GB/T 32920-2023信息安全技術(shù)行業(yè)間和組織間通信的信息安全管理

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T32920—2023/ISO/IEC270102015

:

代替GB/T32920—2016

信息安全技術(shù)

行業(yè)間和組織間通信的信息安全管理

Informationsecuritytechnology—Informationsecuritymanagementfor

inter-sectorandinter-organizationalcommunications

ISO/IEC270102015Informationtechnolo—Securittechniues—

(:,gyyq

Informationsecuritymanagementforinter-sectorandinter-organizational

communicationsIDT

,)

2023-05-23發(fā)布2023-12-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T32920—2023/ISO/IEC270102015

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

概念和釋義

4………………1

概述

4.1…………………1

信息共享團(tuán)體

4.2………………………1

團(tuán)體管理

4.3……………2

支持性機(jī)構(gòu)

4.4…………………………2

行業(yè)間通信

4.5…………………………2

符合性

4.6………………2

通信模型

4.7……………3

信息安全策略

5……………3

信息安全管理指導(dǎo)

5.1…………………3

信息安全組織

6……………4

人力資源安全

7……………4

任用前

7.1………………4

任用中

7.2………………4

任用的終止和變更

7.3…………………4

資產(chǎn)管理

8…………………4

有關(guān)資產(chǎn)的責(zé)任

8.1……………………4

信息分級(jí)

8.2……………5

介質(zhì)處理

8.3……………5

信息交換保護(hù)

8.4………………………5

訪問控制

9…………………7

密碼

10………………………7

密碼控制

10.1……………7

物理和環(huán)境安全

11…………………………7

運(yùn)行安全

12…………………7

運(yùn)行規(guī)程和責(zé)任

12.1……………………7

惡意軟件防范

12.2………………………7

備份

12.3…………………8

Ⅰ

GB/T32920—2023/ISO/IEC270102015

:

日志和監(jiān)視

12.4…………………………8

運(yùn)行軟件控制

12.5………………………8

技術(shù)方面的脆弱性管理

12.6……………8

信息系統(tǒng)審計(jì)的考慮

12.7………………8

通信安全

13…………………8

網(wǎng)絡(luò)安全管理

13.1………………………8

信息傳輸

13.2……………9

系統(tǒng)獲取開發(fā)和維護(hù)

14、…………………9

供應(yīng)商關(guān)系

15………………9

供應(yīng)商關(guān)系中的信息安全

15.1…………9

供應(yīng)商服務(wù)交付管理

15.2………………9

信息安全事件管理

16……………………10

信息安全事件的管理和改進(jìn)

16.1………………………10

業(yè)務(wù)連續(xù)性管理的信息安全方面

17……………………11

信息安全的連續(xù)性

17.1………………11

冗余

17.2………………11

符合性

18…………………11

符合法律和合同要求

18.1……………11

信息安全評(píng)審

18.2……………………12

附錄資料性共享敏感信息

A()…………13

附錄資料性信息交換中建立信任

B()…………………16

附錄資料性交通燈協(xié)議

C()……………19

附錄資料性組織信息共享團(tuán)體的模型

D()……………20

參考文獻(xiàn)

……………………24

Ⅱ

GB/T32920—2023/ISO/IEC270102015

:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管

GB/T32920—2016《

理與相比主要技術(shù)變化如下

》,GB/T32920—2016,:

刪除了業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)管理中信息共享團(tuán)體成員實(shí)施業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評(píng)估的實(shí)現(xiàn)指南見

a)(

年版的

20164.1);

增加了信息共享團(tuán)體信任的說(shuō)明見

b)(4.2);

信息共享團(tuán)體管理中考慮成員組織間差異時(shí)增加了不同的法律或法規(guī)環(huán)境見

c),,(4.3);

刪除了符合性評(píng)估的說(shuō)明見年版的

d)(20164.6);

增加了按優(yōu)先級(jí)分級(jí)說(shuō)明見

e)(8.2.1);

信息分類更改為信息的分級(jí)見年版的

f)“”“”(8.2.1,20167.2)。

本文件等同采用信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管

ISO/IEC27010:2015《

理

》。

本文件做了下列最小限度的編輯性改動(dòng)

:

為與我國(guó)技術(shù)標(biāo)準(zhǔn)體系一致將標(biāo)準(zhǔn)名稱改為信息安全技術(shù)行業(yè)間和組織間通信的信息安

———,《

全管理

》。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位山東省標(biāo)準(zhǔn)化研究院中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心重慶數(shù)字城市科技有

:、、

限公司山東曙光照信息技術(shù)有限公司中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院西安郵電大學(xué)陜西省網(wǎng)絡(luò)與信息

、、、、

安全測(cè)評(píng)中心山東正中信息技術(shù)股份有限公司國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心華為技術(shù)有

、、、

限公司杭州安恒信息技術(shù)股份有限公司長(zhǎng)揚(yáng)科技北京有限公司阿里云計(jì)算有限公司山東省市場(chǎng)

、、()、、

監(jiān)管監(jiān)測(cè)中心青島中盛信息技術(shù)有限公司西安電子科技大學(xué)青島計(jì)算技術(shù)研究院濟(jì)寧市標(biāo)準(zhǔn)信息

、、、

技術(shù)中心莒縣政務(wù)服務(wù)中心眾安信息技術(shù)服務(wù)有限公司濟(jì)南時(shí)代確信信息安全測(cè)評(píng)有限公司同智

、、、、

偉業(yè)軟件股份有限公司萬(wàn)鏈指數(shù)青島信息科技有限公司浙江河馬管家網(wǎng)絡(luò)科技有限公司北京辰

、()、、

光融信技術(shù)有限公司山東魯軟數(shù)字科技有限公司山東和同信息科技股份有限公司方圓標(biāo)志認(rèn)證集

、、、

團(tuán)山東有限公司山東騰翔產(chǎn)品質(zhì)量檢測(cè)有限公司深圳大學(xué)廣東移動(dòng)通信有限公司

、、、OPPO。

本文件主要起草人王曙光公偉朱豐雪范博魏軍張勇李丹尤莉莉趙延軍周偉光顧麗旺

:、、、、、、、、、、、

王文磊宋麗華邵萌梁偉趙華袁一鵬許立前萬(wàn)誼平張建成許志國(guó)秦?fù)P胡鑫磊楊向東楊銳

、、、、、、、、、、、、、、

鄧祥武劉志強(qiáng)王棟王建東張志為鄭偉張洪艷李永發(fā)徐彥霞程燕戴洪剛秦峰孟繁剛王永起

、、、、、、、、、、、、、、

賈慶佳何廣豐張志龍薛念明李勛耿哲張淑貞崔浩劉偉麗李騰

、、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2016GB/T32920—2016;

本次為第一次修訂

———。

Ⅲ

GB/T32920—2023/ISO/IEC270102015

:

引言

本文件是對(duì)和在信息共享團(tuán)體中使用的補(bǔ)充本文件中

GB/T22080—2016GB/T22081—2016。

的指南是對(duì)信息安全管理體系標(biāo)準(zhǔn)族其他標(biāo)準(zhǔn)中通

(ISMS,InformationSecurityManagementSystem)

用指南的補(bǔ)充

。

和采用一種通用的方式處理組織間的信息交換當(dāng)組織

GB/T22080—2016GB/T22081—2016。

間交換敏感信息1)時(shí)可通過建立信息共享團(tuán)體盡管團(tuán)體成員間存在競(jìng)爭(zhēng)但在信息交換過程中他們

,(,

相互信任即相信對(duì)方會(huì)對(duì)已共享敏感信息采取安全控制信任接收方

)。

信息共享團(tuán)體成員間相互信任是團(tuán)體有效運(yùn)行的前提一方面信息發(fā)起方需要信任接收方不會(huì)泄

。

露或不當(dāng)?shù)厥褂脭?shù)據(jù)另一方面信息接收方基于發(fā)起方的資質(zhì)信任發(fā)起方提供信息的準(zhǔn)確性以上兩

;,。

方面需要信息共享團(tuán)體明確有效的安全策略和實(shí)踐的支持為達(dá)到上述目標(biāo)信息共享團(tuán)體成員需要

。,

建立一個(gè)涵蓋共享信息的通用安全管理體系即信息共享團(tuán)體的信息安全管理體系

(ISMS)。

針對(duì)行業(yè)間不同團(tuán)體間敏感信息的共享由于信息發(fā)起方無(wú)法了解所有接收方此時(shí)可通過在團(tuán)體

,,

及其信息共享協(xié)議之間建立信任來(lái)進(jìn)行信息共享

。

行業(yè)或組織認(rèn)為可能造成利益損失但又不能成為國(guó)家秘密的信息為敏感信息

1)。

Ⅳ

GB/T32920—2023/ISO/IEC270102015

:

信息安全技術(shù)

行業(yè)間和組織間通信的信息安全管理

1范圍

本文件提供了信息安全管理體系標(biāo)準(zhǔn)族的補(bǔ)充指南用于在信息共享團(tuán)體中實(shí)現(xiàn)信息安全管理

(ISMS),。

本文件為行業(yè)間和組織間通信提供了有關(guān)發(fā)起實(shí)現(xiàn)維護(hù)與改進(jìn)信息安全的控制和指南它為如

、、。

何使用已建立的消息傳遞和其他技術(shù)方法滿足規(guī)定要求提供了指南和通用原則

。

本文件適用于公共的和私有的國(guó)內(nèi)的和國(guó)際的同一部門或部門之間等各種形式的敏感信息交換

、、

與共享特別的本文件可適用于與組織或國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的供給維護(hù)和保護(hù)相關(guān)的信息交換與共

。,、

享本文件旨在支持在敏感信息交換與共享時(shí)建立信任從而促進(jìn)信息共享團(tuán)體的國(guó)際化發(fā)展

。,。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2016(ISO/IEC27001:2013,IDT)

信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南

GB/T22081—2016(ISO/IEC27002:2013,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2017