GB/T 32920-2016信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T32920—2016/ISO/IEC270102012

:

信息技術(shù)安全技術(shù)行業(yè)間和組織間

通信的信息安全管理

Informationtechnology—Securitytechniques—Informationsecuritymanagement

forinter-sectorandinter-organizationalcommunications

(ISO/IEC27010:2012,IDT)

2016-08-29發(fā)布2017-03-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T32920—2016/ISO/IEC270102012

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)定義和縮略語(yǔ)

3、………………………1

術(shù)語(yǔ)和定義

3.1…………………………1

縮略語(yǔ)

3.2………………1

概念和釋義

4………………2

簡(jiǎn)介

4.1…………………2

信息共享團(tuán)體

4.2………………………2

團(tuán)體管理

4.3……………2

支持性機(jī)構(gòu)

4.4…………………………2

行業(yè)間通信

4.5…………………………2

符合性

4.6………………3

通信模型

4.7……………4

安全方針

5…………………4

信息安全方針

5.1………………………4

信息安全組織

6……………4

內(nèi)部組織

6.1……………4

外部各方

6.2……………4

資產(chǎn)管理

7…………………5

對(duì)資產(chǎn)負(fù)責(zé)

7.1…………………………5

信息分類(lèi)

7.2……………5

信息交換保護(hù)

7.3………………………6

人力資源安全

8……………7

任用之前

8.1……………7

任用中

8.2………………8

任用的終止或變化

8.3…………………8

物理和環(huán)境安全

9…………………………8

通信和操作管理

10…………………………8

操作規(guī)程和職責(zé)

10.1……………………8

第三方服務(wù)交付管理

10.2………………8

系統(tǒng)規(guī)劃和驗(yàn)收

10.3……………………8

Ⅰ

GB/T32920—2016/ISO/IEC270102012

:

防范惡意和移動(dòng)代碼

10.4………………8

備份

10.5…………………8

網(wǎng)絡(luò)安全管理

10.6………………………9

介質(zhì)處置

10.7……………9

信息的交換

10.8…………………………9

電子商務(wù)服務(wù)

10.9………………………9

監(jiān)視

10.10………………9

訪(fǎng)問(wèn)控制

11………………10

信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)

12、……………10

信息系統(tǒng)的安全要求

12.1……………10

應(yīng)用中的正確處理

12.2………………10

密碼控制

12.3…………………………10

系統(tǒng)文件的安全

12.4…………………10

開(kāi)發(fā)和支持過(guò)程中的安全

12.5………………………10

技術(shù)脆弱性管理

12.6…………………10

信息安全事件管理

13……………………11

報(bào)告信息安全事態(tài)和弱點(diǎn)

13.1………………………11

信息安全事件和改進(jìn)的管理

13.2……………………11

業(yè)務(wù)連續(xù)性管理

14………………………12

業(yè)務(wù)連續(xù)性管理的信息安全方面

14.1………………12

符合性

15…………………12

符合法律要求

15.1……………………12

符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性

15.2…………13

信息系統(tǒng)審計(jì)考慮

15.3………………13

附錄資料性附錄共享敏感信息

A()……………………14

附錄資料性附錄信息交換中的建立信任

B()…………18

附錄資料性附錄交通信號(hào)燈協(xié)議

C()…………………22

附錄資料性附錄組織一個(gè)信息共享團(tuán)體的模型

D()…………………23

參考文獻(xiàn)

……………………28

Ⅱ

GB/T32920—2016/ISO/IEC270102012

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用翻譯法等同采用國(guó)際標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)行業(yè)間和組織

ISO/IEC27010:2012《

間通信的信息安全管理英文版根據(jù)和的規(guī)定做了如下

》()。GB/T1.1—2009GB/T20000.2—2009,

一些編輯性修改

:

在本標(biāo)準(zhǔn)的引言中添加標(biāo)準(zhǔn)中針對(duì)行業(yè)間和組織間通信沒(méi)有附加的信息指的是

———,“‘’,

中對(duì)應(yīng)條款沒(méi)有附加的信息

GB/T22081—2008”;

在本標(biāo)準(zhǔn)的第章中添加縮略語(yǔ)

———3,3.2;

在本標(biāo)準(zhǔn)附錄中該方法的有效性已得到英國(guó)國(guó)家基礎(chǔ)設(shè)施保護(hù)中心確認(rèn)并用于自動(dòng)

———B.3,“,

配置和分發(fā)預(yù)警信息給各類(lèi)信息共享團(tuán)體放到腳注中

”;

在本標(biāo)準(zhǔn)附錄中此描述是從歐洲網(wǎng)絡(luò)和信息安全局發(fā)布的網(wǎng)絡(luò)安全信息交換

———C,“(ENISA)

的良好實(shí)踐指南中獲得的概念最初是由英國(guó)的國(guó)家基礎(chǔ)設(shè)施保護(hù)中心制定的放到

,(CPNI)”

腳注中

;

在本標(biāo)準(zhǔn)和中分別添加參見(jiàn)附錄和參見(jiàn)附錄以符合中提到

———4.27.3.3,AB,GB/T1.1—2009

每個(gè)附錄均應(yīng)在正文或前言的相關(guān)條文中明確提及

“”。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位山東省標(biāo)準(zhǔn)化研究院廈門(mén)市美亞柏科信息股份有限公司中國(guó)信息安全認(rèn)證中

:、、

心江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)研究院貴州大學(xué)泰安市技術(shù)監(jiān)督情報(bào)所

、、、。

本標(biāo)準(zhǔn)主要起草人王曙光王慶升公偉隗玉凱欒江霞吳鴻偉魏軍李旭李智趙倩倩黃申

:、、、、、、、、、、、

吳蘭潘平楊平

、、。

Ⅲ

GB/T32920—2016/ISO/IEC270102012

:

引言

本標(biāo)準(zhǔn)是對(duì)和

GB/T22080—2008(ISO/IEC27001:2005,IDT)GB/T22081—2008

在信息共享團(tuán)體中使用的補(bǔ)充本標(biāo)準(zhǔn)包含的指南不包括信息安全管理

(ISO/IEC27002:2005,IDT)。

體系標(biāo)準(zhǔn)族內(nèi)其他標(biāo)準(zhǔn)中給出的通用指南并與之互為補(bǔ)充

(ISMS),。

和采用一種通用的方式處理組織間的信息交換當(dāng)組織

GB/T22080—2008GB/T22081—2008。

希望與多個(gè)其他組織進(jìn)行敏感信息1)通信時(shí)對(duì)敏感信息在其他組織中的使用將受到接收組織實(shí)現(xiàn)的

,

充分安全控制的保護(hù)發(fā)起方必須有信心這可通過(guò)信息共享團(tuán)體的建立來(lái)達(dá)到信息共享團(tuán)體中雖

,。。,

然成員組織之間可能存在競(jìng)爭(zhēng)但每個(gè)成員仍信任其他成員會(huì)保護(hù)已共享信息

,。

只有建立了信任的信息共享團(tuán)體才能有效運(yùn)行信息提供方必須能夠信任接收方不會(huì)泄露或不當(dāng)

。

的使用數(shù)據(jù)同時(shí)基于發(fā)起方給出的所有資質(zhì)信息接收方必須能夠信任信息是準(zhǔn)確的以上兩個(gè)方

。,,。

面都很重要它們必須得到明確有效的安全策略和良好實(shí)踐應(yīng)用的支持為達(dá)到此目標(biāo)所有團(tuán)體成員

,。,

必須實(shí)現(xiàn)一個(gè)涵蓋已共享信息安全的通用管理體系即信息共享團(tuán)體的信息安全管理體系

,(ISMS)。

此外在并不是所有接收方都將為發(fā)起方所知的信息共享團(tuán)體之間也可進(jìn)行信息共享如果在這

,,。

些團(tuán)體及其信息共享協(xié)議之間建立起充分的信任這種信息共享將可進(jìn)行特別相關(guān)的是在不同團(tuán)體

,。

之間如不同產(chǎn)業(yè)或市場(chǎng)行業(yè)共享敏感信息

()。

本標(biāo)準(zhǔn)提供了使用已建立的通訊和其他技術(shù)方法如何滿(mǎn)足規(guī)定要求的指南和通用原則其目的是

。

支持在交換和共享敏感信息時(shí)創(chuàng)建信任從而促進(jìn)信息共享團(tuán)體的國(guó)際化發(fā)展

,。

標(biāo)準(zhǔn)中針對(duì)行業(yè)間和組織間通信沒(méi)有附加的信息指的是中對(duì)應(yīng)條款沒(méi)有

“”,GB/T22081—2008

附加的信息

。

本標(biāo)準(zhǔn)題目中通信主要是指進(jìn)行信息交換與共享包括書(shū)面口頭電子等所有形式信息交換與

“”,、、

共享

。

行業(yè)或組織認(rèn)為可能造成利益損失但又不能成為國(guó)家秘密的信息為敏感信息

1)。

Ⅳ

GB/T32920—2016/ISO/IEC270102012

:

信息技術(shù)安全技術(shù)行業(yè)間和組織間

通信的信息安全管理

1范圍

本標(biāo)準(zhǔn)給出了信息安全管理體系標(biāo)準(zhǔn)族的補(bǔ)充指南用于在信息共享團(tuán)體中實(shí)現(xiàn)信息安全

(ISMS),

管理

。

本標(biāo)準(zhǔn)特別為組織間和行業(yè)間通信給出了有關(guān)發(fā)起實(shí)現(xiàn)維護(hù)與改進(jìn)信息安全的控制和指南

、、。

本標(biāo)準(zhǔn)適用于行業(yè)間各種公共和私有的國(guó)內(nèi)的和國(guó)際的所有形式的敏感信息交換與共享特別

、。

是本標(biāo)準(zhǔn)可適用于與組織或國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的供給維護(hù)和保護(hù)相關(guān)的信息交換與共享

,、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單