GB∕ T 32920-2023 信息安全技術(shù) 行業(yè)間和組織間通信的信息安全管理（正式版）

行業(yè)間和組織間通信的信息安全管理國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)I Ⅲ 12規(guī)范性引用文件 1 1 14.1概述 14.2信息共享團(tuán)體 1 24.4支持性機(jī)構(gòu) 24.5行業(yè)間通信 2 2 3 35.1信息安全管理指導(dǎo) 3 4 4 47.2任用中 47.3任用的終止和變更 4 48.1有關(guān)資產(chǎn)的責(zé)任 48.2信息分級(jí) 58.3介質(zhì)處理 58.4信息交換保護(hù) 5 710密碼 710.1密碼控制 711物理和環(huán)境安全 712運(yùn)行安全 712.1運(yùn)行規(guī)程和責(zé)任 712.2惡意軟件防范 7 8Ⅱ12.4日志和監(jiān)視 812.5運(yùn)行軟件控制 812.6技術(shù)方面的脆弱性管理 812.7信息系統(tǒng)審計(jì)的考慮 813通信安全 813.1網(wǎng)絡(luò)安全管理 813.2信息傳輸 9 9 915.1供應(yīng)商關(guān)系中的信息安全 915.2供應(yīng)商服務(wù)交付管理 9 17業(yè)務(wù)連續(xù)性管理的信息安全方面 附錄A(資料性)共享敏感信息 附錄B(資料性)信息交換中建立信任 附錄C(資料性)交通燈協(xié)議 附錄D(資料性)組織信息共享團(tuán)體的模型 20 24Ⅲ本文件代替GB/T32920—2016《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管本文件等同采用ISO/IEC27010:2015《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管 V本文件是對(duì)GB/T22080—2016和GB/T22081—2016在信息共享團(tuán)體中使用的補(bǔ)充。本文件中GB/T22080—2016和GB/T22081—2016采用一種通用的方式處理組織間的信息交換。當(dāng)組織間交換敏感信息1時(shí)，可通過建立信息共享團(tuán)體(盡管團(tuán)體成員間存在競爭，但在信息交換過程中他們相互信任即相信對(duì)方會(huì)對(duì)已共享敏感信息采取信息共享團(tuán)體成員間相互信任是團(tuán)體有效運(yùn)行的前提。一方面信息發(fā)起方需要信任接收方不會(huì)泄方面需要信息共享團(tuán)體明確有效的安全策略和實(shí)踐的支持。為達(dá)到上述目標(biāo)，信息共享團(tuán)體成員需要1GB/T32920—2023/ISO/IE行業(yè)間和組織間通信的信息安全管理信息技術(shù)安全技術(shù)信息安全管理體系要求(ISO/IEC27001:2013,IDT)信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南(ISO/IEC27002:2013,IDT)信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(ISO/IEC27000:2GB/T32920—2023/ISO/IEWarning,AdviceandReportingPoints的關(guān)系如圖1所示。3共享的敏感信息4GB/T32920—2023/ISO/IE5GB/T22081—2016中8.2.1的控制修改如下：6共享信息因信息屬性及組成部分的不同而具有不同的敏感性。特別的，消息中包含的知識(shí)和共享信息權(quán)限管理功能通常用于執(zhí)行使用中的限制。此時(shí)需要一個(gè)清晰的用戶權(quán)限策略或模型以使用控制控制審查。在不破壞匿名性的情況下，可采用保證數(shù)據(jù)真實(shí)性的技術(shù)機(jī)制來確認(rèn)團(tuán)體成員間的通信。例如在控制7GB/T32920—2023/ISO/IE8GB/T32920—2023/ISO/IE9GB/T32920—2023/ISO/IEGB/T32920—2023/ISO/IEGB/T32920—2023/ISO/IEC信息共享團(tuán)體成員宜明確、理解及認(rèn)可責(zé)任問題及補(bǔ)救措施，以處理信息被有意或無意泄露的未授權(quán)泄露的后果可能直接影響責(zé)任方，并可能涉及在一段時(shí)間內(nèi)取消或限制某些成員的訪問 GB/T32920—2023/ISO/IEGB/T32920—2023/ISO/IEC或發(fā)起方對(duì)信息可信度評(píng)估的要求。解釋數(shù)據(jù)保護(hù)和分發(fā)屬性規(guī)則的示例是交通燈協(xié)議(TLP, e)事務(wù)筆名：對(duì)每一項(xiàng)事務(wù)，使用與所有其他所有其他事務(wù)筆名不可鏈接),例如隨機(jī)生成的網(wǎng)上銀行事務(wù)號(hào)碼。因此，可使用事務(wù)筆名實(shí)總的來說，角色筆名和關(guān)系筆名的匿名性強(qiáng)于個(gè)人筆名。匿名的強(qiáng)度隨著角色關(guān)系筆名應(yīng)用的增強(qiáng)而增強(qiáng)(但角色關(guān)系筆名的使用僅限于相同角色和B.2.3信譽(yù)體系信譽(yù)體系是Web社交媒體和社交網(wǎng)絡(luò)的基礎(chǔ)，其用于篩選與數(shù)字足跡(即數(shù)字環(huán)境中追溯某人活動(dòng)的痕跡)的概信用報(bào)告提供了一種量化信譽(yù)的方法，相比傳統(tǒng)信用報(bào)告，Web信譽(yù)機(jī)制(如Internet拍賣評(píng)級(jí))種Pareto方法[4]可用于解決上述問題：這種方法只需要付出相對(duì)少的努力就可獲得大部分的期望結(jié)a)信息的發(fā)起方宜在他們發(fā)布的信息中賦予信任等級(jí)3?？傻?，可推動(dòng)跨語言和域邊界的通信(例如Mitre的公共漏洞和暴露(CVE,CommonVule)可信信息交換的發(fā)起方和接收方都宜提供一份關(guān)于信息是否支持以前所接收的內(nèi)容以及支持次數(shù)的評(píng)估：在當(dāng)前最新技術(shù)下為此目的進(jìn)行的自動(dòng)信息分析是不可靠的。為了最小化似是f)來源方或接收方就信息是否已獨(dú)立經(jīng)過確認(rèn)的問題為信息賦予一個(gè)標(biāo)志。g)信息接收方宜基于5*5模型(見B.1)對(duì)信息來源方進(jìn)行主觀評(píng)價(jià)。信息共享團(tuán)體成員可將這些準(zhǔn)則適當(dāng)加權(quán)后量化信任，得到的信任量化值消息屬性1來源方消息屬性3裝消息屬性4消息屬性5接收方消息屬性6標(biāo)引序號(hào)說明：W.n'——接收方對(duì)消息中信息可信度的判斷。 (資料性)交通燈協(xié)議本附錄描述了交通燈協(xié)議(TLP),其廣泛用于信息共享團(tuán)體用以指示允許的信息分發(fā)。盡管交通創(chuàng)建TLP是為了鼓勵(lì)不同組織之間更多地共享敏感信息。發(fā)起方需表明TLP基于如下概念：信息發(fā)起方使用四種顏色中的一種對(duì)信息進(jìn)行標(biāo)記，以指示信息接收方可以—“綠色”——整個(gè)團(tuán)體。此類信息可在一個(gè)特定的團(tuán)體內(nèi)廣泛傳播，但這些信息不得公布或發(fā)(資料性)組織信息共享團(tuán)體方式多種多樣，從同等合作的自由協(xié)會(huì)到高度結(jié)構(gòu)治組織。它已成為行業(yè)間和組織間通信的信息安全管理體系的核心要素。TICE可確保信息共享團(tuán)體●發(fā)布當(dāng)前使用組件的漏洞公告；●告知團(tuán)體成員代表關(guān)于利用這些漏洞的病毒和攻擊，以使授權(quán)成員可高效修補(bǔ)并更新TICE可基于或發(fā)展自某個(gè)已存在的組織，如已經(jīng)服務(wù)于相關(guān)團(tuán)體的信息安全事件響應(yīng)組D.2.2TICE組織上的考慮為確保合適的人員參與其中，并確保專家能夠確定交互通信及相關(guān)信息基礎(chǔ)設(shè)施環(huán)境中信息的相一個(gè)典型的TICE宜至少包含以下職能部門。GB/T32920—2023/ISO/IE—自愿模式：在自愿基礎(chǔ)上由提供建議和支持的專家組成，此模式高度依賴于參與專家的積D.3.1概述WARP通常基于信息共享團(tuán)體成員代表的個(gè)人關(guān)系，在具有共同利益的人或組織間共享信息。WARP可作為信息共享團(tuán)體的一部分協(xié)同工作，并通過共享信息降低信息系統(tǒng)遭受破壞的風(fēng)D.3.2WARP職能D.3.3WARP服務(wù) D.3.3.2預(yù)警過濾此服務(wù)允許WARP成員接收根據(jù)他們感興趣的領(lǐng)域過濾出來的預(yù)警及建議。預(yù)警過濾應(yīng)用軟件和分發(fā)預(yù)警及建議。此服務(wù)實(shí)現(xiàn)了WARP的預(yù)警部分。D.3.3.3建議中介此服務(wù)允許WARP成員在安全環(huán)境中討論良好實(shí)踐和信息安全問題。此服務(wù)成員以交易方式向他人提供經(jīng)驗(yàn)和技能。此服務(wù)實(shí)現(xiàn)了WARP的建議部分。D.3.3.4可信共享或?qū)擂蔚那闆r下，共享諸如事件或威脅數(shù)據(jù)等敏感信息。在具有一定安全保障前提下，共享可通過電府部門(用以核對(duì)和監(jiān)測國家總體發(fā)展趨勢)進(jìn)行共享。此服務(wù)實(shí)現(xiàn)了WARP的報(bào)告部分。WARP還可提供對(duì)團(tuán)體成員有益的其他服務(wù)。通常為了使WARP操作員滿足成員要求的時(shí)間和GB/T32920—2023/ISO/IE [1]InternetEngineeringTaskForce.RFC4021:RegistrationofMailandMIMEHeaderFields[online].March2005[viewedOctober[2]ISO/IEC27006:2011Informationtechnology—Securitybodiesprovidingauditandcertificationof/web2/archive/what-is-web[4]Wikipedia,TheFreeEncyclopedia.Paretodistribution[onlintober2014]./wiki/Pareto_distribution[5]EuropeanAgencyforNetworkandInformatitionSharing.June2009[viewedOctober2014]Resilienceand-CIIP/public-private-partnership/information-sharing-exchange/good-p[6]CentrefortheProtectionofNational[viewedOctober2014].Av[7]ISO/IEC27002:2022Informationsecurity,cybersecurity