GB/T 32920-2023信息安全技術(shù)行業(yè)間和組織間通信的信息安全管理

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T32920—2023/ISO/IEC270102015

:

代替GB/T32920—2016

信息安全技術(shù)

行業(yè)間和組織間通信的信息安全管理

Informationsecuritytechnology—Informationsecuritymanagementfor

inter-sectorandinter-organizationalcommunications

ISO/IEC270102015Informationtechnolo—Securittechniues—

(:,gyyq

Informationsecuritymanagementforinter-sectorandinter-organizational

communicationsIDT

,)

2023-05-23發(fā)布2023-12-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T32920—2023/ISO/IEC270102015

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概念和釋義

4………………1

概述

4.1…………………1

信息共享團體

4.2………………………1

團體管理

4.3……………2

支持性機構(gòu)

4.4…………………………2

行業(yè)間通信

4.5…………………………2

符合性

4.6………………2

通信模型

4.7……………3

信息安全策略

5……………3

信息安全管理指導(dǎo)

5.1…………………3

信息安全組織

6……………4

人力資源安全

7……………4

任用前

7.1………………4

任用中

7.2………………4

任用的終止和變更

7.3…………………4

資產(chǎn)管理

8…………………4

有關(guān)資產(chǎn)的責(zé)任

8.1……………………4

信息分級

8.2……………5

介質(zhì)處理

8.3……………5

信息交換保護

8.4………………………5

訪問控制

9…………………7

密碼

10………………………7

密碼控制

10.1……………7

物理和環(huán)境安全

11…………………………7

運行安全

12…………………7

運行規(guī)程和責(zé)任

12.1……………………7

惡意軟件防范

12.2………………………7

備份

12.3…………………8

Ⅰ

GB/T32920—2023/ISO/IEC270102015

:

日志和監(jiān)視

12.4…………………………8

運行軟件控制

12.5………………………8

技術(shù)方面的脆弱性管理

12.6……………8

信息系統(tǒng)審計的考慮

12.7………………8

通信安全

13…………………8

網(wǎng)絡(luò)安全管理

13.1………………………8

信息傳輸

13.2……………9

系統(tǒng)獲取開發(fā)和維護

14、…………………9

供應(yīng)商關(guān)系

15………………9

供應(yīng)商關(guān)系中的信息安全

15.1…………9

供應(yīng)商服務(wù)交付管理

15.2………………9

信息安全事件管理

16……………………10

信息安全事件的管理和改進

16.1………………………10

業(yè)務(wù)連續(xù)性管理的信息安全方面

17……………………11

信息安全的連續(xù)性

17.1………………11

冗余

17.2………………11

符合性

18…………………11

符合法律和合同要求

18.1……………11

信息安全評審

18.2……………………12

附錄資料性共享敏感信息

A()…………13

附錄資料性信息交換中建立信任

B()…………………16

附錄資料性交通燈協(xié)議

C()……………19

附錄資料性組織信息共享團體的模型

D()……………20

參考文獻

……………………24

Ⅱ

GB/T32920—2023/ISO/IEC270102015

:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管

GB/T32920—2016《

理與相比主要技術(shù)變化如下

》,GB/T32920—2016,:

刪除了業(yè)務(wù)連續(xù)性和風(fēng)險管理中信息共享團體成員實施業(yè)務(wù)連續(xù)性風(fēng)險評估的實現(xiàn)指南見

a)(

年版的

20164.1);

增加了信息共享團體信任的說明見

b)(4.2);

信息共享團體管理中考慮成員組織間差異時增加了不同的法律或法規(guī)環(huán)境見

c),,(4.3);

刪除了符合性評估的說明見年版的

d)(20164.6);

增加了按優(yōu)先級分級說明見

e)(8.2.1);

信息分類更改為信息的分級見年版的

f)“”“”(8.2.1,20167.2)。

本文件等同采用信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管

ISO/IEC27010:2015《

理

》。

本文件做了下列最小限度的編輯性改動

:

為與我國技術(shù)標(biāo)準(zhǔn)體系一致將標(biāo)準(zhǔn)名稱改為信息安全技術(shù)行業(yè)間和組織間通信的信息安

———,《

全管理

》。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位山東省標(biāo)準(zhǔn)化研究院中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心重慶數(shù)字城市科技有

:、、

限公司山東曙光照信息技術(shù)有限公司中國電子技術(shù)標(biāo)準(zhǔn)化研究院西安郵電大學(xué)陜西省網(wǎng)絡(luò)與信息

、、、、

安全測評中心山東正中信息技術(shù)股份有限公司國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心華為技術(shù)有

、、、

限公司杭州安恒信息技術(shù)股份有限公司長揚科技北京有限公司阿里云計算有限公司山東省市場

、、()、、

監(jiān)管監(jiān)測中心青島中盛信息技術(shù)有限公司西安電子科技大學(xué)青島計算技術(shù)研究院濟寧市標(biāo)準(zhǔn)信息

、、、

技術(shù)中心莒縣政務(wù)服務(wù)中心眾安信息技術(shù)服務(wù)有限公司濟南時代確信信息安全測評有限公司同智

、、、、

偉業(yè)軟件股份有限公司萬鏈指數(shù)青島信息科技有限公司浙江河馬管家網(wǎng)絡(luò)科技有限公司北京辰

、()、、

光融信技術(shù)有限公司山東魯軟數(shù)字科技有限公司山東和同信息科技股份有限公司方圓標(biāo)志認證集

、、、

團山東有限公司山東騰翔產(chǎn)品質(zhì)量檢測有限公司深圳大學(xué)廣東移動通信有限公司

、、、OPPO。

本文件主要起草人王曙光公偉朱豐雪范博魏軍張勇李丹尤莉莉趙延軍周偉光顧麗旺

:、、、、、、、、、、、

王文磊宋麗華邵萌梁偉趙華袁一鵬許立前萬誼平張建成許志國秦揚胡鑫磊楊向東楊銳

、、、、、、、、、、、、、、

鄧祥武劉志強王棟王建東張志為鄭偉張洪艷李永發(fā)徐彥霞程燕戴洪剛秦峰孟繁剛王永起

、、、、、、、、、、、、、、

賈慶佳何廣豐張志龍薛念明李勛耿哲張淑貞崔浩劉偉麗李騰

、、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2016GB/T32920—2016;

本次為第一次修訂

———。

Ⅲ

GB/T32920—2023/ISO/IEC270102015

:

引言

本文件是對和在信息共享團體中使用的補充本文件中

GB/T22080—2016GB/T22081—2016。

的指南是對信息安全管理體系標(biāo)準(zhǔn)族其他標(biāo)準(zhǔn)中通

(ISMS,InformationSecurityManagementSystem)

用指南的補充

。

和采用一種通用的方式處理組織間的信息交換當(dāng)組織

GB/T22080—2016GB/T22081—2016。

間交換敏感信息1)時可通過建立信息共享團體盡管團體成員間存在競爭但在信息交換過程中他們

,(,

相互信任即相信對方會對已共享敏感信息采取安全控制信任接收方

)。

信息共享團體成員間相互信任是團體有效運行的前提一方面信息發(fā)起方需要信任接收方不會泄

。

露或不當(dāng)?shù)厥褂脭?shù)據(jù)另一方面信息接收方基于發(fā)起方的資質(zhì)信任發(fā)起方提供信息的準(zhǔn)確性以上兩

;,。

方面需要信息共享團體明確有效的安全策略和實踐的支持為達到上述目標(biāo)信息共享團體成員需要

。,

建立一個涵蓋共享信息的通用安全管理體系即信息共享團體的信息安全管理體系

(ISMS)。

針對行業(yè)間不同團體間敏感信息的共享由于信息發(fā)起方無法了解所有接收方此時可通過在團體

,,

及其信息共享協(xié)議之間建立信任來進行信息共享

。

行業(yè)或組織認為可能造成利益損失但又不能成為國家秘密的信息為敏感信息

1)。

Ⅳ

GB/T32920—2023/ISO/IEC270102015

:

信息安全技術(shù)

行業(yè)間和組織間通信的信息安全管理

1范圍

本文件提供了信息安全管理體系標(biāo)準(zhǔn)族的補充指南用于在信息共享團體中實現(xiàn)信息安全管理

(ISMS),。

本文件為行業(yè)間和組織間通信提供了有關(guān)發(fā)起實現(xiàn)維護與改進信息安全的控制和指南它為如

、、。

何使用已建立的消息傳遞和其他技術(shù)方法滿足規(guī)定要求提供了指南和通用原則

。

本文件適用于公共的和私有的國內(nèi)的和國際的同一部門或部門之間等各種形式的敏感信息交換

、、

與共享特別的本文件可適用于與組織或國家關(guān)鍵基礎(chǔ)設(shè)施的供給維護和保護相關(guān)的信息交換與共

。,、

享本文件旨在支持在敏感信息交換與共享時建立信任從而促進信息共享團體的國際化發(fā)展

。,。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2016(ISO/IEC27001:2013,IDT)

信息技術(shù)安全技術(shù)信息安全控制實踐指南

GB/T22081—2016(ISO/IEC27002:2013,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2017