一、背景

数据安全是今年的一大热点，稍微了解数据安全的人估计都知道，做数据安全要考虑数据全生命周期，包括数据采集/生成、传输、存储、处理、交换/共享、销毁等阶段的安全。而其中与业务关系最密切的是交换/共享环节，这个环节也是数据发挥价值的关键一环，很多企业由于业务需求，通常需要与一个或多个内部或外部的组织交换/共享数据，当数据从一个组织转移到另一个组织时，交换/共享的数据也需要相同或相似级别的安全保护，如何落实数据交换/共享环节的安全管理，NIST SP 800-47《信息交换安全管理》给出了系统性解决方案。

本文梳理了NIST SP 800-47原文，结合作者对数据安全的理解，将主要内容简明的给大家做个介绍，本文的文档结构未按照原文的文档结构。【注：由于国内对“信息安全”、“数据安全”等术语的定义有不同理解和界定，而SP 800-47里的“information exchange信息交换”实际上主要包含的就是“数据交换”，所以为了便于阅读和理解，后文我将统一用“数据交换”。】

本文的适用对象：需要打破数据孤岛，实现跨组织边界的数据共享与交换，以支持业务目标的组织，以及对本内容感兴趣的朋友。

二、前言

出于各种原因，组织会选择数据交换/共享，例如，内部对内部的数据交换/共享、政府对政府的数据交换/共享、企业对企业的数据交换/共享、政府对企业、政府或企业对服务提供商、政府或企业对个人等的数据共享。当数据从一个系统跨授权边界访问或传递到另一个系统时，需要使用一个或多个协议来指定每个组织的责任、要访问或交换的数据类型和影响级别、如何使用交换数据，以及在交换系统的两端处理、 存储或传输数据时如何保障数据安全。

常见的数据交换/共享场景包括但不限于：

★     在授权用户之间共享数据和信息；

★     提供对数据的自定义访问；

★     合作进行联合项目；

★     提供完整的、短暂的、间歇性的、永久的或临时的数据交换/共享活动；

★     通过交换/共享减少数据收集工作量和成本；

★     提供在线培训；

★     为关键数据和备份文件提供安全存储。

数据交换/共享活动在为组织带来如：降低运营成本、增强业务能力、提高效率、集中访问数据以减少重复数据集、促进组织间的沟通与合作，加强参与组织之间的联系等益处的同时也会使参与组织面临安全风险，如果数据交换/共享活动没有得到适当的规划与管理，则可能导致数据的机密性、完整性和可用性丢失，危及数据本身及相关的网络和信息系统。类似地，如果其中一方的系统遭到破坏，则交换的数据同样可能会受到损害，且与系统相连的另一个系统和数据也可能遭到连带破坏。因此，参与组织就交换数据的管理和使用，以及建立并正式发布一项或多项互操作协议来确保数据安全很有必要。

三、数据交换/共享方式方法

3.1 数据交换/共享方式

数据交换的条件至少需要具备三个基本组件：两个端点和一个数据流动信道，数据流动信道可以是专用或租用线路，也可以使用虚拟专用网络 (VPN) 解决方案（例如：IPsec、SSLVPN、L2TP），使用专用电路会更昂贵，但更安全，使用VPN则是较便宜的替代方法，也是常用的通信方案。下图是建立数据交换的两种通信方式：

数据交换的两个端点/系统之间互连可以在网络级或应用级实现

网络互连：两个或多个网络之间的物理或虚拟通信链接，这些网络由不同的组织运行，或在同一个组织内，但在不同的授权边界内运行。

应用互连：由不同组织或同一组织内，但在不同授权边界内运行的两个或多个应用程序之间的逻辑通信链接，用于交换数据或提供信息服务（例如：身份验证、日志记录）。应用互连包括文件共享服务或应用以及发生在会话层、 表示层或应用层的数据交换源。

3.2 数据交换/共享方法

数据交换的常见方法包括但不限于：电子或数字文件传输、通过便携式存储设备的数据交换、通过电子邮件的数据交换、数据库共享或数据库事务信息交换，以及基于网络或云的服务。

电子或数字文件传输——数据可以通过电子或数字文件传输进行交换，通过文件 传输（通信）协议在两个系统之间传输文件（数据）。各组织需要考虑与使用不同文件传输协议带来的安全风险；文件传输协议包括FTPS、HTTPS和SCP。

便携式存储设备——在某些情况下，可能需要使用便携式存储设备交换数据， 例如可移动磁盘（数字视频光盘 (DVD)）或通用串行总线 (USB)等）。组织需要考虑被传输数据的影响级别以及数据将要传输到的系统的影响级别，以确定所交换的数据是否采取了足够的措施。

电子邮件——组织经常通过电子邮件以附件的形式共享数据。组织需要考虑参与组织的电子邮件基础设施的影响级别和已经实施的安全控制，以确定是否实施了足够的控制措施来保护正在交换的数据，例如，在中等影响级别受保护的电子邮件基础设施不足以保护高影响级别的数据。

数据库共享或数据库事务信息交换，包括来自另一个组织的用户对数据的访问。 组织需要考虑的是提供数据访问而不是传输数据的可行性，以减少重复数据集以及数据机密性和完整性损失的风险。

文件共享服务——文件共享服务包括但不限于通过基于 Web 的文件共享或存 储共享数据和访问数据（例如 Drop Box、Google Drive、MS Teams 或 MS One Drive）。使用基于Web的文件共享或存储系统，该系统无法让数据所有者了解服务器所在位置，或对设施、服务器和数据的物理和逻辑访问。

3.3 数据访问或传输

1）当通过系统访问交换数据时，数据本身不会被传输，而是由参与组织的用户访问。通过系统访问交换数据减少了重复数据集的情况以及数据机密性和完整性丢失的风险。与任何形式的系统访问一样，用户可以访问数据资源的程度取决于组织业务以及数据的机密性、完整性和可用性遭到破坏的影响程度。因此，组织可以通过访问控制，从而将用户限制在单个应用、文件或文件位置，并采用特定的策略来管理访问（例如，访问仅限于只读）。其他组织可能会建立更灵活的交换，使用户能够访问多个应用程序、文件或数据库。

2）当通过传输交换数据时，数据会在其他物理位置被复制。数据传输可能会导致数据集重复、数据过时或数据未经授权披露或修改的风险增加。然而，传输的数据可能被要求支持在不同的业务流程、不同的软件中使用同一组数据，或者当通过系统无法访问交换数据时。建议组织将交换的数据限制为仅支持所述业务所需的特定数据，而不是传输整个数据集。参与组织需要考虑丢失所传输数据的机密性和完整性可能造成的影响，以及保护与预期影响级别相称的数据的必要性，无论其物理位置如何。

四、数据交换/共享安全管理

基于风险的数据交换/共享安全管理需要组织层面的治理，以及与风险相称的防护水平来保护正在交换的数据。在任何实际的数据交换之前，组织应制定、记录并传播管理数据交换的策略和流程。本部分主要描述了数据交换/共享安全管理的四个阶段（规划、建立、维护、终止）。各阶段如下图：

4.1 规划数据交换/共享

在两个或多个系统之间交换/共享数据的过程始于规划阶段，在该阶段，参与组织完成准备活 动并检查相关的技术、安全和管理问题。规划阶段的目的是确保数据交换/共享过程尽可能高效和安全。本小节讨论规划数据交换/共享的推荐步骤。规划阶段步骤的形式、结构和严格程度取决于交换/共享的类型、要交换/共享的数据的重要程度、参与交换/共享的组织间关系以及数据交换/共享的组织策略和流程。本阶段应完成的内容如下：

4.1.1 步骤一：组建联合规划小组

每个组织都有责任确保其各自系统和数据的安全，并采用事先协调好的方法进行数据交 换/共享，包括在整个交换/共享阶段组织之间应保持定期沟通。因此，各组织需要建立一个由参与组织的代表组成的联合规划小组，其中可能包括相关的管理和技术人员、业务人员、系统所有者、数据所有者、系统安全员、系统管理员、网络管理员和系统安全架构师等。联合规划小组可以是现有工作组的一部分，也可以专门为本次数据交换活动而组建。另外，获得高级领导的承诺和支持很重要。该联合规划小组负责协调规划过程的各个方面，并确保该过程具有明确的方向、明确的职责和充足的资源。规划小组也可以在规划阶段之后保持活跃，作为后续讨论涉及数据交换/共享问题的窗口。

此外，规划小组的成员需要与负责信息技术 (IT) 规划、配置管理和其他与数据交换/共享活动相关的同事进行协调。在大多数情况下，数据交换/共享是每个组织网络的一部分或全部。通过与相关利益攸关方协调数据交换/共享的规划，组织可以降低安全风险、减少冗余并提高效率。

4.1.2 步骤二：定义业务用例

组织共同确定数据交换/共享的目的，确定数据交换/共享将如何支持业务需求，并识别预期成本和风险。定义业务用例是建立数据交换/共享的基础。需要考虑的因素包括：可能的成本（例如人员配备、设备和设施）、预期收益（例如提高效率和集中访问数据）和潜在风险（例如安全、技术、隐私、法律、财务等）。

需要注意的是，可能会有隐私法规或政策对要交换/共享的数据进行限制。可能受到限制的数据包括个人身份信息（如姓名、电话、地址等）或商业机密信息（如承包商投标费率和商业秘密）。每个组织都应该咨询其隐私保护官或法律顾问，以确定参与数据交换的组织是否可以共享、转移或访问要交换的数据。

4.1.3 步骤三：开展安全风险管理

在交换/共享数据之前，每个组织都应确保已对相关系统和数据进行风险评估，并持续开展风险管理，风险管理可参考SP 800-37 《信息系统和组织的风险管理框架：安全和隐私系统生命周期方法》。

4.1.4 步骤四：确定具体的保护要求

联合规划小组确定并审查与数据交换/共享相关的技术、安全和管理问题。审查结果用于制定数据交换/共享安全协议。这些结果也可用于制定建立数据交换/共享的实施计划。

联合规划小组需要审议的问题如下：

适用的法律、法规、政策、标准和指南：参与组织可能会受到安全和隐私要求的约束而影响数据交换/共享。数据交换/共享的参与方有责任确保任何适用的法律、法规、政策、标准和指南得到解决。

风险评估：数据交换/共享的参与方应进行风险评估，确定要交换的数据遭到保密性、完整性和可用性损失后，造成的影响程度，以确保适当的保护级别和所需资源的可用性。发起方在协议中规定对数据的保护要求。如果已经进行了风险评估，联合规划小组需考虑现有结果是否适用，是否需要更新和再评估。

信息安全风险注意事项：

尽量减少交换/共享的数据，以降低数据在授权边界之外丢失机密性和完整性的风险；

如果要交换/共享高价值资产数据，注意考虑额外风险；

考虑数据交换/共享的可用性和弹性要求；

考虑参与组织间的系统互连是否会增加数据和系统的安全风险。

影响级别：分别针对三个安全目标（机密性、完整性和可用性）确定要交换的数据丢失会造成的影响。如果可用性损失的影响很大，但机密性损失的影响低，而完整性损失的影响中等，但可用性损失的影响低，则关于是否以及如何共享数据的决定可能会有所不同。准确识别数据的重要性对于确定数据的保护要求至关重要。

数据交换/共享方法：明确数据交换/共享的方法对确定数据保护要求也是必不可少。

对现有基础设施和运营的影响：确定参与组织当前使用的网络基础设施和系统架构是否足以支持数据交换/共享，或是否需要额外的基础设施组件（例如，通信线路、路由器、交换机）。如果需要其他组件，应确定安装和使用这些组件可能对现有基础架构产生的潜在影响。此外，确定数据交换/共享可能对当前运营产生的潜在影响（例如，数据流量的增加、新的培训要求以及对系统管理、运维的额外要求）。

依赖关系：确定参与数据交换/共享的一个或多个系统是否依赖于本次数据交换/共享活动才能继续运行。如果存在此类依赖关系，需要考虑的控制措施包括应急预案、系统或网络冗余，以及其他弹性需求。

特定硬件要求：确定支持数据交换/共享所需的硬件（例如，路由器、防火墙、交换机、服务器或工作台）。确定现有硬件是否足够？尤其是在预计未来数据增长的情况下，是否需要额外的组件。如果需要新硬件，应选择能够与现有硬件互操作的产品。

特定软件要求：确定支持数据交换/共享所需的软件，包括用于数据交换/共享管理和文件共享服务的软件，以及软件将安装在哪些硬件上（例如，防火墙、服务器、工作台和笔记本电脑）。 确定现有软件是否足够？是否需要额外的软件。如果需要新软件，应选择能够与现有软件互操作的产品。

用户社区：确定能够访问交换/共享数据的用户群组。确定是否要求用户具有特定的就业状况或国籍要求，以及需要何种级别的背景或安全许可。设计一种方法来管理需要访问交换数据（包括用户身份）的用户信息。参与组织使用用户信息来开发和维护一个经批准的访问列表或用户数据库，这些用户有权访问交换/共享的数据。需要的安全措施包括：账户管理、访问控制、身份认证等。

服务和应用程序：确定每个组织作为数据交换/共享的一部分提供的任何信息服务，以及与这些服务相关的应用程序。服务的示例包括电子邮件、安全文件共享服务、身份验证服务和通用计算服务。

角色和职责：确定负责建立、维护或管理数据交换/共享的人员，以及与数据交换/共享有关的具体职责。人员包括项目经理、系统所有者、数据所有者、系统或数据库管理员以及系统安全员。

调度：为参与规划、建立和维护数据交换/共享活动制定一个时间表。同时，确定终止或重新授权交换的时间表和条件。例如，参与组织可能同意每年审查与交换相关的协议，以确定是否仍然需要交换，以及保护要求是否仍然足够。

成本和预算：确定规划、建立和维护互连所需的预期成本。 确定所有相关成本，包括人工、硬件、软件、通信线路、应用程序、设施、物理安全、培训和测试等，制定综合预算并确定如何在各参与数据交换的组织之间分配成本。

数据元素命名：如果数据交换/共享涉及数据库，确定参与组织使用的数据元素命名方案是否兼容，或者是否需要对数据库进行规范化，以便组织可以使用交换的数据。此外，确定如何识别和解决潜在的数据元素命名冲突。

数据所有权：确定交换/共享数据的所有权是否从发送方转移到接收方，或者发送方是否保留所有权，而接收方是保管人。并确定如何存储交换的数据，是否可以重用数据或将数据转移到第三方组织或系统，以及如何在不需要时销毁数据。

安全控制：确定安全控制措施，以保护交换/共享数据和系统处理、存储或传输数据的机密性、完整性和可用性。安全控制措施的制定是基于数据和相关系统的重要程度、组织风险承受能力以及风险评估结果来确定。推荐的安全控制措施如下：

职责分离：确定对数据交换/共享相关人员的管理，并分配相应的职责。可参考的职责分配示例包括审计、管理用户配置文件、管理配置和维护设备。 职责分离降低了单个个人可能对交换的数据，以及处理、存储或传输数据的系统造成损害的风险，无论是意外还是故意。

事件报告和响应：建立流程来报告和响应参与组织的技术或人员检测到的与数据交换有关的安全事件或异常和可疑活动。事件报告程序需符合适用的法律、法规、政策、标准和指南。确定何时以及如何相互通知可能影响数据交换的可疑活动或安全事件。确定需要报告的事件类型和报告中包含的信息，例如事件的原因、受影响的数据或应用，造成的影响。此外，确定需要协调响应的事件类型，并确定如何协调响应活动。建议可制定联合事件响应计划。

应急预案：有必要制定应急预案，以应对可能影响数据交换/共享的灾难或破坏性突发事件，尤其是在交换/共享具有中等或高影响数据的情况下。 组织决定如何相互通知此类突发事件、各组织将相互帮助的程度以及提供援助的条件。确定紧急联络点、确定是否将冗余合并到支持数据交换/共享的组件中，包括冗余互连点，以及如何检索备份数据。协调应急响应培训、测试和演习。

数据备份：确定交换/共享数据的备份和存储要求。如果需要备份，应确定需要备份的信息类型、备份频率（例如，每天、每周或每月）以及负责备份的组织。 此外，确定如何执行备份以及如何将备份与应急预案流程相关联。

配置管理：确定如何协调可能影响数据交换/共享安全性和功能的配置变更的规划、设计和实施，例如升级硬件或软件、更改配置设置或添加服务。 与每个组织的相关人员建立一个群组，以审查可能影响数据交换/共享的预期变更。协调配置管理活动将降低实施变更的可能性。

行为准则：制定行为准则，明确规定被授权访问交换数据和系统处理、存储或传输数据的人员的职责和可操作行为。以书面形式记录规则并说明不一致行为或不遵守的后果，并通过安全意识培训强调行为准则。

培训和意识：为授权访问交换/共享数据的用户、以及处理、存储或传输数据的系统用户进行安全培训和意识教育。数据交换安全培训和意识教育可以纳入现有的组织培训活动中。在适当的情况下，要求用户签署一份确认表，表明对数据交换安全责任的理解。如果使用共享应用，需要确保用户知道如何正确使用它们。

4.1.5 步骤五：记录适当的协议

联合规划小组确定并记录管理交换信息所需的协议；处理、存储或传输信息的系统；相关组织和用户的角色和职责；根据对相关技术、安全和管理问题的审查（如 4.1.4 节所述），明确组织将遵守的协议条款，以及其他适当的要求。可能需要多种类型的协议，例如服务水平协议、通信协议和保密协议等。

下表反映了基于数据交换/共享类型或方法（行）以及数据丢失的影响程度（列）可能需要的协议，提供了初步指导以帮助组织确定最合适的协议。

由于协议本身可能包含中等影响或更高影响的数据，因此根据影响级别处理、存储和传输协议，以防止通信过程中数据被盗窃、篡改或破坏。

（1）互连安全协议(ISA)

互连安全协议 (ISA) 是一份文件，规定了在两个或多个系统之间建立、操作和维护互连的技术和安全要求。ISA 还支持组织之间的谅解备忘录/协议 (MOU/A)。具体来说，ISA 记录了连接系统的要求；描述了保护交换数据及处理、存储或传输数据的系统所需的安全保护要求和控制措施；包括互连的网络拓扑图；并为参与组织提供签名行。当通过系统互连方式进行数据交换/共享时，应选择该协议。

（2）谅解备忘录及协议（MOU/A）

MOU/A 通常与 ISA 一起应用于数据交换/共享。一般来说，谅解备忘录是参与组织之间的合作意向声明，通常说明合作的目标、目的；详细说明协议的条款和条件；概述实现目标或目的所需的操作。谅解协议最常用于解决各方之间的财务责任和义务。虽然谅解协议 不承担资金责任，但它可以指定承担资金责任的组织。

为支持数据交换/共享，谅解备忘录及协议共同解决如下问题：

数据交换/共享的目标和目的；

每个组织的相关权限和职责；

以安全方式交换/共享数据的协议和条件，包括可接受的交换/共享数据的使用；

交换/共享所涉及的财务责任；

中止或重新授权数据交换/共享的时间表。

谅解备忘录和谅解协议不包括有关如何建立或维护数据交换/共享的技术细节或交换的具体安全要求；如果数据交换/共享活动中，不涉及相关的财务责任问题，则可以不使用谅解协议（MOA）。

（3）数据交换/共享协议

数据交换/共享协议是一份文件，规定了交换/共享数据的安全保护要求和责任。类似于 ISA，但不包括与互连相关的技术细节。具体来说，数据交换/共享协议描述了保护交换/共享数据以及处理、存储或传输数据的系统所需的保护要求和安全控制措施，并为参与组织提供了签名行。

（4）服务水平协议

服务水平协议 (SLA) 代表服务提供商与一个或多个客户之间的承诺，并涉及服务的特定方面，例如责任、服务类型等详细信息、预期的性能水平（例如，可靠性、可接受的质量、 和响应时间），以及报告、解决和终止的要求。SLA通常是正式合同的一部分。当数据交换/共享活动的影响程度为中等或高等级时，可以使用SLA 进行数据交换/共享。

（5）用户协议、访问协议和用户许可协议

用户协议、访问协议和用户许可协议是面向用户的协议，类似于行为准则，指定用户在交换/共享数据或访问包含交换/共享数据的文件或系统时的责任。协议中规定的用户责任可能包括但不限于允许用户对数据做什么、如何使用数据以及数据是否可以传输给其他方。有权访问数据的用户在获得数据访问权限之前阅读并同意协议以确认接受和理解。当被交换/共享的数据重要性为中等或高影响等级时，可以使用用户协议、访问协议和用户许可协议。

（6）保密协议

保密协议 (NDA) 描述了签署方同意不向任何其他方发布或泄露的特定信息、材料或知识。NDA可以在规定的时间范围内有效，也可以是无限期的。当被交换/共享的数据的保密性很高或属于个人身份信息时，建议使用保密协议进行数据交换/共享。

（7）组织定义的其他类型协议

合同、互联网服务协议或其他组织定义的协议也可应用于数据交换/共享。为支持业务需求，组织可能会签订机构间/或组织间协议，这些协议并非特定于数据交换/共享，但可能包含了交换/共享数据的需求。如果需要数据交换/共享来支持另一项协议，则组织应确定要交换的数据的特定保护需求和相关协议需求。

（8）登录追踪工具

追踪工具提供了一种记录和追踪授权边界外数据交换/共享的方法。追踪工具的示例包括但不限于内部电子表格或数据库；治理、风险和合规 (GRC) 工具或其他自动化工具； 并在系统安全规划中保持最新的控制实施信息。追踪数据交换/共享的要求可能会作为其他类型协议（如，ISA和IEA）的一部分被提出。

4.1.6 步骤六：批准或拒绝数据/共享交换

联合规划小组将起草的协议提交给每个参与组织的相关领导或风险管理官员，并请求批准数据交换/共享活动。相关领导或风险管理官员收到后审查协议及相关文件或程序。根据审查结果决定以下事项之一：

批准数据交换/共享；

拒绝数据交换/共享。

如果相关领导或风险管理官员接受协议，则需要签署文件并注明日期，从而批准数据交换/共享活动。参与组织根据组织存档政策和程序保留这些协议，并通知其他相关人员该活动已获批准。

如果协议被领导或风险管理官员拒绝，他们将提出解决方案或指定在批准之前要完成的额外要求，包括实施额外的安全控制。此外，还规定了完成任务的时间表。联合规划小组努力满足要求，然后重新提交更新的数据安全协议。

4.1.7 紧急交换/共享数据

有时可能会出现紧急情况，需要立即交换/共享数据。当时间不允许遵循既定的数据交换/共享安全管理流程时，仍然可以对数据交换/共享进行管理和控制。例如，在交换之前，组织应明确处理和保护数据的说明、对数据访问的限制、用户访问或保密协议等。

数据或系统所有者应记录紧急交换/共享的理由以及参与紧急交换/共享的角色和特定个人，如果紧急交换/共享成为经常性或永久性的交换/共享，参与组织应在初始紧急交换/共享后记录数据交换/共享安全管理过程并持续完善管理措施。如果紧急交换/共享是孤立事件，参与组织应确保对数据进行与风险相称的安全保护，并订立适当的协议进行后续跟进。

4.2 建立数据交换/共享

数据交换/共享活动经规划批准后，方可实施。本小节提供了建立数据交换/共享的推荐步骤，本阶段应完成的内容如下：

4.2.1 步骤一：制定实施计划

为了确保数据安全地交换/共享，联合规划小组应制定数据交换/共享实施计划。实施计划的目的是将数据交换/共享工作的所有方面集中在一份文件中，并阐明将如何实施协议中规定的相关技术要求。完善的实施计划将极大地提高数据交换/共享的安全性和成功性。

实施计划包含的内容如下：

描述数据交换/共享活动所涉及的相关系统；

确定要交换/共享的数据的影响级别；

确定负责建立和维护数据交换/共享的人员并指定他们的职责；

确定实施任务和流程；

确定并描述为保护交换/共享数据的机密性、完整性和可用性而实施的安全控制措施；

提供控制措施评估和测量标准，以确保数据被安全地交换；

指定对用户的培训要求，包括培训计划；

引用或包括所有相关文档，例如系统安全计划、设计规范和标准操作流程。

4.2.2 步骤二：执行实施计划

在规划小组的成员制定、审查和批准实施计划后，该计划就可以执行了。下面提供了用于实施数据交换/共享的推荐任务。

（1）安装或配置硬件和软件

可能需要安装新的硬件和软件或配置现有的硬件和软件以支持数据交换/共享活动。

（2）实施或配置安全控制

如果安全控制不到位或配置不当，建立数据交换/共享的过程可能会使系统暴露给未经授权的人员访问。因此，第一步是按照协议和实施计划中的规定实施适当的安全控制措施或配置现有安全控制措施。

（3）集成应用程序

为支持数据交换/共享的服务需要集成应用程序或协议。示例包括但不限于数据库应用程序、电子邮件、Web 浏览器、应用程序服务器、身份认证服务器、域名服务器、开发工具、编辑程序和通信程序。

（4）实施操作并安全测试

进行评估以确定支持数据交换/共享的设备是否正常运行，并且未授权用户没有明显的方法可以规避或破坏安全控制。测试跨交换的应用程序之间的接口，并模拟数据流量，以在接收端验证正确的数据接收。如果可以，应在隔离的非操作环境中进行测试以避免影响系统。记录测试结果，并将其与各组织批准的一组预先确定的操作和安全要求进行比较。确定结果是否满足双方商定的可接受的风险水平，以及是否需要采取其他应对措施。

（5）开展安全培训及意识教育

对所有参与管理、使用或操作数据的授权人员进行安全培训和意识培训。定期为特定用户提供安全培训，并为所有用户提供意识教育。将行为准则分发给所有接触交换数据的人员。确保人员知道如何报告可疑或禁止的活动，以及在遇到问题时如何请求帮助。

（6）更新系统安全计划

组织更新他们的系统安全计划和相关文件，以反映他们各自系统运行的安全环境变化。 此外，建议对更新计划中与数据交换/共享相关的部分进行相互审查。在数据交换/共享协议中应规定进行相互审查的细节。

建议系统安全计划应包括以下有关数据交换/共享的信息：

受影响系统的名称；

参与组织；

交换/共享方法；

授权管理人员的姓名和职务；

授权日期；

要交换/共享数据的描述/类型；

要交换/共享的各类数据的影响级别；

受影响系统的影响程度；

受影响系统的接口；

硬件清单；

软件清单；

管理数据交换/共享的安全问题和行为准则。

（7）开展安全评估和授权活动

建立数据交换/共享活动可能会带来相关系统的重大变化。在进一步进行之前，每个参与组织都应评估并授权各自的系统，以确保安全风险保持在可接受的水平。

4.2.3 步骤三：启动数据交换/共享

按照规定的准则，启动供各方使用的数据交换/共享活动。建议各组织在商定的期限内密切监视交换/共享活动，以确保其正常和安全地运行。并且仔细、频繁地分析审计日志，以及监控用户请求的帮助类型。记录并及时解决出现的任何脆弱性或问题。

4.3 维护数据交换/共享

一旦建立数据交换/共享活动，就应对其积极维护，以确保数据交换/共享安全。本小节描述了维护数据交换/共享安全的推荐活动，如图下图所示：

4.3.1 保持清晰的沟通渠道

参与数据交换/共享的组织必须建立明确的沟通渠道并定期沟通，这一点至关重要。开放的沟通渠道有助于确保数据交换/共享和与之相关的互连得到适当维护，并且确保安全控制措施持续有效。开放式沟通还有助于及时管理活动的变化，比如，系统的变更，另外，保持清晰的沟通渠道将提高安全事件响应速度。

指定人员之间的沟通是通过使用与数据交换/共享相关的协议中规定的流程来完成的。沟通的主题包括但不限于以下内容：

初始协议和协议变更；

指定管理和技术人员的变动；

与建立和维护数据交换/共享有关的其他活动；

可能影响数据交换/共享的管理活动的变化；

可能影响与数据交换/共享相关的系统和数据安全的事件；

导致数据交换/共享中断的突发事件；

数据交换/共享活动的终止；

数据交换/共享恢复计划。

4.3.2 维护系统和系统组件

参与组织应明确对数据交换/共享活动涉及的系统和系统组件进行维护。

4.3.3 管理用户账号

采取访问控制、身份验证和人员安全等控制措施，主动管理与数据交换/共享活动相关的用户帐户。

4.3.4 开展安全评估

每当发生重大变更时，参与组织应根据商定的频率对支持数据交换/共享实施的安全控制措施进行评估，或者建立持续的监测计划，以确保控制措施有效运行。安全评估可由一个或所有参与组织的指定审计机构或独立第三方进行。

4.3.5 分析事件日志

应根据参与组织商定的频率对数据交换/共享活动涉及的系统和系统组件的事件日志进行分析，以检测和跟踪异常或可疑活动。

4.3.6 报告和响应安全事件

参与数据交换/共享的组织应相互通知已发现的安全事件或可疑安全事件。各组织根据各自的事件响应流程采取适当的步骤来隔离并响应此类事件。根据事件的类型和严重程度，组织可能需要协调事件响应活动，甚至终止数据交换/共享活动。数据交换/共享的适用协议规定了每个参与组织的事件响应的角色和责任，以及事件通知和紧急终止流程。

4.3.7 协调应急预案活动

组织协调应急预案培训、测试和演习，以最大限度地减少灾难和其他可能损坏数据交换/共享系统或危及共享数据的机密性、完整性或可用性的突发事件带来的影响。建议各组织可根据现有的应急预案制定联合预案。

4.3.8 管理配置变更

有效的配置管理对于维护数据交换/共享安全至关重要。每个组织都会建立一个变更控制委员会 (CCB) 或类似的机构来审查和批准对其各自系统的变更计划，例如升级软件或添加服务。建议在隔离的非操作环境中测试计划的变更，以避免影响实际系统。此外，应以书面形式将变更计划通知其他参与方，并允许参与组织参与该过程。一般情况下，此类变更的目的是改进数据交换/共享的操作和安全性，例如通过添加新功能、改进用户界面和消除（或减轻）已知漏洞，尽管如此，在实施变更之前，组织应仔细审查变更，并在变更完成后管理和跟踪变更。

4.3.9 审查和更新系统安全计划和适用协议

系统安全计划、适用协议（例如 ISA、MOU/MOA、IEA 和访问协议）以及与数据交换/共享有关的其他相关文件，都应根据参与组织商定的频率进行定期评审和更新，或在与数据交换/共享有关的系统发生重大变化时进行评审和更新。

4.3.10 审查是否需要继续进行数据交换/共享

根据参与组织商定的频率审查继续进行数据交换/共享的业务情况，判断是否需要继续进行数据交换/共享。如果不再需要进行数据交换/共享，则按照终止计划实施相关流程。

4.4 终止数据交换/共享

本小节主要介绍了终止数据交换/共享的流程，如下图所示。应尽可能有条不紊地中断信息交换，避免导致系统中断。

4.4.1 终止计划

停止数据交换/共享的决定涉及相关的管理、安全和技术人员，并基于合理的理由，例如一个或多个参与者的持续安全故障或缺乏继续交换/共享数据的业务需求。在终止数据交换/共享之前，发起方应以书面形式通知其他各参与方，并等待收到确认回执。该书面通知描述了终止数据交换/共享的原因，提供了终止的预计时间表，并确定了将进行终止的技术和管理人员。

组织可能有多种原因停止数据交换/共享，包括但不限于：

改变了使命或业务需求；

安全评估失败，比如安全风险上升到了不可接受的水平；

无法遵守协议的技术规范；

无法遵守协议的条款和条件；

成本考虑，包括维护数据交换/共享所增加的成本；

系统配置或设备物理位置的变化。

合理安排终止数据交换/共享的时间，以便为内部业务规划留出足够的时间，并允许参与者进行适当的准备，包括通知受影响的用户以及确定继续运营的替代资源。此外，各组织的管理和技术人员协调确定停止数据交换/共享的处理和保障工作，包括清除和覆盖中等或高影响级别数据，根据已知的活动流程，当对用户的影响最小时，停止数据交换/共享。中断后，各组织应更新受影响的系统安全计划和相关文件，以反映其各自系统运行的安全环境发生了变化。

4.4.2 紧急终止

如果参与组织检测到攻击、入侵企图或其他利用或危害数据交换/共享所涉及的信息或系统的意外事件，可能需要在不向另一方提供书面通知的情况下突然终止数据交换/共享活动。只有在极端情况下，并且只有在与相关的技术负责人和高级管理人员协商后才会采取这种非常措施。

紧急终止的决定由系统所有者做出并由技术人员执行。系统所有者或指定人员应通过电话或其他口头方式通知参与方的紧急联系人，并收到已知确认。各参与方根据事件响应流程隔离和调查事件，包括进行影响评估、审查审计日志和安全控制措施。如果事件是攻击或入侵企图，当事各方应通知相关执法部门，并尽一切努力保全证据。

4.4.3 恢复连接

组织可以选择在数据交换/共享中断后再次恢复数据交换/共享。恢复数据交换/共享的决定是基于中断的原因和持续时间。例如，如果数据交换/共享活动是因攻击、入侵或其他突发事件而中断，则各方实施适当的对策以防止问题再次发生，并修改协议以应对任何需要注意的问题。另外，如果数据交换/共享已长期中断（例如，几个月或更长时间），则各参与方对其各自的系统应进行风险评估，并重新审查所有相关的规划和实施计划，包括制定新的协议。

五、总结导图