GB∕ T 32920-2023 信息安全技術(shù) 行業(yè)間和組織間通信的信息安全管理（正式版）

行業(yè)間和組織間通信的信息安全管理國家市場監(jiān)督管理總局國家標準化管理委員會I Ⅲ 12規(guī)范性引用文件 1 1 14.1概述 14.2信息共享團體 1 24.4支持性機構(gòu) 24.5行業(yè)間通信 2 2 3 35.1信息安全管理指導 3 4 4 47.2任用中 47.3任用的終止和變更 4 48.1有關(guān)資產(chǎn)的責任 48.2信息分級 58.3介質(zhì)處理 58.4信息交換保護 5 710密碼 710.1密碼控制 711物理和環(huán)境安全 712運行安全 712.1運行規(guī)程和責任 712.2惡意軟件防范 7 8Ⅱ12.4日志和監(jiān)視 812.5運行軟件控制 812.6技術(shù)方面的脆弱性管理 812.7信息系統(tǒng)審計的考慮 813通信安全 813.1網(wǎng)絡(luò)安全管理 813.2信息傳輸 9 9 915.1供應(yīng)商關(guān)系中的信息安全 915.2供應(yīng)商服務(wù)交付管理 9 17業(yè)務(wù)連續(xù)性管理的信息安全方面 附錄A(資料性)共享敏感信息 附錄B(資料性)信息交換中建立信任 附錄C(資料性)交通燈協(xié)議 附錄D(資料性)組織信息共享團體的模型 20 24Ⅲ本文件代替GB/T32920—2016《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管本文件等同采用ISO/IEC27010:2015《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管 V本文件是對GB/T22080—2016和GB/T22081—2016在信息共享團體中使用的補充。本文件中GB/T22080—2016和GB/T22081—2016采用一種通用的方式處理組織間的信息交換。當組織間交換敏感信息1時，可通過建立信息共享團體(盡管團體成員間存在競爭，但在信息交換過程中他們相互信任即相信對方會對已共享敏感信息采取信息共享團體成員間相互信任是團體有效運行的前提。一方面信息發(fā)起方需要信任接收方不會泄方面需要信息共享團體明確有效的安全策略和實踐的支持。為達到上述目標，信息共享團體成員需要1GB/T32920—2023/ISO/IE行業(yè)間和組織間通信的信息安全管理信息技術(shù)安全技術(shù)信息安全管理體系要求(ISO/IEC27001:2013,IDT)信息技術(shù)安全技術(shù)信息安全控制實踐指南(ISO/IEC27002:2013,IDT)信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(ISO/IEC27000:2GB/T32920—2023/ISO/IEWarning,AdviceandReportingPoints的關(guān)系如圖1所示。3共享的敏感信息4GB/T32920—2023/ISO/IE5GB/T22081—2016中8.2.1的控制修改如下：6共享信息因信息屬性及組成部分的不同而具有不同的敏感性。特別的，消息中包含的知識和共享信息權(quán)限管理功能通常用于執(zhí)行使用中的限制。此時需要一個清晰的用戶權(quán)限策略或模型以使用控制控制審查。在不破壞匿名性的情況下，可采用保證數(shù)據(jù)真實性的技術(shù)機制來確認團體成員間的通信。例如在控制7GB/T32920—2023/ISO/IE8GB/T32920—2023/ISO/IE9GB/T32920—2023/ISO/IEGB/T32920—2023/ISO/IEGB/T32920—2023/ISO/IEC信息共享團體成員宜明確、理解及認可責任問題及補救措施，以處理信息被有意或無意泄露的未授權(quán)泄露的后果可能直接影響責任方，并可能涉及在一段時間內(nèi)取消或限制某些成員的訪問 GB/T32920—2023/ISO/IEGB/T32920—2023/ISO/IEC或發(fā)起方對信息可信度評估的要求。解釋數(shù)據(jù)保護和分發(fā)屬性規(guī)則的示例是交通燈協(xié)議(TLP, e)事務(wù)筆名：對每一項事務(wù)，使用與所有其他所有其他事務(wù)筆名不可鏈接),例如隨機生成的網(wǎng)上銀行事務(wù)號碼。因此，可使用事務(wù)筆名實總的來說，角色筆名和關(guān)系筆名的匿名性強于個人筆名。匿名的強度隨著角色關(guān)系筆名應(yīng)用的增強而增強(但角色關(guān)系筆名的使用僅限于相同角色和B.2.3信譽體系信譽體系是Web社交媒體和社交網(wǎng)絡(luò)的基礎(chǔ)，其用于篩選與數(shù)字足跡(即數(shù)字環(huán)境中追溯某人活動的痕跡)的概信用報告提供了一種量化信譽的方法，相比傳統(tǒng)信用報告，Web信譽機制(如Internet拍賣評級)種Pareto方法[4]可用于解決上述問題：這種方法只需要付出相對少的努力就可獲得大部分的期望結(jié)a)信息的發(fā)起方宜在他們發(fā)布的信息中賦予信任等級3?？傻?，可推動跨語言和域邊界的通信(例如Mitre的公共漏洞和暴露(CVE,CommonVule)可信信息交換的發(fā)起方和接收方都宜提供一份關(guān)于信息是否支持以前所接收的內(nèi)容以及支持次數(shù)的評估：在當前最新技術(shù)下為此目的進行的自動信息分析是不可靠的。為了最小化似是f)來源方或接收方就信息是否已獨立經(jīng)過確認的問題為信息賦予一個標志。g)信息接收方宜基于5*5模型(見B.1)對信息來源方進行主觀評價。信息共享團體成員可將這些準則適當加權(quán)后量化信任，得到的信任量化值消息屬性1來源方消息屬性3裝消息屬性4消息屬性5接收方消息屬性6標引序號說明：W.n'——接收方對消息中信息可信度的判斷。 (資料性)交通燈協(xié)議本附錄描述了交通燈協(xié)議(TLP),其廣泛用于信息共享團體用以指示允許的信息分發(fā)。盡管交通創(chuàng)建TLP是為了鼓勵不同組織之間更多地共享敏感信息。發(fā)起方需表明TLP基于如下概念：信息發(fā)起方使用四種顏色中的一種對信息進行標記，以指示信息接收方可以—“綠色”——整個團體。此類信息可在一個特定的團體內(nèi)廣泛傳播，但這些信息不得公布或發(fā)(資料性)組織信息共享團體方式多種多樣，從同等合作的自由協(xié)會到高度結(jié)構(gòu)治組織。它已成為行業(yè)間和組織間通信的信息安全管理體系的核心要素。TICE可確保信息共享團體●發(fā)布當前使用組件的漏洞公告；●告知團體成員代表關(guān)于利用這些漏洞的病毒和攻擊，以使授權(quán)成員可高效修補并更新TICE可基于或發(fā)展自某個已存在的組織，如已經(jīng)服務(wù)于相關(guān)團體的信息安全事件響應(yīng)組D.2.2TICE組織上的考慮為確保合適的人員參與其中，并確保專家能夠確定交互通信及相關(guān)信息基礎(chǔ)設(shè)施環(huán)境中信息的相一個典型的TICE宜至少包含以下職能部門。GB/T32920—2023/ISO/IE—自愿模式：在自愿基礎(chǔ)上由提供建議和支持的專家組成，此模式高度依賴于參與專家的積D.3.1概述WARP通?；谛畔⒐蚕韴F體成員代表的個人關(guān)系，在具有共同利益的人或組織間共享信息。WARP可作為信息共享團體的一部分協(xié)同工作，并通過共享信息降低信息系統(tǒng)遭受破壞的風D.3.2WARP職能D.3.3WARP服務(wù) D.3.3.2預(yù)警過濾此服務(wù)允許WARP成員接收根據(jù)他們感興趣的領(lǐng)域過濾出來的預(yù)警及建議。預(yù)警過濾應(yīng)用軟件和分發(fā)預(yù)警及建議。此服務(wù)實現(xiàn)了WARP的預(yù)警部分。D.3.3.3建議中介此服務(wù)允許WARP成員在安全環(huán)境中討論良好實踐和信息安全問題。此服務(wù)成員以交易方式向他人提供經(jīng)驗和技能。此服務(wù)實現(xiàn)了WARP的建議部分。D.3.3.4可信共享或?qū)擂蔚那闆r下，共享諸如事件或威脅數(shù)據(jù)等敏感信息。在具有一定安全保障前提下，共享可通過電府部門(用以核對和監(jiān)測國家總體發(fā)展趨勢)進行共享。此服務(wù)實現(xiàn)了WARP的報告部分。WARP還可提供對團體成員有益的其他服務(wù)。通常為了使WARP操作員滿足成員要求的時間和GB/T32920—2023/ISO/IE [1]InternetEngineeringTaskForce.RFC4021:RegistrationofMailandMIMEHeaderFields[online].March2005[viewedOctober[2]ISO/IEC27006:2011Informationtechnology—Securitybodiesprovidingauditandcertificationof/web2/archive/what-is-web[4]Wikipedia,TheFreeEncyclopedia.Paretodistribution[onlintober2014]./wiki/Pareto_distribution[5]EuropeanAgencyforNetworkandInformatitionSharing.June2009[viewedOctober2014]Resilienceand-CIIP/public-private-partnership/information-sharing-exchange/good-p[6]CentrefortheProtectionofNational[viewedOctober2014].Av[7]ISO/IEC27002:2022Informationsecurity,cybersecurity