保护受控未分类信息 Rev 3

信息交换适用于两个或多个系统之间的信息交换，包括组织内部和外部的系统。组织会考虑在系统与其他可能具有不同安全要求或策略的系统交换信息时，可能引入的新威胁或增加的风险。所选择的协议类型是基于多个因素，例如交换信息的组织之间的关系（例如，政府对政府、企业对企业、政府对企业、政府或企业、或政府或企业对个人）以及另一系统的用户对组织系统的访问级别。协议类型可以包括信息交换安全协议、互联安全协议、谅解备忘录或协议、服务水平协议或其他类型的协议。组织可以将协议信息纳入正式合同，尤其是联邦机构与非联邦组织之间建立的信息交换协议（例如、服务提供商、承包商、系统开发人员和系统集成商）。交换协议中包含的信息类型包括每个系统的接口特性、安全要求、控制措施和责任。