NIST于7月份发布《管理信息交换的安全性》报告，主要针对如何规划、建立、维护和中止由内部或外部组织拥有和运营的系统之间，或者是跨越授权边界系统之间的信息交换和访问等问题提出了指导建议。在报告中，NIST详细定义了信息交换的范围，描述了信息交换安全管理的优点，确定了信息交换的类型，讨论了与信息交换相关的潜在安全风险，并讨论了有业务需要的组织可能适用的几种协议类型。该报告中还提出了一种从规划信息交换、建立信息交换、维护交换和相关协议，以及中止信息交换的信息交换方法，并提供了完成每个阶段的建议步骤。

政府、企业、组织、个人之间可能会因为各种原因进行信息交换，而信息交换的方式也有很多，如电子邮件、文件共享服务等等。当信息通过转移进行交换时，信息会在更多的物理位置进行复制。信息转移可能导致重复的数据集，过时的信息，或增加未经授权的信息被披露或修改的风险。基于风险的信息交换管理需要组织层面的治理，以保护正在交换的信息，其努力程度与风险相称。在任何实际的信息交换之前，组织要制定、记录和传播管理信息交换的政策和程序。决定信息交换的政策和程序以及关于如何管理和保护所交换的信息的依据是风险评估所确定的信息的保密性、完整性和可用性损失的影响，这些损失是由风险评估和组织的风险容忍度共同决定的。

信息交换管理的四个阶段分别是：

一、规划信息交换

在这个阶段中，参与组织进行初步活动，并检查相关的技术、安全和管理问题。规划阶段的目的是为了确保信息交换尽可能有效和安全地运行。首先要建立联合规划小组，负责协调规划过程的所有方面，并确保该过程有明确的方向、明确的责任和足够的资源。其次，参与信息交换的各组织应共同确定信息交换的目的，信息交换业务要求的方式，以及潜在的成本和风险。再次，在确保信息交换过程已将风险管理框架程序应用于受影响的系统的情况下，确定并审查围绕拟议信息交换的相关技术、安全和行政问题。这一部分需要考虑到信息安全风险、影响程度、交换方法、依赖性、硬件等多方面对信息交换过程带来的影响。最后，联合规划小组确定并记录管理所交换的信息所需的协议；处理、存储或传输信息的系统；受影响的组织和用户的角色和责任；根据小组对相关技术、安全和行政问题的审查，各组织将遵守协议的条款；以及其他适当的要求，并选择批准或拒绝信息交换。

二、建立信息交换

在信息交换计划被批准后，可以实施信息交换。为了确保信息的安全交换，联合规划小组应制定一个信息交换实施计划。在制定了实施计划，并由规划小组的高级成员审查和批准后，该计划就可以执行了。建立信息交换的过程主要包括安装或配置硬件和软件、实施或配置安全控制、整合应用、进行操作和安全测试、开展安全培训和宣传、更新系统安全计划、进行安全评估和授权活动。

三、维护信息交换

信息交换一旦建立，就要积极维护，以帮助确保信息的安全交换。这一过程包括：保持畅通的持续沟通渠道、维护系统和系统组件、管理用户账户、进行安全评估和持续授权、分析事件日志、报告并应对安全事件、协调应急计划活动、管理变化、审查和更新系统安全计划和适用协议、审查对信息交换的持续需求。

四、中止信息交换

中止信息交换有两类。一类是计划中的停止交换，涉及适当的管理人员、安全人员和技术人员，并需要基于有效的理由。在停止信息交换之前，发起方以书面形式通知其他各方，并等待收到回信。发起方也应安排信息交换的中止，以便为内部业务规划留出合理的时间，并允许参与者做适当的准备，包括通知受影响的用户和确定继续运作的替代资源。中止后，每个组织都要更新受影响的系统安全计划和相关文件，以反映其各自系统运行的安全环境的变化。

另一类是紧急中止。如果参与组织检测到攻击、入侵企图或其他突发事件，这些事件将会危及信息交换中涉及的信息或系统，可能有必要突然终止信息交换，而不向另一方提供书面通知。紧急中止的决定由系统所有者做出，并由技术人员执行。如果系统所有者不在，预先指定的工作人员可以根据书面标准授权中止，该标准规定了行使这一权力的条件。各组织可选择在信息交换中断后恢复交换。恢复信息交换的决定是基于中断的原因和时间。