨在查清事實、辨別違規或妨害信息安全行為、找出可能的事發原因和責任人員、報告已采取和可采取的補救措施、為是否有必要采取更多補救措施和深度審查提供建議。

4.審查（Investigation）。如果無法通過調查程序處理一起妨害信息安全行為，或是采取深度、全面檢查較為適合時，就有必要啟動審查程序。

（二）報告與通知程序。手冊規定了不同身份的人員和不同性質的機構在發現涉密信息安全事件時報告與通知的義務、途徑與方式，其中較為重要的一條,是以下情形應當通報國防部負責情報副部長辦公室〔OUSD(I)〕的安全主任：1.涉及間諜的信息安全事件；2.未經授權在公共媒體上披露涉密信息；3.報告國會監督委員會、可能吸引廣泛公眾關注、涉及大量涉密信息以及暴露出定密、保密、解密政策或實踐中潛在的系統性缺陷等4類情形；4.一項特別接觸方案（SAP）產生或延續與國防部5205.07號命令《特別接觸方案政策》、國防部O-5205.11號指令《國防部特別接觸方案處理、管理與監督》、手冊和國家政策等抵觸；5.有關防衛行動、體系或技術的涉密信息泄露或危害，可能造成重大損害或對美國國家安全利益造成損害，根據美國法典第10編第2723節需要報告國會的；6.由國防部高級官員確定的其他異乎尋常的信息安全事件。

（三）特殊情況的處置。手冊的制定者認為涉密信息的特定類型或特別的情形會導致需要獨特處置或考慮附加報告要求，因而分別列舉了15種特殊情況下的處置辦法，值得關注的有以下幾條：1.凡涉及蓄意破壞、外國情報機構、國際恐怖組織以及疑似機構的涉密信息安全事件，應當立即根據國防部5240.06號命令《反諜報知會和報告》（CIAR）報告有管轄權的國防反諜報部門，除非與前者充分協調，安全官員不應啟動或繼續對該事件的調查或審查；2.明顯觸犯刑法，但有理由認為不屬于間諜或上述1條情形的，應當立即報告當地的國防刑偵組織（DCIO），如果該組織受理并啟動程序，應當在采取進一步調查或審查行動前予以協調,以避免損害調查的完整性；3.涉及通信安全措施（COMSEC）或密碼信息的現實或潛在危害事件，應當根據NSTISSI4003號《通信安全措施的報告和評價》處置；4.涉及外國政府信息或北約信息的現實或潛在危害事件，應當由國防部高級官員立即報告負責政策的副部長，再由該副部長辦公室的指定人員代表DSA通知并協調北約或外國政府；5.如果不當處理、提交、包裝、傳送、運輸涉密信息的接收機構認為屬于構成危害時，應當立即通知發送機構，后者負責啟動調查或審查程序,并負責通知初始定密機構（OCA）等單位。通過外國郵政系統處理，運輸容器損壞導致內容外泄，或者經由未經批準傳輸涉密信息的電話、傳真、短信、電子郵件、計算機或數據連接等通信線路傳輸等，均應考慮已構成危害。

（四）調查和審查程序。手冊明確了調查和審查的要求，與刑偵組織或國防反諜報部門以及初始定密機構的協調，并對調查和審查提出了不同的設計。1.調查程序。機構負責人或有安全處置權限的機構安全主管應迅速對現實或潛在的危害行為啟動調查程序，以確定事件的事實和詳情，辨別違規或妨害信息安全行為，并在調查結論中描述其發現與建議采取進一步審查或其他行動。被指定負責調查程序的官員應與該信息安全事件無關，并且最好不要是安全主管，調查應當迅速啟動并在不超過10個工作日內盡快結束。結案標準極為詳盡并具操作性：（1）涉密信息安全事件發生的時間、地點及經過，導致或促成該事件的人員、情勢或條件；（2）涉密信息是否受到危害；（3）如果構成危害，涉及哪些涉密信息和材料；（4）如果報失涉密材料，采取何種步驟以定位該材料；（5）信息是否正確定密；（6）信息是否正式公布；（7）在涉及公共媒體的情形下，涉密信息出現在何種媒體（文章、程序、書籍、互聯網記錄或其他媒體），受危害信息散布與傳播的范圍，進一步調查是否會增加損害；（8）可能確定責任人員的線索是否調查；（9）如果不構成危害，也不屬于無意或疏忽，現行安全實踐和程序中是否存在可能導致危害發生的缺點和弱點。2.審查程序。如果需要更加細致和全面的情況，機構負責人應當書面任命一人領導審查程序，為后來的矯正和懲戒措施提供建議，除非特殊情況，安全主管不得擔任該職務。鑒于審查程序可能導致行政或處分措施，所收集證據的性質應當是兼容的，可以用于相應的法律或行政程序，必要時可以咨詢當地法律顧問有關程序上的意見，最終必須做出書面的審查結論。

（五）初始定密機構采取的措施。得到涉密信息受到危害的通報后，初始定密機構應當采取以下措施：1.核實信息原定密級及保密期限；2.對原定密級重新評估以決定是否維持或改變密級，審查中需要考慮到3類可能性，第一類是信息在初次定密后是否喪失其全部或部分敏感性以至于應當降密或解密，特殊情況下也會發生信息的敏感性提升以至于應當升密，第二類是事件已嚴重危害到信息的安全以至于試圖繼續對其加以保護已變得不現實或不可取因而應當解密，第三類是應當維持信息的現行密級并繼續加以保護；3.在72小時之內將以上定密評估的結論通報發生信息安全事件的機構；4.對事件危及的系統、計劃、程序、項目所造成的沖擊進行評估，考慮可以最小化、減輕或限制對國家安全造成的危害，并可以防止造成進一步危害或損失的對策（即損害控制措施），啟動或建議采取上述對策，具體而言有3點：一是盡快采取適當對策，可以在完成定密審查或損害評估之前啟動，二是對策可以包括變更計劃或系統的設計特點、修訂操作規程、對相關信息提供強化保護（如升密）以及其他適當措施，三是評估信息費用、運作或技術損失、對策整體費用，對策生效的可能性，以及對特定涉密信息造成絕對損失、危害的系統性沖擊；5.按照要求開展損害評估，以確定涉密信息對國家安全受到危害的影響。

（六）損害評估。對國家安全危害的程度應該通過專門進行的損害評估加以確定：1.一項損害評估通常包括對危害相關事實詳細、多領域的全面檢查，以確定對國防部計劃、運作、體系、物資、情報的損害，以及國防部履行其職責能力的現實影響，提出減輕或抵消沖擊的彌補措施或對策，估算為確保或恢復安全、重置被嚴重危及的武器系統或性能而采取相應對策的實施費用，并于適當時提出明確的行動建議；2.損害評估在定密審查之后開展，并且經常會接著采取一些檢控行動；3.損害評估不可與初始定密機構采取的定密審查或損害控制措施混淆，后兩者都是在發現泄露或危害后立即采取的，以降低風險、控制損害，防止進一步損失或危害目標。

所有國防部單位都應當建立一套控制體系和內部程序，至少在涉及間諜、情報信息或經由公共媒體的危害等情形下確保損害評估得以開展。執行損害評估是初始定密機構和專家的職責，安全官員應當以適當方式提供所需的協助。國防部要求危害涉密信息的損害評估應在宣告危害之日起6個月內辦結。

（七）未經授權接觸的責令保密。對于未經授權而接觸涉密信息的情形，研判提高此類人員嚴格保守涉密信息的可能性的相關形勢是明智的。機構負責人應當決定是否批準采取責令保密，決定應當基于事件詳情、涉及人員情況以及信息性質而做出，應當遵循以下幾點基本指導方針：1.如果未授權接觸的情形屬于擁有安全許可但無需知悉的人員，通常采取責令保密的處理方法，以確保相關人員知道其未經授權而接觸的屬于涉密信息并需要加以保護；2.如果未授權接觸的情形屬于不擁有安全許可的美國政府公職人員、軍事人員或政府合同商的雇員，通常也采取責令保密的處理方法，應當告知相關人員防止進一步散布信息的責任以及違反此點可能導致的行政制裁和刑事處罰。設計責令保密的具體要求時應當確保相關人員理解涉密信息的性質，對其加以保護的重要性，以及知曉當他人試圖獲取涉密信息時如何處理。當相關政府公職人員或政府合同商的雇員不屬于國防部系統時，還要將責令保密的要求通報其主管機構的安全官員；3.如果未授權接觸的情形屬于非美國政府組織人員，也不是美國政府合同商的雇員時，則必須視情況作出決定，關鍵問題在于責令保密是否能對相關人員保密的能力和意愿產生積極效果；4.如果相關人員可能成為刑事追究或紀律處分的對象，那么在采取責令保密措施前要咨詢法律顧問；5.在某些情形下，可以要求相關人員簽署一份承諾保密以及理解其有關內容的聲明，或者填寫312標準表格（SF 312）。如果沒有沿用保密協議（NDA），那么聲明的類型和格式可由當地安全官員裁量，允許為適應特定涉密信息事件的要求而存在一定彈性。如果相關人員拒絕簽署保密協議或保密聲明，那么這一事實及其拒絕的理由應當在調查程序中記錄在案。

（八）涉密信息安全事件報告。手冊附件提供了涉密信息安全事件報告的樣式，并說明該樣式作為一份指南是非強制性的，可以根據不同機構以及事件具體情況采用全本或裁剪使用。總之，報告的目標在于確定“5W+1H”（事件涉及的人員、內容、時間、地點、原因以及過程），并確定為避免將來發生類似事件而采取的措施。報告分為三大部分，前面是文頭，包括報告呈送的官員（TO）、經由的指揮系統(THRU)和標題(SUBJECT)；中間的主體部分是報告正文；最后是調查或審查官員的簽名。報告正文分為六部分：1.概述。簡要介紹特定妨害信息安全行為的“5W+1H”。2.事件經過。陳述事件自始至終的詳細過程，包括按照涉案時間排列的全部人員（姓名、級別、社會安全號碼、職務、機構、涉密等級、接觸授權）名單和全部地點。3.已采取措施。列明在調查或審查程序中采取的措施，如作出的通報、發出的信息、開展的詢問、進行的咨詢、給予相關人員的處理以及其他需要的信息，還包括調查或審查程序的起止時間。4.建議。為排除將來發生同類事件而提出的建議。5.標注。標明進行調查或審查的官員及其所屬機構和電話號碼。6.評估注解。列入調查或審查的其他相關信息，附上詢問陳述及記錄、文件證據等。

三、對美軍涉密信息安全事件查處規范的幾點感想

新版手冊內容詳實、操作性強，其中涉密信息安全事件查處的相關規范對我國泄密案件查處工作具有一定的參考和借鑒價值，筆者在此列舉幾點。

（一）對于涉密信息安全事件的明確界定和精準區分。手冊以是否造成或能夠合理預見造成涉密信息的損失或危害為基本標準，將各類涉密信息安全事件分為違規行為、產生危害的妨害信息安全行為和造成損失的妨害信息安全行為三類，并針對不同類別規定了不同的處置方法和程序。[2]值得注意的是，手冊列舉了若干對安全產生威脅，對涉密信息和裝備安全具有潛在危害，但卻不作為涉密信息安全事件處理的情況：將廢紙回收盒置于涉密復印機旁邊或將涉密文件銷毀袋置于普通垃圾容器旁邊，手持涉密材料停留在公共場所處理個人事務，沒有按照需要及時更換安全容器的密碼。上述分類處置、限定范圍的做法有利于迅速、高效地處理各種情況，集中精力、突出重點地降低或消除各種信息安全風險因素。

（二）對于涉密信息安全事件報告的嚴格管控。為對事件涉及人員的信息提供適當保護，以及防止為未授權接觸涉密信息提供便利，涉密信息安全事件報告至少要被標注為“僅供官方使用”（FOUO），還有相當數量的報告要根據其內容以及相應的安全定密指南所規定的密級進行定密。如果涉密信息安全事件報告要散發到國防部系統之外（如其他聯邦機構），文件封面還應當標注擴展標記，申明其信息可能免除依據信息自由法（FOIA）而進行的強制公開。對涉密信息安全事件報告嚴格管控能夠產生兩方面的積極效果：一方面有利于控制并盡量減小事件本身造成的負面影響；另一方面有利于避免因不當使用報告文件而造成的泄密范圍進一步擴大（二次泄密）。

（三）建立查處分離的調查模式。手冊規定，在調查程序中負責官員不得提出任何對妨害信息安全行為的責任人員的懲戒措施建議。手冊也給出了這樣設計的理由：調查官員的職責是確定并報告事實，為杜絕此類妨害信息安全行為再度發生而需要采取的措施提出建議；紀律或懲罰措施則是相關軍事指揮官或行政官員的職責。查處分離的調查模式既有助于保證調查程序的客觀性、公正性和獨立性，繼而從個案的圈子里跳出并歸納出某些帶有規律性或普遍性的東西，同時也體現出整個查處工作的政策導向在于預防將來可能發生的涉密信息安全事件而非處罰已發涉密信息安全事件的責任人員。[3]

（四）建立報告和監督機制的指導思想和根本目標。手冊要求國防部各機構建立必要的報告和監督機制，以確保調查或審查程序在必要時得以啟動并以及時、高效的方式進行，為解決已確認問題還應當采取適當的管理措施。在進行調查、審查或管理分析時，要考慮到可能導致或誘發涉密信息安全事件的系統性缺陷，同時還要顧及機構安全程序、安全教育、安全運行監督管理等因素。手冊強調，盡管調查或審查程序會訴諸紀律處分或刑事追究，但只是作為一種手段，更主要的目的在于防范，任何未考慮誘發涉密信息安全事件因素的、單純的責任追究是不足取的。從某種意義上說，即使是涉密信息安全事件查處本身也不是目的，只有將其與提升整個系統的防范能力結合起來才具有真正意義。

[1]DoD Information Security Program:Protection of Classified Information,Number 5200.01,Volume 3.[EB/OL]．http://www. fas.org/sgp/othergov/dod/5200_01v3.pdf，2013-02-13．

[2]吳瑞．論保密行政管理部門向檢察機關移送案件的幾個問題[J]．保密工作，2012（7）：39．

[3]吳瑞．淺議保密紀律處分法律體系的完善[J]．保密科學技術，2013（1）：41．

（責任編輯：王玉葉）

TP309

A

1674-3040（2014）01-0044-04

2014-01-10

吳瑞，北京郵電大學博士后研究人員，西藏自治區保密局副局長；龐瑾，國家保密局干部。