美军涉密信息安全事件查处规范的新发展
——美国防部DoDM 5200.01手册相关内容述评

□吴瑞，庞瑾

（1.北京邮电大学，北京 100876）

（2.国家保密局，北京 100084）

美军涉密信息安全事件查处规范的新发展
——美国防部DoDM 5200.01手册相关内容述评

□吴瑞1，庞瑾2

（1.北京邮电大学，北京 100876）

（2.国家保密局，北京 100084）

美国国防部2012版《信息安全纲要》手册明确了各类涉密信息安全事件查处的具体要求和做法，重点涉及泄密事件的构成和分类、报告和调查的规程、处置措施和危害评估等方面内容。该手册中关于涉密信息安全事件查处的相关规范，对我国泄密案件查处工作具有一定的参考和借鉴价值。

信息安全；涉密信息安全事件；危害评估；查处；美国

一、引言

2012年2月，美国国防部发布了新版《信息安全纲要》手册（编号DoDM 5200.01，以下简称手册），在总结近年经验的基础上，针对网络环境下的信息安全工作做出一些重要修改。手册分为4册，分别是概述、定密与解密、涉密信息标识、涉密信息保护以及受控非密信息，其中第3册[1]相关内容明确了各类涉密信息安全事件查处的具体要求和做法。

二、手册关于涉密信息安全事件查处的主要内容

手册第3册涉及日常保密管理，主要包括涉密信息的保护、存储、销毁、传送和运输，信息安全教育培训，涉密信息安全事件以及信息安全主管常涉的信息技术问题。作为本册的附件6，《涉密信息安全事件》详述了泄密事件的构成和分类、报告和调查的规程、处置措施和危害评估等方面的内容。以下择其要点予以介绍。

（一）涉密信息安全事件查处中的几个概念。

1.违规行为（Infraction）。没有遵守13526号总统行政命令《国家安全信息保密》、联邦条例、手册或其他现行安全政策，但没有造成或不能合理预见造成涉密信息的损失、危害（或疑似危害）的信息安全事件被界定为违规行为。

2.妨害信息安全行为（Violation）。造成或可以合理预见造成涉密信息的损失、危害的信息安全事件被界定为妨害信息安全行为。其中，危害（Compromise）是指未经授权披露涉密信息的情形，而在检查中发现涉密信息/装备丢失并无法立即确定其所在的情形则被认定为损失（Loss）。

3.调查（Inquiry）。调查是在寻求事实并加以分析的基础上确定是否存在涉密信息损失、未授权人员接触或可以接触涉密信息的程序，旨在查清事实、辨别违规或妨害信息安全行为、找出可能的事发原因和责任人员、报告已采取和可采取的补救措施、为是否有必要采取更多补救措施和深度审查提供建议。

4.审查（Investigation）。如果无法通过调查程序处理一起妨害信息安全行为，或是采取深度、全面检查较为适合时，就有必要启动审查程序。

（二）报告与通知程序。手册规定了不同身份的人员和不同性质的机构在发现涉密信息安全事件时报告与通知的义务、途径与方式，其中较为重要的一条,是以下情形应当通报国防部负责情报副部长办公室〔OUSD(I)〕的安全主任：1.涉及间谍的信息安全事件；2.未经授权在公共媒体上披露涉密信息；3.报告国会监督委员会、可能吸引广泛公众关注、涉及大量涉密信息以及暴露出定密、保密、解密政策或实践中潜在的系统性缺陷等4类情形；4.一项特别接触方案（SAP）产生或延续与国防部5205.07号命令《特别接触方案政策》、国防部O-5205.11号指令《国防部特别接触方案处理、管理与监督》、手册和国家政策等抵触；5.有关防卫行动、体系或技术的涉密信息泄露或危害，可能造成重大损害或对美国国家安全利益造成损害，根据美国法典第10编第2723节需要报告国会的；6.由国防部高级官员确定的其他异乎寻常的信息安全事件。

（三）特殊情况的处置。手册的制定者认为涉密信息的特定类型或特别的情形会导致需要独特处置或考虑附加报告要求，因而分别列举了15种特殊情况下的处置办法，值得关注的有以下几条：1.凡涉及蓄意破坏、外国情报机构、国际恐怖组织以及疑似机构的涉密信息安全事件，应当立即根据国防部5240.06号命令《反谍报知会和报告》（CIAR）报告有管辖权的国防反谍报部门，除非与前者充分协调，安全官员不应启动或继续对该事件的调查或审查；2.明显触犯刑法，但有理由认为不属于间谍或上述1条情形的，应当立即报告当地的国防刑侦组织（DCIO），如果该组织受理并启动程序，应当在采取进一步调查或审查行动前予以协调,以避免损害调查的完整性；3.涉及通信安全措施（COMSEC）或密码信息的现实或潜在危害事件，应当根据NSTISSI4003号《通信安全措施的报告和评价》处置；4.涉及外国政府信息或北约信息的现实或潜在危害事件，应当由国防部高级官员立即报告负责政策的副部长，再由该副部长办公室的指定人员代表DSA通知并协调北约或外国政府；5.如果不当处理、提交、包装、传送、运输涉密信息的接收机构认为属于构成危害时，应当立即通知发送机构，后者负责启动调查或审查程序,并负责通知初始定密机构（OCA）等单位。通过外国邮政系统处理，运输容器损坏导致内容外泄，或者经由未经批准传输涉密信息的电话、传真、短信、电子邮件、计算机或数据连接等通信线路传输等，均应考虑已构成危害。

（四）调查和审查程序。手册明确了调查和审查的要求，与刑侦组织或国防反谍报部门以及初始定密机构的协调，并对调查和审查提出了不同的设计。1.调查程序。机构负责人或有安全处置权限的机构安全主管应迅速对现实或潜在的危害行为启动调查程序，以确定事件的事实和详情，辨别违规或妨害信息安全行为，并在调查结论中描述其发现与建议采取进一步审查或其他行动。被指定负责调查程序的官员应与该信息安全事件无关，并且最好不要是安全主管，调查应当迅速启动并在不超过10个工作日内尽快结束。结案标准极为详尽并具操作性：（1）涉密信息安全事件发生的时间、地点及经过，导致或促成该事件的人员、情势或条件；（2）涉密信息是否受到危害；（3）如果构成危害，涉及哪些涉密信息和材料；（4）如果报失涉密材料，采取何种步骤以定位该材料；（5）信息是否正确定密；（6）信息是否正式公布；（7）在涉及公共媒体的情形下，涉密信息出现在何种媒体（文章、程序、书籍、互联网记录或其他媒体），受危害信息散布与传播的范围，进一步调查是否会增加损害；（8）可能确定责任人员的线索是否调查；（9）如果不构成危害，也不属于无意或疏忽，现行安全实践和程序中是否存在可能导致危害发生的缺点和弱点。2.审查程序。如果需要更加细致和全面的情况，机构负责人应当书面任命一人领导审查程序，为后来的矫正和惩戒措施提供建议，除非特殊情况，安全主管不得担任该职务。鉴于审查程序可能导致行政或处分措施，所收集证据的性质应当是兼容的，可以用于相应的法律或行政程序，必要时可以咨询当地法律顾问有关程序上的意见，最终必须做出书面的审查结论。

（五）初始定密机构采取的措施。得到涉密信息受到危害的通报后，初始定密机构应当采取以下措施：1.核实信息原定密级及保密期限；2.对原定密级重新评估以决定是否维持或改变密级，审查中需要考虑到3类可能性，第一类是信息在初次定密后是否丧失其全部或部分敏感性以至于应当降密或解密，特殊情况下也会发生信息的敏感性提升以至于应当升密，第二类是事件已严重危害到信息的安全以至于试图继续对其加以保护已变得不现实或不可取因而应当解密，第三类是应当维持信息的现行密级并继续加以保护；3.在72小时之内将以上定密评估的结论通报发生信息安全事件的机构；4.对事件危及的系统、计划、程序、项目所造成的冲击进行评估，考虑可以最小化、减轻或限制对国家安全造成的危害，并可以防止造成进一步危害或损失的对策（即损害控制措施），启动或建议采取上述对策，具体而言有3点：一是尽快采取适当对策，可以在完成定密审查或损害评估之前启动，二是对策可以包括变更计划或系统的设计特点、修订操作规程、对相关信息提供强化保护（如升密）以及其他适当措施，三是评估信息费用、运作或技术损失、对策整体费用，对策生效的可能性，以及对特定涉密信息造成绝对损失、危害的系统性冲击；5.按照要求开展损害评估，以确定涉密信息对国家安全受到危害的影响。

（六）损害评估。对国家安全危害的程度应该通过专门进行的损害评估加以确定：1.一项损害评估通常包括对危害相关事实详细、多领域的全面检查，以确定对国防部计划、运作、体系、物资、情报的损害，以及国防部履行其职责能力的现实影响，提出减轻或抵消冲击的弥补措施或对策，估算为确保或恢复安全、重置被严重危及的武器系统或性能而采取相应对策的实施费用，并于适当时提出明确的行动建议；2.损害评估在定密审查之后开展，并且经常会接着采取一些检控行动；3.损害评估不可与初始定密机构采取的定密审查或损害控制措施混淆，后两者都是在发现泄露或危害后立即采取的，以降低风险、控制损害，防止进一步损失或危害目标。

所有国防部单位都应当建立一套控制体系和内部程序，至少在涉及间谍、情报信息或经由公共媒体的危害等情形下确保损害评估得以开展。执行损害评估是初始定密机构和专家的职责，安全官员应当以适当方式提供所需的协助。国防部要求危害涉密信息的损害评估应在宣告危害之日起6个月内办结。

（七）未经授权接触的责令保密。对于未经授权而接触涉密信息的情形，研判提高此类人员严格保守涉密信息的可能性的相关形势是明智的。机构负责人应当决定是否批准采取责令保密，决定应当基于事件详情、涉及人员情况以及信息性质而做出，应当遵循以下几点基本指导方针：1.如果未授权接触的情形属于拥有安全许可但无需知悉的人员，通常采取责令保密的处理方法，以确保相关人员知道其未经授权而接触的属于涉密信息并需要加以保护；2.如果未授权接触的情形属于不拥有安全许可的美国政府公职人员、军事人员或政府合同商的雇员，通常也采取责令保密的处理方法，应当告知相关人员防止进一步散布信息的责任以及违反此点可能导致的行政制裁和刑事处罚。设计责令保密的具体要求时应当确保相关人员理解涉密信息的性质，对其加以保护的重要性，以及知晓当他人试图获取涉密信息时如何处理。当相关政府公职人员或政府合同商的雇员不属于国防部系统时，还要将责令保密的要求通报其主管机构的安全官员；3.如果未授权接触的情形属于非美国政府组织人员，也不是美国政府合同商的雇员时，则必须视情况作出决定，关键问题在于责令保密是否能对相关人员保密的能力和意愿产生积极效果；4.如果相关人员可能成为刑事追究或纪律处分的对象，那么在采取责令保密措施前要咨询法律顾问；5.在某些情形下，可以要求相关人员签署一份承诺保密以及理解其有关内容的声明，或者填写312标准表格（SF 312）。如果没有沿用保密协议（NDA），那么声明的类型和格式可由当地安全官员裁量，允许为适应特定涉密信息事件的要求而存在一定弹性。如果相关人员拒绝签署保密协议或保密声明，那么这一事实及其拒绝的理由应当在调查程序中记录在案。

（八）涉密信息安全事件报告。手册附件提供了涉密信息安全事件报告的样式，并说明该样式作为一份指南是非强制性的，可以根据不同机构以及事件具体情况采用全本或裁剪使用。总之，报告的目标在于确定“5W+1H”（事件涉及的人员、内容、时间、地点、原因以及过程），并确定为避免将来发生类似事件而采取的措施。报告分为三大部分，前面是文头，包括报告呈送的官员（TO）、经由的指挥系统(THRU)和标题(SUBJECT)；中间的主体部分是报告正文；最后是调查或审查官员的签名。报告正文分为六部分：1.概述。简要介绍特定妨害信息安全行为的“5W+1H”。2.事件经过。陈述事件自始至终的详细过程，包括按照涉案时间排列的全部人员（姓名、级别、社会安全号码、职务、机构、涉密等级、接触授权）名单和全部地点。3.已采取措施。列明在调查或审查程序中采取的措施，如作出的通报、发出的信息、开展的询问、进行的咨询、给予相关人员的处理以及其他需要的信息，还包括调查或审查程序的起止时间。4.建议。为排除将来发生同类事件而提出的建议。5.标注。标明进行调查或审查的官员及其所属机构和电话号码。6.评估注解。列入调查或审查的其他相关信息，附上询问陈述及记录、文件证据等。

三、对美军涉密信息安全事件查处规范的几点感想

新版手册内容详实、操作性强，其中涉密信息安全事件查处的相关规范对我国泄密案件查处工作具有一定的参考和借鉴价值，笔者在此列举几点。

（一）对于涉密信息安全事件的明确界定和精准区分。手册以是否造成或能够合理预见造成涉密信息的损失或危害为基本标准，将各类涉密信息安全事件分为违规行为、产生危害的妨害信息安全行为和造成损失的妨害信息安全行为三类，并针对不同类别规定了不同的处置方法和程序。[2]值得注意的是，手册列举了若干对安全产生威胁，对涉密信息和装备安全具有潜在危害，但却不作为涉密信息安全事件处理的情况：将废纸回收盒置于涉密复印机旁边或将涉密文件销毁袋置于普通垃圾容器旁边，手持涉密材料停留在公共场所处理个人事务，没有按照需要及时更换安全容器的密码。上述分类处置、限定范围的做法有利于迅速、高效地处理各种情况，集中精力、突出重点地降低或消除各种信息安全风险因素。

（二）对于涉密信息安全事件报告的严格管控。为对事件涉及人员的信息提供适当保护，以及防止为未授权接触涉密信息提供便利，涉密信息安全事件报告至少要被标注为“仅供官方使用”（FOUO），还有相当数量的报告要根据其内容以及相应的安全定密指南所规定的密级进行定密。如果涉密信息安全事件报告要散发到国防部系统之外（如其他联邦机构），文件封面还应当标注扩展标记，申明其信息可能免除依据信息自由法（FOIA）而进行的强制公开。对涉密信息安全事件报告严格管控能够产生两方面的积极效果：一方面有利于控制并尽量减小事件本身造成的负面影响；另一方面有利于避免因不当使用报告文件而造成的泄密范围进一步扩大（二次泄密）。

（三）建立查处分离的调查模式。手册规定，在调查程序中负责官员不得提出任何对妨害信息安全行为的责任人员的惩戒措施建议。手册也给出了这样设计的理由：调查官员的职责是确定并报告事实，为杜绝此类妨害信息安全行为再度发生而需要采取的措施提出建议；纪律或惩罚措施则是相关军事指挥官或行政官员的职责。查处分离的调查模式既有助于保证调查程序的客观性、公正性和独立性，继而从个案的圈子里跳出并归纳出某些带有规律性或普遍性的东西，同时也体现出整个查处工作的政策导向在于预防将来可能发生的涉密信息安全事件而非处罚已发涉密信息安全事件的责任人员。[3]

（四）建立报告和监督机制的指导思想和根本目标。手册要求国防部各机构建立必要的报告和监督机制，以确保调查或审查程序在必要时得以启动并以及时、高效的方式进行，为解决已确认问题还应当采取适当的管理措施。在进行调查、审查或管理分析时，要考虑到可能导致或诱发涉密信息安全事件的系统性缺陷，同时还要顾及机构安全程序、安全教育、安全运行监督管理等因素。手册强调，尽管调查或审查程序会诉诸纪律处分或刑事追究，但只是作为一种手段，更主要的目的在于防范，任何未考虑诱发涉密信息安全事件因素的、单纯的责任追究是不足取的。从某种意义上说，即使是涉密信息安全事件查处本身也不是目的，只有将其与提升整个系统的防范能力结合起来才具有真正意义。

[1]DoD Information Security Program:Protection of Classified Information,Number 5200.01,Volume 3.[EB/OL]．http://www. fas.org/sgp/othergov/dod/5200_01v3.pdf，2013-02-13．

[2]吴瑞．论保密行政管理部门向检察机关移送案件的几个问题[J]．保密工作，2012（7）：39．

[3]吴瑞．浅议保密纪律处分法律体系的完善[J]．保密科学技术，2013（1）：41．

（责任编辑：王玉叶）

TP309

A

1674-3040（2014）01-0044-04

2014-01-10

吴瑞，北京邮电大学博士后研究人员，西藏自治区保密局副局长；庞瑾，国家保密局干部。