9. Quản lý truyền thông và vận hành
9.8.2. Các thỏa thuận trao đổ
Biện pháp quản lý
Các thỏa thuận cần được thiết lập cho việc trao đổi thông tin và phần mềm giữa tổ chức và các thực thể bên ngoài.
Hướng dẫn triển khai
Các thỏa thuận trao đổi cần quan tâm đến các điều kiện an toàn sau đây:
a) các trách nhiệm của ban quản lý trong việc quản lý và thông báo về việc truyền, gửi và nhận thông tin chuyển giao;
b) các thủ tục thông báo với người gửi về việc truyền, gửi và nhận; c) các thủ tục đảm bảo khả năng truy vết và không thể chối bỏ; d) các tiêu chuẩn kỹ thuật tối thiểu cho việc đóng gói và truyền; e) các thỏa thuận giao kèo;
f) các tiêu chuẩn nhận dạng cách thức chuyển;
g) các trách nhiệm và nghĩa vụ khi có các sự kiện an toàn thông tin, như mất dữ liệu;
h) sử dụng hệ thống dán nhãn đã thỏa thuận đối với các thông tin quan trọng hoặc nhạy cảm, đảm bảo rằng ý nghĩa của các nhãn có thể được hiểu ngay và thông tin đó đã được bảo vệ phù hợp; i) quyền sở hữu và các trách nhiệm bảo vệ dữ liệu, bản quyền, tuân thủ bản quyền phần mềm và các vấn đề tương tự khác (xem 14.1.2 và 14.1.4);
j) các tiêu chuẩn kỹ thuật cho ghi và đọc thông tin và phần mềm;
k) các biện pháp quản lý đặc biệt có thể được yêu cầu nhằm bảo vệ các danh mục thông tin nhạy cảm, như các khóa bảo mật (xem 11.3).
Các chính sách, thủ tục, và tiêu chuẩn cần được thiết lập và được quản lý nhằm bảo vệ thông tin và phương tiện vật lý trong quá trình trao đổi (xem thêm 9.8.3), và cần được tham chiếu trong các thỏa thuận trao đổi.
Nội dung về an toàn của các thỏa thuận cần thể hiện độ nhạy cảm của thông tin nghiệp vụ liên quan. Thông tin khác
thức hoặc các điều kiện tuyển dụng. Đối với thông tin nhạy cảm thì các cơ chế đặc biệt sử dụng cho trao đổi thông tin đó cần phù hợp với tất cả các tổ chức và các loại thỏa thuận.