漫談國家關鍵基礎設施














            分享資訊的程序
                                                                步驟，利用正式和非正式管道，傳送到資

                 一旦獲得資訊，政府機關和私部門通                               訊分享平台。該參考指引建議如下七個步
            常依組織的內部規則、要求和程序的執行                                  驟（請參閱圖一）：





                  Ӊ᜷ɓj೯ৎ٫ᐏ੻༟ৃ


               發起者以多種方法（調查、評估和情報收集），從多樣的來源（開放資料、機密、執法、
               情報、公共和私人）獲取資訊。例如：私人公司的保全人員在其設施或其 IT 網絡上觀

               察到安全漏洞趨勢；聯邦各級執法部門收集到非法或可疑活動資訊；情報機關經過分析，
               確定資訊具威脅性等。


                  Ӊ᜷ɚj೯ৎ٫๟௪˖΁Ԩᅺൗڭᚐഃॴ


               通常，可透過通用標準整理文件，例如「報告可疑行動（SAR）」規範必備的資料格式
               與流程，以方便評估作業，另外也必須標記文件機密等級，例如資訊來源為情報單位，

               通常標記為機密；來自執法單位，則標記 LES（Law Enforcement Sensitive）；含有個資，

               必須標記 PII（personally identifiable information）。


                  Ӊ᜷ɧj೯ৎ٫᜕ᗇձʱؓ༟ৃ

               發起者在能力的範圍內，須結合相關知識，驗證資訊的準確性，並考慮資訊是否符合

               合作夥伴的正式資訊要求，或者可能對較大的關鍵基礎設施社區有價值。


                  Ӊ᜷̬j೯ৎɛԱπ՟ၾԴࠢ͜Փ౤Զ༟ৃ


               根據步驟二的保護標記，發起人須決定誰會看到這些資訊，並依法處理。例如來自情
               報機關的資訊，而有必要與私部門分享時，由國土安全部或 FBI 將資訊部分內容加以切

               割或遮蔽，反之亦然；且資訊遞送過程須使用安全的通訊管道，例如「國土安全資訊
               網―關鍵基礎設施（HSIN-CI）」限定 IP 及雙重身分認證；機密資訊則必須使用批准的

               機密資訊共享管道和機制來共享。













            6    清流雙月刊