白宫备忘录执行部门和机构的负责人新闻秘书办公室
(得克萨斯州克劳福德)2008年5月7日,
主题:指定和控制非机密信息的共享(CUI)
目的
(1)本谅解备忘录(a)采用,定义,和研究机构“控制非保密信息”(崔)作为单一的分类名称今后整个行政部门对于定义的范围内的所有信息,包括大多数信息迄今为止被称为“敏感但不机密”(单位)信息共享环境(伊势),和(b)建立相应的指定崔新框架,标志,保护,并指定传播信息为崔。该备忘录的目的是标准化操作,从而改善信息共享,而不是对新的或额外的信息进行分类或解密。
背景 - 当前的SBU环境
(2)美国面临的全球性威胁要求(一)我国的整个网络的后卫能够共享信息更快,所以那些必须有他们需要的信息,和(b)美国政府保护敏感信息,信息隐私和其他合法权利的美国人。一个统一的、更加标准化的政府范围内的SBU信息框架对于ISE的成功至关重要。因此,该备忘录建立了一个标准化框架,旨在促进和加强受控非机密信息的共享。
定义
(3)在本备忘录中,以下术语的含义如下:
一个。“控制非机密信息”是一个分类名称,指非保密信息不符合国家安全标准分类下行政命令12958年修订,但(我)与美国的国家利益或相关的重要利益实体在联邦政府之外,和(2)在法律或政策需要防止未经授权的披露,特殊处理措施,或规定的交流或传播的限制。此后,代号CUI取代了“敏感但非机密”(SBU)。
政策 - 崔框架b。“CUI委员会”是信息共享委员会(ISC)的一个小组委员会,由2004年情报改革和恐怖主义预防法案(公法108-458)(IRTPA)创建。
c。“CUI框架”是指管理源自部门和机构的CUI恐怖主义相关信息的指定、标记、保护和传播的单一政策和程序,而不考虑该信息的显示、存储或传递所使用的媒介。
d。“CUI框架标准注册表”(“CUI注册表”)是指由执行代理维护的CUI标记的官方列表和公认标准,包括“维护”和“传播”。
即“部门和机构”是指在第5篇第105规定的执行机构,美国法典;美国邮政服务;但不是政府问责办公室。
f。“增强保障”是一项处理要求,意指如此指定的信息受到比通常要求更严格的措施的约束,因为无意或未经授权的披露会造成重大损害的风险。这一要求由“受控增强”标记表示。
g。“执行代理人”指国家档案和记录管理局(NARA)。
h。“信息”系指由联邦政府所有、由联邦政府或为联邦政府生产、或由联邦政府控制的任何可传播的知识或文件材料,无论其物理形式或特征如何。
一世。“信息共享环境”是指便于共享的方法“恐怖主义信息”,由IRTPA的部1016所定义的。
学家被规定的“保护”指的措施和控制以保护控制非保密信息。
ķ。“未分类的敏感”集体指的是足够的敏感,以保证保护从公开的一些级别但不保证分类的文件和资料在联邦政府内迄今使用的各种名称。
湖“指定传播”是一个处理指令的装置,以便所指定的信息是受支配,其传播被允许的范围内的附加说明。
米“标准传播”是一个操作指令手段传播有权有合理理由相信,传播会进一步的合法或正式访问目的的执行,提供的个人传播这些信息分配给他们的职责范围内这样做的程度。
ñ。“标准维护”是一个处理的要求,即装置,以便所指定的信息是受该减少未经授权的或无意的泄露的风险基线保护措施。这一要求应通过利用标记来表示“控制。”
O操作。“与恐怖主义相关的信息”指(i)的信息,到2007年的9/11委员会法案的实施建议界定公共110-53法,部分504;(ⅱ)国土安全信息,由6 U.S.C.所限定482(F);及(iii)执法信息涉及恐怖主义。
(4)统一使用CUI的是对促进有效ISE是必不可少的。各部门,各机构应在ISE内申请任何崔恐怖主义相关的信息的崔框架,该框架包括以下政策和标准,如在指定段落5-19概述,标识,维护和传播,在部门起源和机构,无论用于其显示,存储,或传送介质。
(5)所有崔应值得两级维护过程中的一种:标准(标记为“控制”)或增强(标记“受控增强”)。
(6)所有CUI应值得传播控制的两个层次中的一个:“标准传播”或“指定传播”。
(7)所有CUI应的(a)分类成的维护程序和传播控制,和(b)通过使用以下相应标记如此表示的三种组合之一:
(一世)“控制与标准传播”意味着信息需要标准的保障措施,以减少未经授权或无意披露的风险。允许传播的范围是合理地相信它将进一步执行一个合法的或官方的目的。
(8)任何额外的CUI标记只能由执行代理规定。禁止使用额外的CUI标记,除非执行代理人认为特殊情况需要使用额外标记。(2)“控制与指定的传播”这意味着信息需要保护的是减少未经授权或无意的泄露的风险的措施。材料含有对什么是允许传播的附加说明。
(ⅲ)“受控加强与指定传播”意思是,由于疏忽或未经授权的披露会造成重大损害的风险,因此需要采取比通常要求更严格的保障措施。材料含有对什么是允许传播的附加说明。
(9)部门和机构应适用崔注册的标准。崔的始发者可以不经收件人(或多个)施加额外的保障或传播的要求。任何部门或机构应当建立崔框架之外崔类别或规则。
(10)CUI的收件人应报告任何未经授权的或无意的公开内容,以所述指定机构。
(11)所有CUI须以清晰的方式进行标记,并符合有关标记的法定和监管要求(如有的话)。没有标记的CUI收件人应适当标记该信息,并告知发起者该信息已标记。
(12)只要有可能,预计各部门和机构将重新标记存档或传统的材料,当它被合并到ISE。
(13)崔标记可以通知但不控制是否公开或发布的信息给公众,如响应请求提出根据信息自由法(FOIA)的决定。
(14)原创部门和机构应控制是否在其标准或指定的传播指示之外传播CUI材料的决定,包括向媒体或公众的任何传播。
(15)材料同时包含CUI和非CUI信息,或包含多个类别CUI的,应当由部分相应标记,使得那些明确的区别是显而易见的。
(16)崔标志,应当纳入ISE相关的信息技术(IT)正在开发的项目或者未来开发的,并应在新的信息技术计划中得到体现。
(17)CUI标记须无论使用通过该信息出现或传达介质。口头交流应该描述控件语句开头,必要时,以确保收件人都知道的信息的状态。
(18)部门或机构不得强加在既不是分类,也没有崔的ISE信息保护的要求,传播控制。
(19)当一个部门或机构从国家,地方,部落,私营部门或外国合作伙伴收到崔始发,任何非联邦政府传统标记应予以保留,除非发端授权其去除。
(20) CUI框架的实施应自本备忘录签署之日起开始,并应在5年内完成。
崔框架实现
(21)执行代理负责监督和管理该CUI框架的实施。
(22)执行代理人的职权和职责如下:
一个。制定和发布崔政策标准和实施指导,这份备忘录,其中包括国家,地方,部落,私营部门适当的建议,并为实现崔框架外国合作伙伴的实体相一致。在适当时,建立新的保护和传播控制,并且在该特殊情况下保证使用的附加CUI标记,授权使用这种附加的标记的判定;
(23)一种CUI理事会兹建立作为ISC的一个小组委员会。其成员应从ISC的成员绘制。崔理事会应:b.成立并主持崔理事会;
c.建立、批准和维护标准和传播指示,包括各部门和机构负责人提出的“具体传播”要求;
d。发布在崔注册崔维护和传播标准;
即监控部门和机构遵守崔政策,标准和标志;
f。建立基线培训要求,并制定各部门和机构来实现的ISE宽崔培训方案;
g。提供关于崔框架国会,州,地方,部落和私营部门实体,以及外国合作伙伴适当的信息;
h。建议对投诉和等部门和机构的有关正确的指定或崔的标记之间的纠纷的崔安理会的决议部门和机构的负责人;和
i.与受影响的部门和机构协商,建立一个流程,解决对CUI不当处理的执行机制和处罚。
一个。作为主要顾问向执行代理就有关崔框架问题;金博宝正规网址
(24),各部门,各机构与藏应当与恐怖主义有关的信息的头部:b。向执行代理在开发程序,准则和标准必须建立,实施和维护的崔框架;
c。确保部门和机构参与崔框架之间的协调;
d。建议关于正确指定或崔的标记部门和机构之间的投诉和纠纷的解决执行代理;和
即适当时,与ISC的国家,地方,部落和私营部门小组委员会进行磋商。
a.确保该部门或机构内部CUI框架的实施;
崔指定b.根据第21段所述,根据崔执行代理人发布的全ise崔政策,颁布在该部门或机构内实施崔框架的指导意见;
c。采用注册表维护执行代理崔上市标记13759等部门或机构,与段落这份备忘录的5-8一致独家崔标记;
d。提出任何必要的“指定传播”批准,并在崔注册上市指令执行代理;
e.从本部门或机构中指定一名适当资格的高级官员作为崔理事会的代表;
f.根据执行代理建立的ISE-wide培训计划,为各自的部门或机构实施CUI培训计划,并确保所有合适的人员(i)了解CUI政策和程序,并(ii)在创建、传播或保护CUI材料时可以应用这些政策和程序;
g。建立一个流程,使它们各自的部门或机构的地址不遵守该机构内的新崔框架,并确保管理和监督问题或疑虑,可以提升到相应的部门或机构的决策者;金博宝正规网址
h.在各自的部门或机构内建立一个程序,在适当情况下,迅速向执行代理提出有关框架的关切事项;和
一世。确保全面实施崔框架,用5年该备忘录之日起执行代理建立,政策,指导和标准相一致。
(25)如有下列情况,资料须指定为CUI,并带有授权的CUI标记:
一个。法规规定或授权这样的指定;要么
(26)尽管如上所述,信息不应被指定为CUI:b.发起部门或机构的负责人,通过对该机构的规章、指令或其他具体指导,确定该信息是CUI。此类决定应基于任务要求、商业审慎、法律特权、对个人或商业权利的保护、安全或保障。各部门或机构之指示、规定或指引,应提交执行代理人审阅。
一个。于(i)隐瞒违法行为,效率低下,或行政错误的;(二)防止尴尬联邦政府或任何联邦官员,任何组织或机构;(iii)与在私营部门竞争不当或非法干扰;或(iv)预防或延迟的不需要这种保护信息的发布;
例外崔b。如果需要提供给公众;要么
c。如果它已经被适当之下向公众发布。
(27)本备忘录要求由各部门和机构发起并在ISE内共享的所有CUI均应符合根据本备忘录制定的关于指定、标记、保护和传播的政策和标准。然而,基础设施保护协议没有完全适应崔框架(及其相关的标记、保护要求和传播限制)应被视为崔框架的例外。基础设施保护例外包括并适用于受以下法规管辖或受以下法规管辖的信息:
一个。6 CFR铂。29 - PCII(受保护的关键基础设施信息);
(28)所述的CUI框架应被用于这样的信息在可能的最大程度,但不应影响或与用于标记,维护,和传播特定的法规要求干涉。49 CFR Pts. 15(交通部)和1520(国土安全部/运输安全管理局)——SSI(敏感安全信息);
CFR第27条—CVI(化学脆弱性信息);和
d。10 CFR铂。73 - SGI(保障信息)。
(29)受影响的部门或机构有权为该规定选择最适用的CUI保障标志。在CUI框架下指定的保护之外的任何附加要求都应该在CUI注册表中适当地注册。任何监管标识都应遵循CUI标识,并应在指定的发布说明中明确说明任何额外的监管要求。
一般规定
(30)这备忘录:
a.应以与适用法律一致的方式执行,包括保护美国人信息隐私权和其他法律权利的联邦法律,并取决于拨款的可用性;
b。应与有关部门和机构各自的部门或机构负责人的主要人员的法定权力相一致的方式实施;
c.不得解释为损害或影响管理和预算厅主任有关预算、行政和立法建议的职能;和
d。仅旨在改进联邦政府的内部管理,不打算,并通过对美国,它的部门,机构的当事人一方不,创建任何权利或利益,实质性或程序,强制执行在普通法或衡平法,或实体,其管理人员,雇员或代理人或任何其他人。
布什