保护受控未分类信息 Rev 3

在系统级别的持续监控有助于持续了解系统安全状况，从而支持风险管理决策。术语“持续”和“不断”意味着组织以足够的频率评估和监控其系统，以支持基于风险的决策。不同类型的安全要求可能需要不同的监控频率。

信息交换适用于两个或多个系统之间的信息交换，包括组织内部和外部的系统。组织会考虑在系统与其他可能具有不同安全要求或策略的系统交换信息时，可能引入的新威胁或增加的风险。所选择的协议类型是基于多个因素，例如交换信息的组织之间的关系（例如，政府对政府、企业对企业、政府对企业、政府或企业、或政府或企业对个人）以及另一系统的用户对组织系统的访问级别。协议类型可以包括信息交换安全协议、互联安全协议、谅解备忘录或协议、服务水平协议或其他类型的协议。组织可以将协议信息纳入正式合同，尤其是联邦机构与非联邦组织之间建立的信息交换协议（例如、服务提供商、承包商、系统开发人员和系统集成商）。交换协议中包含的信息类型包括每个系统的接口特性、安全要求、控制措施和责任。

行动计划和里程碑（POAMs）是组织安全计划中的重要文件。组织使用POAMs来描述如何满足未达成的安全需求，以及如何实施计划中的缓解措施。组织可以将系统安全计划和POAMs记录为单独或合并的文档，格式可以任意。联邦机构可以将系统安全计划和整改计划（POAM）作为基于风险的决策输入，用于决定是否在由非联邦组织托管的系统上处理、存储或传输受控非公开信息（CUI）。

通过评估安全需求，组织可以确定所需的防护措施和应对手段是否得到正确实施、按预期运行并产生预期结果。安全评估能够识别系统中的薄弱环节，并提供做出基于风险决策所需的关键信息。安全评估报告记录评估结果，详细程度由组织根据需要确定，以便判断报告的准确性和完整性。安全评估结果会提供给适用于所进行评估类型的个人或角色。