NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

系统信息交换要求适用于两个或多个系统之间的信息交换。系统信息交换包括通过租用线路或虚拟专用网络的连接、与互联网服务提供商的连接、数据库共享或数据库交易信息的交换、与云服务的连接和交换、通过基于网络的服务进行的交换，或通过文件传输协议、网络协议进行的文件交换（例如）IPv4、IPv6、电子邮件或其他组织间的通信。组织会考虑在系统与可能具有不同安全和隐私要求及控制的其他系统交换信息时，可能引入的新威胁或增加的风险。这包括组织内部的系统以及组织外部的系统。如 CA-6(1) 或 CA-6(2) 所述，系统信息交换的联合授权可能有助于沟通并降低风险。授权官员确定与系统信息交换相关的风险以及为适当风险缓解所需的控制措施。所选择的协议类型基于诸如所交换信息的影响程度、交换信息的组织之间的关系等因素（例如政府对政府、政府对企业、企业对企业、政府或企业对服务提供者、政府或企业对个人），或是其他系统用户对组织系统的访问级别。如果交换信息的系统具有相同的授权官员，组织无需制定协议。相反，应关注系统之间的接口特性（例如在各自的安全和隐私计划中，描述了信息如何交换以及信息如何得到保护。如果交换信息的系统在同一组织内有不同的授权官员，组织可以制定协议或在各系统的相应安全和隐私计划中提供相同的信息，这些信息将会在适当的CA-3a协议类型中提供。组织可以将协议信息纳入正式合同，特别是针对联邦机构与非联邦组织（包括服务提供商、承包商、系统开发人员和系统集成商）之间建立的信息交换。风险考虑包括共享相同网络的系统。