民間法人與美國政府之安全考核

由於美國政府將許多研發、生產或運輸的工作委由民間公司或單位辦 理，因此必須建立一套安全認證的方針，以確保機密資訊的安全。

壹、 美國政府對重要民營事業機構之考核制度

美國政府委託民營生產、研發之國防、航太、資訊、關鍵材料、生化 技術等高科技民間公司之相關考核制度如下：

一、 政府與委託民營辦理之高科技公司先進行協商，並「定義」研發或 生產之物件何者為「機密」，何者為「非機密」。

二、 對於前項定義為「機密」等級者，政府將對公司負責人進行安全及 背景調查（美國規定公司負責人需具有美國籍）。另對該民間公司 執行及參與「機密」事項之員工名單亦逐一進行安全認證。

三、 經 安 全 認 證 無 虞 後 ， 政 府 與 該 廠 商 簽 訂 「 保 密 協 議 規 定 」

（non-disclosure agreement）。

四、 另，該公司亦會要求參與「機密」事項之員工簽署類似保密協議規 定，內容包括若洩漏從事之業務機密（政府解密公佈或超越解密年 限者不在此限），將接受法律制裁等內容，中途離職者亦受該規定 約束。

五、 合約民間廠商對執行機密業務之新進員工亦需提報政府相關部門 作安全認證，另該民間廠商之安全部門亦將負責平時之保密及查核 工作。

貳、 國家產業安全計畫（National Industrial Security Program, NISP）

美國政府除了制訂對民間公司的考核制度外，更依據第12958 號行政 命令創 立「國 家產 業安全 計畫」（National Industrial Security Program, NISP），以保護授權給與美國政府有契約關係的法人使用之機密資訊。

一、 創立國家產業安全計畫

（一） 創立 NISP 之目的：保護授權給法人使用之國家機密資訊，

NISP 應適用於所有之政府單位

（二） 要保護的資訊分類:參 12356 號行政命令及原子能法之規定

二、 政策指導

（一） NISP 由國安會進行指導

（二） 執行及監督單位：根據 12356 號行政命令而設立之國家資 訊 安 全 監 督 局 （Information Security Oversight Office, ISOO）

（三） ISOO 需執行的工作：發展、公佈國安會核准的指令，以 執行本命令

（四） 監督政府單位及法人是否確實執行本命令

（五） 複審各單位之施行規定、內規、要點等。如與本命令抵觸，

ISOO 局長在國安會同意後，應要求修改該規則。

（六） 對相關政府單位及法人進行實地監督，要求法人提供報告 及必要的合作。如 ISOO 的要求對國家安全有重大影響，

該單位或法人得向國安會請求拒絕ISOO 之指令。

（七） 向相關單位首長或代表報告違反本命令的情形，以便採取 補救措施。相關報告應直接交遞相關單位首長。

（八） 透過國安會，向總統報告諮詢委員會的建議

三、 諮詢委員會

（一） 委員會成員：ISOO 局長（擔任主委）、NISP 相關之政府單 位代表、法人代表。

（二） 委員會功能：對NISP 有關事項提供諮詢意見

四、 作業要點內容：

（一） 部會分工：以國防部長為首，其他相關部門主管為輔（能 源部長和核能管理委員會主管負責有關 1954 原子能法規 定受保護資訊方面、CIA 局長負責情報來源與機密），負責 頒佈、維持作業要點

（二） 作業要點應規定機密資訊管理辦法。包括：政府與法人議 價、協商、簽約、契約執行期間、契約終止等期間

（三） 應列明保護機密之需求、限制其及他必要之安全措施。機 密資訊包括限制性資料、之前的機密、情報來源、敏感資 訊、特殊計畫等

（四） 制訂作業要點時應考慮的重點：

1. 機密一旦洩漏，對國家安全可能造成的危害 2. 現有、或未來可能導致機密洩漏的威脅 3. 執行保密方式的長、短期花費

五、 執行監督

（一） 國防部長應為主要執行者。職責為監督法人、決定接觸機 密的層級。由DSS 負責認證的各政府單位應同意由國防部 長代為執行上述職權。

（二） CIA 局長之權限：使用機密、監督法人，或在明文協議下，

與國防部長共同擔任主要執行者。

（三） 主要執行者與相關單位協商後，為了有效實行國家產業安 全計畫，有權頒佈表格或其他相關標準。.

六、 計畫執行

（一） 相關單位應指派資深官員擔任該單位執行 NISP 的承辦人

（二） 委託 DSS 進行認證的各政府單位，其有關 NISP 的規定，

應與本命令與作業要點之規定相符。本作業要點發佈後 180 天內，該單位必須開始實施各自的相關規定。各單位 可參考作業要點的內容，或完全依照作業要點規定。

（三） 各單位主管應確保作業要點之執行，遇有違反本手冊情形 時，應迅速採取改正措施。

（四） 執行 NISP 作業要點之花費每年要報帳，彙整報至國家資 訊安全監督局Information Security Oversight Office 主管，

以為向總統報告之依據。

（五） 國防部長等相關首長應確保政府採購法規定應配合 NISP 規定。

（六） 所有會使用到機密資訊的政府合約、作業手冊或證照核

發，均應符合 NISP 規定。在合法、可能的情形下，也應 溯及既往，將過去不符NISP 的契約等加以改變。