國防部政策與監督報告評估：關於使用非國防部控制的電子訊息系統處理公務

關鍵章節標題列表

1. 執行摘要
2. 建議、管理層評論與我們的反應
3. 引言
4. 目標
5. 發現
6. 與分類、解密及國防部人員在非國防部控制電子訊息系統上共享資訊相關的國防部政策摘要
7. 國防部重申其政策；然而，人員未能始終遵守關於電子訊息和記錄留存的聯邦法律與國防部政策
8. 國防部尚未完全落實國防部監察長辦公室關於使用非國防部控制電子訊息系統的建議
9. 違反國防部政策及報告建議落實不完整加劇了安全風險
10. 建議、管理層評論與我們的反應
11. 附錄A：範圍與方法論
12. 附錄B：報告建議狀態
13. 附錄C：國防部受控非密資訊、分類與解密政策及流程摘要
14. 附錄D：國防部電子訊息系統政策與指南編年摘要

文件簡介

本報告係應美國參議院軍事委員會主席和資深委員於2025年3月26日的請求而編制，旨在評估國防部關於政府官員和雇員在非政府網路及電子應用程式上共享敏感與機密資訊的政策，審查其分類與解密政策及流程，並就識別出的潛在問題提出建議。報告的核心是對2021年至2024年間發布的7份國防部監察長辦公室報告所揭示問題的系統性審查與總結，並在此基礎上提出改進建議。需要指出的是，引發此次審查請求的具體事件（涉及國防部長使用Signal應用程式處理公務）的事實與情況，已由另一份獨立的國防部監察長辦公室報告專門處理。

報告明確指出，根據國防部多項政策與通信要求，其政策體系包含以下關鍵規定：要求對解密資訊進行明確標記並註明解密授權方；原則上禁止使用非國防部控制的電子訊息系統（僅在有限例外情況下允許），並明確禁止出於便利性或主觀認為安全而使用此類系統；要求國防部人員保護非公開的國防部資訊；以及要求國防部人員遵守聯邦法律以留存官方記錄。然而，本報告對7份既往報告的審查發現，國防部人員存在未能遵守資訊與行動安全、電子訊息使用及記錄留存政策的情況。例如，一項評估發現，在COVID-19疫情期間大規模遠端辦公初期，由於部分國防部下屬單位準備不足，一些遠端辦公人員報告使用了未經授權的視訊會議應用程式、個人筆記型電腦和手機來完成工作。此外，報告所總結的7份報告中包含的48項建議，截至審查時仍有22項處於未完成狀態。

這些不合規行為與建議落實的滯後，直接導致了安全風險的累積與加劇。國防部人員使用非國防部控制的電子訊息系統，可能危及國防部的行動或任務。儘管國防部政策明確規定，若使用此類系統，相關人員必須在資訊發送後20天內將記錄轉移至國防部記錄系統，但實際執行情況存在缺口。這種政策與實踐之間的差距，構成了顯著的資訊安全與行動安全漏洞。

基於上述發現，報告向國防部首席資訊官提出了4項具體建議。其中3項建議（包括：提供滿足國防部內部、外部、跨密級、行動裝置合規共享資訊需求的國防部可控能力；要求為國防部政治任命官員、將官及文職高管提供關於如何合規使用行動裝置與應用程式的客製化培訓；以及澄清並統一國防部電子訊息政策中的豁免流程）已獲得履行國防部首席資訊官職責的官員的反應並得到解決，但需待提供實施證據後方可關閉。另一項關於在年度網路安全培訓中加入使用非國防部控制電子訊息服務的影響與風險資訊的建議，目前管理層存在分歧，故處於未解決狀態。同時，報告建議負責情報與安全的國防部副部長辦公室進行全國防部範圍的評估，以查明人員使用非國防部控制電子訊息系統處理公務的普遍程度及相關風險，並將結果提交首席資訊官。該建議目前僅獲得部分同意，計劃進行範圍較小的風險評估，未能完全滿足建議意圖，因此亦屬未解決。

本評估嚴格遵循了既定的範圍與方法論，審查了相關政策文件、既往報告及電腦處理數據，旨在為國防部決策層提供基於證據的決策支持，以加強資訊安全管理，確保政策得到有效執行，並降低因通信技術使用不當而引發的系統性風險。