19.10 信息交換（MCO_IEX）

19.10.1　安全保障管理目的

在一個組織內和任何外部實體之間進行交換，維持信息和軟件的安全。
組織機構之間的信息和軟件交換應當基于一份正式的交換策略，按照交換協議執行，與任何相關的法律規定一致。
組織機構應建立流程標準，保護傳輸過程中的信息和物理介質。

19.10.2　MCO_IEX.1 信息交換策略和流程

19.10.2.1　管理保障控制組件控制

組織機構建立正式的交換策略，流程和控制，保護通過各種類型的通信設備當中的交換信息。

19.10.2.2　管理保障控制組件注解

當使用電子通信設備進行信息交換需要考慮下面的問題：
a) 設計流程保護信息不被打斷，復制，修改，錯誤路由和毀壞；
b) 設計流程防止惡意代碼通過電子通信進行傳輸；
c) 設計流程防止附件形式的敏感性電子信息；
d) 電子通信設備的使用大綱指南策略；
e) 使用無線通信流程，考慮其帶來的特定風險；
f) 員工，承包人和其它用戶的職責不能危及到組織機構的安全；
g) 密碼技術的使用，保護信息的機密性，完整性和真實性；
h) 所有業務相應的持續性和實施指南，包括與相應的法律、法規一致的信息r；
i) 不要將重要和敏感信息遺漏在打印設備上，如復寫紙，打印機和傳真機上，以防被其它非授權人員利用；
j) 控制相關的發送通信設備，如自動向外部郵件地址發送電子郵件s；
k) 提醒人員應當具有適當的警惕。

19.10.3　MCO_IEX.2 電子消息

19.10.3.1　管理保障控制組件控制

組織機構應當保護電子消息當中的信息。

19.10.3.2　管理保障控制組件注解

實施指南中電子信息的安全考慮應當包括：
a) 防止信息被非授權訪問，修改或拒絕服務；
b) 確保地址正確和信息傳輸；
c) 服務的通用可靠性和可用性；
d) 法律考慮，如電子簽名的使用；
e) 在使用外部公共服務之前，需要予以批準。如實時信息或文件共享；
f) 對來自外網訪問的鑒別控制的強壯性。

19.10.4　MCO_IEX.3 業務信息系統

19.10.4.1　管理保障控制組件控制

組織機構應開發和實施控制策略和流程，保護相關的業務信息系統的內部連通性。

19.10.4.2　管理保障控制組件注解

組織機構應考慮安全性和業務連通性，此類設備應包括：
a) 了解管理和審計系統的脆弱性，以及組織機構在什么地方進行信息共享；
b) 業務通信系統中的信息的脆弱性；
c) 管理新策略和適當控制，管理信息共享；
d) 如果系統不支持分級保護，則不接受分類的敏感業務信息和分類文檔；
e) 控制與所選擇的個人相關的訪問日志信息，如敏感項目當中的人員工作
f) 對允許使用系統的人員，承包商和業務合伙人的分類；
g) 限制使用設備的用戶類別；
h) 識別用戶身份，如組織機構的員工或其它簽約用戶；
i) 維護系統的持續性和備份信息；
j) 回滾需求和安排；