GB/T 32920-2023信息安全技术行业间和组织间通信的信息安全管理

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T32920—2023/ISO/IEC270102015

:

代替GB/T32920—2016

信息安全技术

行业间和组织间通信的信息安全管理

Informationsecuritytechnology—Informationsecuritymanagementfor

inter-sectorandinter-organizationalcommunications

ISO/IEC270102015Informationtechnolo—Securittechniues—

(:,gyyq

Informationsecuritymanagementforinter-sectorandinter-organizational

communicationsIDT

,)

2023-05-23发布2023-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T32920—2023/ISO/IEC270102015

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概念和释义

4………………1

概述

4.1…………………1

信息共享团体

4.2………………………1

团体管理

4.3……………2

支持性机构

4.4…………………………2

行业间通信

4.5…………………………2

符合性

4.6………………2

通信模型

4.7……………3

信息安全策略

5……………3

信息安全管理指导

5.1…………………3

信息安全组织

6……………4

人力资源安全

7……………4

任用前

7.1………………4

任用中

7.2………………4

任用的终止和变更

7.3…………………4

资产管理

8…………………4

有关资产的责任

8.1……………………4

信息分级

8.2……………5

介质处理

8.3……………5

信息交换保护

8.4………………………5

访问控制

9…………………7

密码

10………………………7

密码控制

10.1……………7

物理和环境安全

11…………………………7

运行安全

12…………………7

运行规程和责任

12.1……………………7

恶意软件防范

12.2………………………7

备份

12.3…………………8

Ⅰ

GB/T32920—2023/ISO/IEC270102015

:

日志和监视

12.4…………………………8

运行软件控制

12.5………………………8

技术方面的脆弱性管理

12.6……………8

信息系统审计的考虑

12.7………………8

通信安全

13…………………8

网络安全管理

13.1………………………8

信息传输

13.2……………9

系统获取开发和维护

14、…………………9

供应商关系

15………………9

供应商关系中的信息安全

15.1…………9

供应商服务交付管理

15.2………………9

信息安全事件管理

16……………………10

信息安全事件的管理和改进

16.1………………………10

业务连续性管理的信息安全方面

17……………………11

信息安全的连续性

17.1………………11

冗余

17.2………………11

符合性

18…………………11

符合法律和合同要求

18.1……………11

信息安全评审

18.2……………………12

附录资料性共享敏感信息

A()…………13

附录资料性信息交换中建立信任

B()…………………16

附录资料性交通灯协议

C()……………19

附录资料性组织信息共享团体的模型

D()……………20

参考文献

……………………24

Ⅱ

GB/T32920—2023/ISO/IEC270102015

:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技术安全技术行业间和组织间通信的信息安全管

GB/T32920—2016《

理与相比主要技术变化如下

》,GB/T32920—2016,:

删除了业务连续性和风险管理中信息共享团体成员实施业务连续性风险评估的实现指南见

a)(

年版的

20164.1);

增加了信息共享团体信任的说明见

b)(4.2);

信息共享团体管理中考虑成员组织间差异时增加了不同的法律或法规环境见

c),,(4.3);

删除了符合性评估的说明见年版的

d)(20164.6);

增加了按优先级分级说明见

e)(8.2.1);

信息分类更改为信息的分级见年版的

f)“”“”(8.2.1,20167.2)。

本文件等同采用信息技术安全技术行业间和组织间通信的信息安全管

ISO/IEC27010:2015《

理

》。

本文件做了下列最小限度的编辑性改动

:

为与我国技术标准体系一致将标准名称改为信息安全技术行业间和组织间通信的信息安

———,《

全管理

》。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位山东省标准化研究院中国网络安全审查技术与认证中心重庆数字城市科技有

:、、

限公司山东曙光照信息技术有限公司中国电子技术标准化研究院西安邮电大学陕西省网络与信息

、、、、

安全测评中心山东正中信息技术股份有限公司国家计算机网络应急技术处理协调中心华为技术有

、、、

限公司杭州安恒信息技术股份有限公司长扬科技北京有限公司阿里云计算有限公司山东省市场

、、()、、

监管监测中心青岛中盛信息技术有限公司西安电子科技大学青岛计算技术研究院济宁市标准信息

、、、

技术中心莒县政务服务中心众安信息技术服务有限公司济南时代确信信息安全测评有限公司同智

、、、、

伟业软件股份有限公司万链指数青岛信息科技有限公司浙江河马管家网络科技有限公司北京辰

、()、、

光融信技术有限公司山东鲁软数字科技有限公司山东和同信息科技股份有限公司方圆标志认证集

、、、

团山东有限公司山东腾翔产品质量检测有限公司深圳大学广东移动通信有限公司

、、、OPPO。

本文件主要起草人王曙光公伟朱丰雪范博魏军张勇李丹尤莉莉赵延军周伟光顾丽旺

:、、、、、、、、、、、

王文磊宋丽华邵萌梁伟赵华袁一鹏许立前万谊平张建成许志国秦扬胡鑫磊杨向东杨锐

、、、、、、、、、、、、、、

邓祥武刘志强王栋王建东张志为郑伟张洪艳李永发徐彦霞程燕戴洪刚秦峰孟繁刚王永起

、、、、、、、、、、、、、、

贾庆佳何广丰张志龙薛念明李勋耿哲张淑贞崔浩刘伟丽李腾

、、、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2016GB/T32920—2016;

本次为第一次修订

———。

Ⅲ

GB/T32920—2023/ISO/IEC270102015

:

引言

本文件是对和在信息共享团体中使用的补充本文件中

GB/T22080—2016GB/T22081—2016。

的指南是对信息安全管理体系标准族其他标准中通

(ISMS,InformationSecurityManagementSystem)

用指南的补充

。

和采用一种通用的方式处理组织间的信息交换当组织

GB/T22080—2016GB/T22081—2016。

间交换敏感信息1)时可通过建立信息共享团体尽管团体成员间存在竞争但在信息交换过程中他们

,(,

相互信任即相信对方会对已共享敏感信息采取安全控制信任接收方

)。

信息共享团体成员间相互信任是团体有效运行的前提一方面信息发起方需要信任接收方不会泄

。

露或不当地使用数据另一方面信息接收方基于发起方的资质信任发起方提供信息的准确性以上两

;,。

方面需要信息共享团体明确有效的安全策略和实践的支持为达到上述目标信息共享团体成员需要

。,

建立一个涵盖共享信息的通用安全管理体系即信息共享团体的信息安全管理体系

(ISMS)。

针对行业间不同团体间敏感信息的共享由于信息发起方无法了解所有接收方此时可通过在团体

,,

及其信息共享协议之间建立信任来进行信息共享

。

行业或组织认为可能造成利益损失但又不能成为国家秘密的信息为敏感信息

1)。

Ⅳ

GB/T32920—2023/ISO/IEC270102015

:

信息安全技术

行业间和组织间通信的信息安全管理

1范围

本文件提供了信息安全管理体系标准族的补充指南用于在信息共享团体中实现信息安全管理

(ISMS),。

本文件为行业间和组织间通信提供了有关发起实现维护与改进信息安全的控制和指南它为如

、、。

何使用已建立的消息传递和其他技术方法满足规定要求提供了指南和通用原则

。

本文件适用于公共的和私有的国内的和国际的同一部门或部门之间等各种形式的敏感信息交换

、、

与共享特别的本文件可适用于与组织或国家关键基础设施的供给维护和保护相关的信息交换与共

。,、

享本文件旨在支持在敏感信息交换与共享时建立信任从而促进信息共享团体的国际化发展

。,。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术安全技术信息安全管理体系要求

GB/T22080—2016(ISO/IEC27001:2013,IDT)

信息技术安全技术信息安全控制实践指南

GB/T22081—2016(ISO/IEC27002:2013,IDT)

信息技术安全技术信息安全管理体系概述和词汇

GB/T29246—2017