Page 8 - 清流雙月刊 NO.14
P. 8
漫談國家關鍵基礎設施
分享資訊的程序
步驟,利用正式和非正式管道,傳送到資
一旦獲得資訊,政府機關和私部門通 訊分享平台。該參考指引建議如下七個步
常依組織的內部規則、要求和程序的執行 驟(請參閱圖一):
Ӊɓj೯ৎ٫ᐏ༟ৃ
發起者以多種方法(調查、評估和情報收集),從多樣的來源(開放資料、機密、執法、
情報、公共和私人)獲取資訊。例如:私人公司的保全人員在其設施或其 IT 網絡上觀
察到安全漏洞趨勢;聯邦各級執法部門收集到非法或可疑活動資訊;情報機關經過分析,
確定資訊具威脅性等。
Ӊɚj೯ৎ٫௪˖Ԩᅺൗڭᚐഃॴ
通常,可透過通用標準整理文件,例如「報告可疑行動(SAR)」規範必備的資料格式
與流程,以方便評估作業,另外也必須標記文件機密等級,例如資訊來源為情報單位,
通常標記為機密;來自執法單位,則標記 LES(Law Enforcement Sensitive);含有個資,
必須標記 PII(personally identifiable information)。
Ӊɧj೯ৎ٫᜕ᗇձʱؓ༟ৃ
發起者在能力的範圍內,須結合相關知識,驗證資訊的準確性,並考慮資訊是否符合
合作夥伴的正式資訊要求,或者可能對較大的關鍵基礎設施社區有價值。
Ӊ̬j೯ৎɛԱπ՟ၾԴࠢ͜ՓԶ༟ৃ
根據步驟二的保護標記,發起人須決定誰會看到這些資訊,並依法處理。例如來自情
報機關的資訊,而有必要與私部門分享時,由國土安全部或 FBI 將資訊部分內容加以切
割或遮蔽,反之亦然;且資訊遞送過程須使用安全的通訊管道,例如「國土安全資訊
網―關鍵基礎設施(HSIN-CI)」限定 IP 及雙重身分認證;機密資訊則必須使用批准的
機密資訊共享管道和機制來共享。
6 清流雙月刊