標(biāo)準(zhǔn)解讀
《GB/T 32920-2023 信息安全技術(shù) 行業(yè)間和組織間通信的信息安全管理》相較于《GB/T 32920-2016 信息技術(shù) 安全技術(shù) 行業(yè)間和組織間通信的信息安全管理》,在標(biāo)題上首先進(jìn)行了調(diào)整,去掉了“信息技術(shù)”這一前綴,更加聚焦于“信息安全技術(shù)”。這反映了標(biāo)準(zhǔn)內(nèi)容更側(cè)重于信息安全管理方面的實(shí)踐和技術(shù)。
在具體內(nèi)容方面,《GB/T 32920-2023》對(duì)2016版進(jìn)行了多方面的更新與完善:
- 術(shù)語(yǔ)定義:新版標(biāo)準(zhǔn)可能增加了新的術(shù)語(yǔ)或修改了部分術(shù)語(yǔ)的定義,以更好地適應(yīng)當(dāng)前信息安全領(lǐng)域的發(fā)展需求。
- 風(fēng)險(xiǎn)管理:針對(duì)行業(yè)間及組織間信息交換過(guò)程中面臨的風(fēng)險(xiǎn)管理策略進(jìn)行了細(xì)化和完善,包括風(fēng)險(xiǎn)評(píng)估方法、風(fēng)險(xiǎn)處理措施等方面的內(nèi)容更新。
- 安全控制措施:根據(jù)近年來(lái)出現(xiàn)的新威脅形勢(shì)以及最佳實(shí)踐,對(duì)于如何實(shí)施有效的安全控制措施給出了更為具體且實(shí)用性的指導(dǎo)建議。
- 合規(guī)性要求:考慮到國(guó)內(nèi)外相關(guān)法律法規(guī)的變化趨勢(shì),新版本中可能強(qiáng)化了關(guān)于遵守法律法規(guī)的要求,并提供了更多關(guān)于如何確保符合這些要求的實(shí)際操作指南。
- 持續(xù)改進(jìn)機(jī)制:強(qiáng)調(diào)建立持續(xù)改進(jìn)的信息安全管理體系的重要性,鼓勵(lì)各機(jī)構(gòu)通過(guò)定期審查、內(nèi)部審計(jì)等方式不斷優(yōu)化其信息安全管理水平。
以上變化體現(xiàn)了國(guó)家對(duì)于加強(qiáng)跨行業(yè)、跨組織間信息安全交流管理的決心,同時(shí)也為相關(guān)單位和個(gè)人提供了更加明確、可操作性強(qiáng)的技術(shù)規(guī)范。
如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。
....
查看全部
- 現(xiàn)行
- 正在執(zhí)行有效
- 2023-05-23 頒布
- 2023-12-01 實(shí)施
文檔簡(jiǎn)介
ICS35030
CCSL.80
中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)
GB/T32920—2023/ISO/IEC270102015
:
代替GB/T32920—2016
信息安全技術(shù)
行業(yè)間和組織間通信的信息安全管理
Informationsecuritytechnology—Informationsecuritymanagementfor
inter-sectorandinter-organizationalcommunications
ISO/IEC270102015Informationtechnolo—Securittechniues—
(:,gyyq
Informationsecuritymanagementforinter-sectorandinter-organizational
communicationsIDT
,)
2023-05-23發(fā)布2023-12-01實(shí)施
國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布
國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)
GB/T32920—2023/ISO/IEC270102015
:
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范圍
1………………………1
規(guī)范性引用文件
2…………………………1
術(shù)語(yǔ)和定義
3………………1
概念和釋義
4………………1
概述
4.1…………………1
信息共享團(tuán)體
4.2………………………1
團(tuán)體管理
4.3……………2
支持性機(jī)構(gòu)
4.4…………………………2
行業(yè)間通信
4.5…………………………2
符合性
4.6………………2
通信模型
4.7……………3
信息安全策略
5……………3
信息安全管理指導(dǎo)
5.1…………………3
信息安全組織
6……………4
人力資源安全
7……………4
任用前
7.1………………4
任用中
7.2………………4
任用的終止和變更
7.3…………………4
資產(chǎn)管理
8…………………4
有關(guān)資產(chǎn)的責(zé)任
8.1……………………4
信息分級(jí)
8.2……………5
介質(zhì)處理
8.3……………5
信息交換保護(hù)
8.4………………………5
訪問(wèn)控制
9…………………7
密碼
10………………………7
密碼控制
10.1……………7
物理和環(huán)境安全
11…………………………7
運(yùn)行安全
12…………………7
運(yùn)行規(guī)程和責(zé)任
12.1……………………7
惡意軟件防范
12.2………………………7
備份
12.3…………………8
Ⅰ
GB/T32920—2023/ISO/IEC270102015
:
日志和監(jiān)視
12.4…………………………8
運(yùn)行軟件控制
12.5………………………8
技術(shù)方面的脆弱性管理
12.6……………8
信息系統(tǒng)審計(jì)的考慮
12.7………………8
通信安全
13…………………8
網(wǎng)絡(luò)安全管理
13.1………………………8
信息傳輸
13.2……………9
系統(tǒng)獲取開發(fā)和維護(hù)
14、…………………9
供應(yīng)商關(guān)系
15………………9
供應(yīng)商關(guān)系中的信息安全
15.1…………9
供應(yīng)商服務(wù)交付管理
15.2………………9
信息安全事件管理
16……………………10
信息安全事件的管理和改進(jìn)
16.1………………………10
業(yè)務(wù)連續(xù)性管理的信息安全方面
17……………………11
信息安全的連續(xù)性
17.1………………11
冗余
17.2………………11
符合性
18…………………11
符合法律和合同要求
18.1……………11
信息安全評(píng)審
18.2……………………12
附錄資料性共享敏感信息
A()…………13
附錄資料性信息交換中建立信任
B()…………………16
附錄資料性交通燈協(xié)議
C()……………19
附錄資料性組織信息共享團(tuán)體的模型
D()……………20
參考文獻(xiàn)
……………………24
Ⅱ
GB/T32920—2023/ISO/IEC270102015
:
前言
本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定
GB/T1.1—2020《1:》
起草
。
本文件代替信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管
GB/T32920—2016《
理與相比主要技術(shù)變化如下
》,GB/T32920—2016,:
刪除了業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)管理中信息共享團(tuán)體成員實(shí)施業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評(píng)估的實(shí)現(xiàn)指南見
a)(
年版的
20164.1);
增加了信息共享團(tuán)體信任的說(shuō)明見
b)(4.2);
信息共享團(tuán)體管理中考慮成員組織間差異時(shí)增加了不同的法律或法規(guī)環(huán)境見
c),,(4.3);
刪除了符合性評(píng)估的說(shuō)明見年版的
d)(20164.6);
增加了按優(yōu)先級(jí)分級(jí)說(shuō)明見
e)(8.2.1);
信息分類更改為信息的分級(jí)見年版的
f)“”“”(8.2.1,20167.2)。
本文件等同采用信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管
ISO/IEC27010:2015《
理
》。
本文件做了下列最小限度的編輯性改動(dòng)
:
為與我國(guó)技術(shù)標(biāo)準(zhǔn)體系一致將標(biāo)準(zhǔn)名稱改為信息安全技術(shù)行業(yè)間和組織間通信的信息安
———,《
全管理
》。
請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任
。。
本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口
(SAC/TC260)。
本文件起草單位山東省標(biāo)準(zhǔn)化研究院中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心重慶數(shù)字城市科技有
:、、
限公司山東曙光照信息技術(shù)有限公司中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院西安郵電大學(xué)陜西省網(wǎng)絡(luò)與信息
、、、、
安全測(cè)評(píng)中心山東正中信息技術(shù)股份有限公司國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心華為技術(shù)有
、、、
限公司杭州安恒信息技術(shù)股份有限公司長(zhǎng)揚(yáng)科技北京有限公司阿里云計(jì)算有限公司山東省市場(chǎng)
、、()、、
監(jiān)管監(jiān)測(cè)中心青島中盛信息技術(shù)有限公司西安電子科技大學(xué)青島計(jì)算技術(shù)研究院濟(jì)寧市標(biāo)準(zhǔn)信息
、、、
技術(shù)中心莒縣政務(wù)服務(wù)中心眾安信息技術(shù)服務(wù)有限公司濟(jì)南時(shí)代確信信息安全測(cè)評(píng)有限公司同智
、、、、
偉業(yè)軟件股份有限公司萬(wàn)鏈指數(shù)青島信息科技有限公司浙江河馬管家網(wǎng)絡(luò)科技有限公司北京辰
、()、、
光融信技術(shù)有限公司山東魯軟數(shù)字科技有限公司山東和同信息科技股份有限公司方圓標(biāo)志認(rèn)證集
、、、
團(tuán)山東有限公司山東騰翔產(chǎn)品質(zhì)量檢測(cè)有限公司深圳大學(xué)廣東移動(dòng)通信有限公司
、、、OPPO。
本文件主要起草人王曙光公偉朱豐雪范博魏軍張勇李丹尤莉莉趙延軍周偉光顧麗旺
:、、、、、、、、、、、
王文磊宋麗華邵萌梁偉趙華袁一鵬許立前萬(wàn)誼平張建成許志國(guó)秦?fù)P胡鑫磊楊向東楊銳
、、、、、、、、、、、、、、
鄧祥武劉志強(qiáng)王棟王建東張志為鄭偉張洪艷李永發(fā)徐彥霞程燕戴洪剛秦峰孟繁剛王永起
、、、、、、、、、、、、、、
賈慶佳何廣豐張志龍薛念明李勛耿哲張淑貞崔浩劉偉麗李騰
、、、、、、、、、。
本文件及其所代替文件的歷次版本發(fā)布情況為
:
年首次發(fā)布為
———2016GB/T32920—2016;
本次為第一次修訂
———。
Ⅲ
GB/T32920—2023/ISO/IEC270102015
:
引言
本文件是對(duì)和在信息共享團(tuán)體中使用的補(bǔ)充本文件中
GB/T22080—2016GB/T22081—2016。
的指南是對(duì)信息安全管理體系標(biāo)準(zhǔn)族其他標(biāo)準(zhǔn)中通
(ISMS,InformationSecurityManagementSystem)
用指南的補(bǔ)充
。
和采用一種通用的方式處理組織間的信息交換當(dāng)組織
GB/T22080—2016GB/T22081—2016。
間交換敏感信息1)時(shí)可通過(guò)建立信息共享團(tuán)體盡管團(tuán)體成員間存在競(jìng)爭(zhēng)但在信息交換過(guò)程中他們
,(,
相互信任即相信對(duì)方會(huì)對(duì)已共享敏感信息采取安全控制信任接收方
)。
信息共享團(tuán)體成員間相互信任是團(tuán)體有效運(yùn)行的前提一方面信息發(fā)起方需要信任接收方不會(huì)泄
。
露或不當(dāng)?shù)厥褂脭?shù)據(jù)另一方面信息接收方基于發(fā)起方的資質(zhì)信任發(fā)起方提供信息的準(zhǔn)確性以上兩
;,。
方面需要信息共享團(tuán)體明確有效的安全策略和實(shí)踐的支持為達(dá)到上述目標(biāo)信息共享團(tuán)體成員需要
。,
建立一個(gè)涵蓋共享信息的通用安全管理體系即信息共享團(tuán)體的信息安全管理體系
(ISMS)。
針對(duì)行業(yè)間不同團(tuán)體間敏感信息的共享由于信息發(fā)起方無(wú)法了解所有接收方此時(shí)可通過(guò)在團(tuán)體
,,
及其信息共享協(xié)議之間建立信任來(lái)進(jìn)行信息共享
。
行業(yè)或組織認(rèn)為可能造成利益損失但又不能成為國(guó)家秘密的信息為敏感信息
1)。
Ⅳ
GB/T32920—2023/ISO/IEC270102015
:
信息安全技術(shù)
行業(yè)間和組織間通信的信息安全管理
1范圍
本文件提供了信息安全管理體系標(biāo)準(zhǔn)族的補(bǔ)充指南用于在信息共享團(tuán)體中實(shí)現(xiàn)信息安全管理
(ISMS),。
本文件為行業(yè)間和組織間通信提供了有關(guān)發(fā)起實(shí)現(xiàn)維護(hù)與改進(jìn)信息安全的控制和指南它為如
、、。
何使用已建立的消息傳遞和其他技術(shù)方法滿足規(guī)定要求提供了指南和通用原則
。
本文件適用于公共的和私有的國(guó)內(nèi)的和國(guó)際的同一部門或部門之間等各種形式的敏感信息交換
、、
與共享特別的本文件可適用于與組織或國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的供給維護(hù)和保護(hù)相關(guān)的信息交換與共
。,、
享本文件旨在支持在敏感信息交換與共享時(shí)建立信任從而促進(jìn)信息共享團(tuán)體的國(guó)際化發(fā)展
。,。
2規(guī)范性引用文件
下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文
。,
件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于
,;,()
本文件
。
信息技術(shù)安全技術(shù)信息安全管理體系要求
GB/T22080—2016(ISO/IEC27001:2013,IDT)
信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南
GB/T22081—2016(ISO/IEC27002:2013,IDT)
信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯
GB/T29246—2017
溫馨提示
- 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
- 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
- 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。
最新文檔
- 2024年版高樓外墻裝飾施工協(xié)議版B版
- 2024年新版建筑工程預(yù)算定額合同
- 2024年樣品機(jī)器試用協(xié)議模板一
- 2024年標(biāo)準(zhǔn)型攪拌機(jī)銷售協(xié)議范本版B版
- 2024年小學(xué)二年級(jí)數(shù)學(xué)(北京版)-總復(fù)習(xí):綜合練習(xí)-1教案
- 2018房地產(chǎn)經(jīng)紀(jì)人考試《業(yè)務(wù)操作》試題
- 2024年度基礎(chǔ)設(shè)施建設(shè)投資借款協(xié)議范本3篇
- 2025年衢州貨運(yùn)從業(yè)資格證模擬考試題庫(kù)下載
- 2025年滄州考貨運(yùn)上崗證試答題
- 單位人事管理制度展示合集
- 城市營(yíng)銷方案書
- 雙閉環(huán)直流調(diào)速系統(tǒng)-
- 中國(guó)老年教育發(fā)展的背景和歷史回顧
- 人工智能原理與方法智慧樹知到課后章節(jié)答案2023年下哈爾濱工程大學(xué)
- 分布式光伏電站項(xiàng)目施工方案
- 2024屆廣東省廣州市華南師范大附屬中學(xué)數(shù)學(xué)七年級(jí)第一學(xué)期期末綜合測(cè)試試題含解析
- PPP模式項(xiàng)目的風(fēng)險(xiǎn)管理分析
- 硫酸安全技術(shù)說(shuō)明書-MSDS
- GB/T 17421.2-2023機(jī)床檢驗(yàn)通則第2部分:數(shù)控軸線的定位精度和重復(fù)定位精度的確定
- 第五次全國(guó)經(jīng)濟(jì)普查綜合試點(diǎn)業(yè)務(wù)培訓(xùn)班課件 從業(yè)人員及工資總額
- 勞動(dòng)能力鑒定復(fù)查申請(qǐng)書
評(píng)論
0/150
提交評(píng)論