路径: 主页 > GB/T > 第209页 > GB/T 32920-2016 | 标准编号 | GB/T 32920-2016 (GB/T32920-2016) | | 中文名称 | 信息技术 安全技术 行业间和组织间通信的信息安全管理 | | 英文名称 | Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communications | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 33,312 | | 发布日期 | 2016-08-29 | | 实施日期 | 2017-03-01 | | 标准依据 | 国家标准公告2016年第14号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | GB/T 32920-2016
Information technology - Security techniques - Information security management for inter-sector and inter-organizational communications
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术 行业间和组织间
通信的信息安全管理
(ISO/IEC 27010:2012,IDT)
2016-08-29发布
2017-03-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语、定义和缩略语 1
3.1 术语和定义 1
3.2 缩略语 1
4 概念和释义 2
4.1 简介 2
4.2 信息共享团体 2
4.3 团体管理 2
4.4 支持性机构 2
4.5 行业间通信 2
4.6 符合性 3
4.7 通信模型 4
5 安全方针 4
5.1 信息安全方针 4
6 信息安全组织 4
6.1 内部组织 4
6.2 外部各方 4
7 资产管理 5
7.1 对资产负责 5
7.2 信息分类 5
7.3 信息交换保护 6
8 人力资源安全 7
8.1 任用之前 7
8.2 任用中 8
8.3 任用的终止或变化 8
9 物理和环境安全 8
10 通信和操作管理 8
10.1 操作规程和职责 8
10.2 第三方服务交付管理 8
10.3 系统规划和验收 8
10.4 防范恶意和移动代码 8
10.5 备份 8
10.6 网络安全管理 9
10.7 介质处置 9
10.8 信息的交换 9
10.9 电子商务服务 9
10.10 监视 9
11 访问控制 10
12 信息系统获取、开发和维护 10
12.1 信息系统的安全要求 10
12.2 应用中的正确处理 10
12.3 密码控制 10
12.4 系统文件的安全 10
12.5 开发和支持过程中的安全 10
12.6 技术脆弱性管理 10
13 信息安全事件管理 11
13.1 报告信息安全事态和弱点 11
13.2 信息安全事件和改进的管理 11
14 业务连续性管理 12
14.1 业务连续性管理的信息安全方面 12
15 符合性 12
15.1 符合法律要求 12
15.2 符合安全策略和标准以及技术符合性 13
15.3 信息系统审计考虑 13
附录A(资料性附录) 共享敏感信息 14
附录B(资料性附录) 信息交换中的建立信任 18
附录C(资料性附录) 交通信号灯协议 22
附录D(资料性附录) 组织一个信息共享团体的模型 23
参考文献 28
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准使用翻译法等同采用国际标准ISO/IEC 27010:2012《信息技术 安全技术 行业间和组织
间通信的信息安全管理》(英文版)。根据GB/T 1.1-2009和GB/T 20000.2-2009的规定,做了如下
一些编辑性修改:
---在本标准的引言中,添加“标准中‘针对行业间和组织间通信没有附加的信息’,指的是
GB/T 22081-2008中对应条款没有附加的信息”;
---在本标准的第3章中,添加3.2缩略语;
---在本标准附录B.3中,“该方法的有效性已得到英国国家基础设施保护中心确认,并用于自动
配置和分发预警信息给各类信息共享团体”放到脚注中;
---在本标准附录C中,“此描述是从欧洲网络和信息安全局(ENISA)发布的网络安全信息交换
的良好实践指南中获得的,概念最初是由英国的国家基础设施保护中心(CPNI)制定的”放到
脚注中;
---在本标准4.2和7.3.3中,分别添加参见附录A和参见附录B,以符合GB/T 1.1-2009中提到
“每个附录均应在正文或前言的相关条文中明确提及”。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:山东省标准化研究院、厦门市美亚柏科信息股份有限公司、中国信息安全认证中
心、江苏省电子信息产品质量监督检验研究院、贵州大学、泰安市技术监督情报所。
本标准主要起草人:王曙光、王庆升、公伟、隗玉凯、栾江霞、吴鸿伟、魏军、李旭、李智、赵倩倩、黄申、
吴兰、潘平、杨平。
引 言
本 标 准 是 对 GB/T 22080-2008(ISO/IEC 27001:2005,IDT)和 GB/T 22081-2008
(ISO/IEC 27002:2005,IDT)在信息共享团体中使用的补充。本标准包含的指南不包括信息安全管理
体系(ISMS)标准族内其他标准中给出的通用指南,并与之互为补充。
GB/T 22080-2008和GB/T 22081-2008采用一种通用的方式处理组织间的信息交换。当组织
希望与多个其他组织进行敏感信息1)通信时,对敏感信息在其他组织中的使用将受到接收组织实现的
充分安全控制的保护,发起方必须有信心。这可通过信息共享团体的建立来达到。信息共享团体中,虽
然成员组织之间可能存在竞争,但每个成员仍信任其他成员会保护已共享信息。
只有建立了信任的信息共享团体才能有效运行。信息提供方必须能够信任接收方不会泄露或不当
的使用数据。同时,基于发起方给出的所有资质,信息接收方必须能够信任信息是准确的。以上两个方
面都很重要,它们必须得到明确有效的安全策略和良好实践应用的支持。为达到此目标,所有团体成员
必须实现一个涵盖已共享信息安全的通用管理体系,即信息共享团体的信息安全管理体系(ISMS)。
此外,在并不是所有接收方都将为发起方所知的信息共享团体之间,也可进行信息共享。如果在这
些团体及其信息共享协议之间建立起充分的信任,这种信息共享将可进行。特别相关的是在不同团体
之间(如不同产业或市场行业)共享敏感信息。
本标准提供了使用已建立的通讯和其他技术方法如何满足规定要求的指南和通用原则。其目的是
支持在交换和共享敏感信息时创建信任,从而促进信息共享团体的国际化发展。
标准中“针对行业间和组织间通信没有附加的信息”,指的是GB/T 22081-2008中对应条款没有
附加的信息。
本标准题目中“通信”主要是指进行信息交换与共享,包括书面、口头、电子等所有形式信息交换与
共享。
1) 行业或组织认为可能造成利益损失但又不能成为国家秘密的信息为敏感信息。
信息技术 安全技术 行业间和组织间
通信的信息安全管理
1 范围
本标准给出了信息安全管理体系(ISMS)标准族的补充指南,用于在信息共享团体中实现信息安全
管理。
本标准特别为组织间和行业间通信给出了有关发起、实现、维护与改进信息安全的控制和指南。
本标准适用于行业间各种公共和私有的、国内的和国际的所有形式的敏感信息交换与共享。特别
是,本标准可适用于与组织或国家关键基础设施的供给、维护和保护相关的信息交换与共享。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001:2005,
IDT)
GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则(ISO/IEC 27002:2005,IDT)
GB/T 29246-2012 信息技术 安全技术 信息安全管理体系 概述和词汇(......
|