ICS35030

CCSL.80

中華人民共和國國家標準

GB/T32920—2023/ISO/IEC270102015

:

代替GB/T32920—2016

信息安全技術

行業間和組織間通信的信息安全管理

Informationsecuritytechnology—Informationsecuritymanagementfor

inter-sectorandinter-organizationalcommunications

ISO/IEC270102015Informationtechnolo—Securittechniues—

(:,gyyq

Informationsecuritymanagementforinter-sectorandinter-organizational

communicationsIDT

,)

2023-05-23發布2023-12-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T32920—2023/ISO/IEC270102015

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

概念和釋義

4………………1

概述

4.1…………………1

信息共享團體

4.2………………………1

團體管理

4.3……………2

支持性機構

4.4…………………………2

行業間通信

4.5…………………………2

符合性

4.6………………2

通信模型

4.7……………3

信息安全策略

5……………3

信息安全管理指導

5.1…………………3

信息安全組織

6……………4

人力資源安全

7……………4

任用前

7.1………………4

任用中

7.2………………4

任用的終止和變更

7.3…………………4

資產管理

8…………………4

有關資產的責任

8.1……………………4

信息分級

8.2……………5

介質處理

8.3……………5

信息交換保護

8.4………………………5

訪問控制

9…………………7

密碼

10………………………7

密碼控制

10.1……………7

物理和環境安全

11…………………………7

運行安全

12…………………7

運行規程和責任

12.1……………………7

惡意軟件防范

12.2………………………7

備份

12.3…………………8

Ⅰ

GB/T32920—2023/ISO/IEC270102015

:

日志和監視

12.4…………………………8

運行軟件控制

12.5………………………8

技術方面的脆弱性管理

12.6……………8

信息系統審計的考慮

12.7………………8

通信安全

13…………………8

網絡安全管理

13.1………………………8

信息傳輸

13.2……………9

系統獲取開發和維護

14、…………………9

供應商關系

15………………9

供應商關系中的信息安全

15.1…………9

供應商服務交付管理

15.2………………9

信息安全事件管理

16……………………10

信息安全事件的管理和改進

16.1………………………10

業務連續性管理的信息安全方面

17……………………11

信息安全的連續性

17.1………………11

冗余

17.2………………11

符合性

18…………………11

符合法律和合同要求

18.1……………11

信息安全評審

18.2……………………12

附錄資料性共享敏感信息

A()…………13

附錄資料性信息交換中建立信任

B()…………………16

附錄資料性交通燈協議

C()……………19

附錄資料性組織信息共享團體的模型

D()……………20

參考文獻

……………………24

Ⅱ

GB/T32920—2023/ISO/IEC270102015

:

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術安全技術行業間和組織間通信的信息安全管

GB/T32920—2016《

理與相比主要技術變化如下

》,GB/T32920—2016,:

刪除了業務連續性和風險管理中信息共享團體成員實施業務連續性風險評估的實現指南見

a)(

年版的

20164.1);

增加了信息共享團體信任的說明見

b)(4.2);

信息共享團體管理中考慮成員組織間差異時增加了不同的法律或法規環境見

c),,(4.3);

刪除了符合性評估的說明見年版的

d)(20164.6);

增加了按優先級分級說明見

e)(8.2.1);

信息分類更改為信息的分級見年版的

f)“”“”(8.2.1,20167.2)。

本文件等同采用信息技術安全技術行業間和組織間通信的信息安全管

ISO/IEC27010:2015《

理

》。

本文件做了下列最小限度的編輯性改動

:

為與我國技術標準體系一致將標準名稱改為信息安全技術行業間和組織間通信的信息安

———,《

全管理

》。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位山東省標準化研究院中國網絡安全審查技術與認證中心重慶數字城市科技有

:、、

限公司山東曙光照信息技術有限公司中國電子技術標準化研究院西安郵電大學陜西省網絡與信息

、、、、

安全測評中心山東正中信息技術股份有限公司國家計算機網絡應急技術處理協調中心華為技術有

、、、

限公司杭州安恒信息技術股份有限公司長揚科技北京有限公司阿里云計算有限公司山東省市場

、、()、、

監管監測中心青島中盛信息技術有限公司西安電子科技大學青島計算技術研究院濟寧市標準信息

、、、

技術中心莒縣政務服務中心眾安信息技術服務有限公司濟南時代確信信息安全測評有限公司同智

、、、、

偉業軟件股份有限公司萬鏈指數青島信息科技有限公司浙江河馬管家網絡科技有限公司北京辰

、()、、

光融信技術有限公司山東魯軟數字科技有限公司山東和同信息科技股份有限公司方圓標志認證集

、、、

團山東有限公司山東騰翔產品質量檢測有限公司深圳大學廣東移動通信有限公司

、、、OPPO。

本文件主要起草人王曙光公偉朱豐雪范博魏軍張勇李丹尤莉莉趙延軍周偉光顧麗旺

:、、、、、、、、、、、

王文磊宋麗華邵萌梁偉趙華袁一鵬許立前萬誼平張建成許志國秦揚胡鑫磊楊向東楊銳

、、、、、、、、、、、、、、

鄧祥武劉志強王棟王建東張志為鄭偉張洪艷李永發徐彥霞程燕戴洪剛秦峰孟繁剛王永起

、、、、、、、、、、、、、、

賈慶佳何廣豐張志龍薛念明李勛耿哲張淑貞崔浩劉偉麗李騰

、、、、、、、、、。

本文件及其所代替文件的歷次版本發布情況為

:

年首次發布為

———2016GB/T32920—2016;

本次為第一次修訂

———。

Ⅲ

GB/T32920—2023/ISO/IEC270102015

:

引言

本文件是對和在信息共享團體中使用的補充本文件中

GB/T22080—2016GB/T22081—2016。

的指南是對信息安全管理體系標準族其他標準中通

(ISMS,InformationSecurityManagementSystem)

用指南的補充

。

和采用一種通用的方式處理組織間的信息交換當組織

GB/T22080—2016GB/T22081—2016。

間交換敏感信息1)時可通過建立信息共享團體盡管團體成員間存在競爭但在信息交換過程中他們

,(,

相互信任即相信對方會對已共享敏感信息采取安全控制信任接收方

)。

信息共享團體成員間相互信任是團體有效運行的前提一方面信息發起方需要信任接收方不會泄

。

露或不當地使用數據另一方面信息接收方基于發起方的資質信任發起方提供信息的準確性以上兩

;,。

方面需要信息共享團體明確有效的安全策略和實踐的支持為達到上述目標信息共享團體成員需要

。,

建立一個涵蓋共享信息的通用安全管理體系即信息共享團體的信息安全管理體系

(ISMS)。

針對行業間不同團體間敏感信息的共享由于信息發起方無法了解所有接收方此時可通過在團體

,,

及其信息共享協議之間建立信任來進行信息共享

。

行業或組織認為可能造成利益損失但又不能成為國家秘密的信息為敏感信息

1)。

Ⅳ

GB/T32920—2023/ISO/IEC270102015

:

信息安全技術

行業間和組織間通信的信息安全管理

1范圍

本文件提供了信息安全管理體系標準族的補充指南用于在信息共享團體中實現信息安全管理

(ISMS),。

本文件為行業間和組織間通信提供了有關發起實現維護與改進信息安全的控制和指南它為如

、、。

何使用已建立的消息傳遞和其他技術方法滿足規定要求提供了指南和通用原則

。

本文件適用于公共的和私有的國內的和國際的同一部門或部門之間等各種形式的敏感信息交換

、、

與共享特別的本文件可適用于與組織或國家關鍵基礎設施的供給維護和保護相關的信息交換與共

。,、

享本文件旨在支持在敏感信息交換與共享時建立信任從而促進信息共享團體的國際化發展

。,。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術安全技術信息安全管理體系要求

GB/T22080—2016(ISO/IEC27001:2013,IDT)

信息技術安全技術信息安全控制實踐指南

GB/T22081—2016(ISO/IEC27002:2013,IDT)

信息技術安全技術信息安全管理體系概述和詞匯

GB/T29246—2017