NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

组织只有在信息存在于系统内时才能直接保护信息。一旦信息传输到系统之外，可能需要额外的控制措施，以确保组织信息得到充分保护。在系统无法确定外部实体提供的保护措施是否足够的情况下，作为一种减轻控制措施，组织会通过程序性方式确定外部系统是否提供了足够的控制。用于确定外部系统提供的控制措施是否充分的方法包括进行定期评估（检查/测试）、在组织与其对方组织之间建立协议，或其他某种过程。外部实体用于保护所接收信息的手段不必与组织使用的手段相同，但所采用的手段足以确保对安全和隐私政策进行一致的裁定，从而保护信息和个人隐私。信息的受控发布要求系统在将信息发布到外部系统之前，实施技术或程序手段来验证信息。例如，如果系统将信息传递给另一个组织控制的系统，就会采用技术手段来验证所导出信息的安全性和隐私属性是否适合接收系统。或者，如果系统将信息传送到组织控制的空间中的打印机，可以采用程序化手段确保只有授权人员可以访问打印机。