標準解讀

《GB/T 32920-2016 信息技術(shù) 安全技術(shù) 行業(yè)間和組織間通信的信息安全管理》是一項國家標準,旨在為不同行業(yè)、不同組織之間的信息交換提供一套安全管理框架。該標準涵蓋了信息安全管理的基本原則、管理要求以及實施指南等內(nèi)容,適用于希望在與其他實體進行數(shù)據(jù)交換時確保信息安全性的各類機構(gòu)。

標準中明確了信息安全管理的總體目標是保護組織間交流過程中涉及的數(shù)據(jù)免受未經(jīng)授權(quán)訪問、泄露或破壞。為此,提出了包括風險評估、安全策略制定、訪問控制措施、加密技術(shù)應(yīng)用等多個方面的具體要求。其中,特別強調(diào)了對敏感信息處理流程的安全性審查與監(jiān)控機制的重要性,以防止?jié)撛谕{的發(fā)生。

此外,《GB/T 32920-2016》還提供了關(guān)于如何建立有效的信息安全管理系統(tǒng)的指導(dǎo)方針,包括但不限于確定系統(tǒng)范圍、選擇合適的控制措施、持續(xù)改進等方面。通過遵循這些指導(dǎo)原則,可以幫助各相關(guān)方構(gòu)建起既符合自身業(yè)務(wù)需求又能滿足外部監(jiān)管要求的安全管理體系。

該標準鼓勵采用國際公認的最佳實踐,并結(jié)合中國國情進行了適當調(diào)整,旨在促進國內(nèi)外企業(yè)間更加安全高效地開展合作與交流。同時,它也為政府機構(gòu)、第三方服務(wù)機構(gòu)等提供了參考依據(jù),有助于提升整個社會層面的信息安全保障水平。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 32920-2023
  • 2016-08-29 頒布
  • 2017-03-01 實施
?正版授權(quán)
GB/T 32920-2016信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理_第1頁
GB/T 32920-2016信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理_第2頁
GB/T 32920-2016信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理_第3頁
GB/T 32920-2016信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理_第4頁
GB/T 32920-2016信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理_第5頁
已閱讀5頁,還剩31頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 32920-2016信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T32920—2016/ISO/IEC270102012

:

信息技術(shù)安全技術(shù)行業(yè)間和組織間

通信的信息安全管理

Informationtechnology—Securitytechniques—Informationsecuritymanagement

forinter-sectorandinter-organizationalcommunications

(ISO/IEC27010:2012,IDT)

2016-08-29發(fā)布2017-03-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T32920—2016/ISO/IEC270102012

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語定義和縮略語

3、………………………1

術(shù)語和定義

3.1…………………………1

縮略語

3.2………………1

概念和釋義

4………………2

簡介

4.1…………………2

信息共享團體

4.2………………………2

團體管理

4.3……………2

支持性機構(gòu)

4.4…………………………2

行業(yè)間通信

4.5…………………………2

符合性

4.6………………3

通信模型

4.7……………4

安全方針

5…………………4

信息安全方針

5.1………………………4

信息安全組織

6……………4

內(nèi)部組織

6.1……………4

外部各方

6.2……………4

資產(chǎn)管理

7…………………5

對資產(chǎn)負責

7.1…………………………5

信息分類

7.2……………5

信息交換保護

7.3………………………6

人力資源安全

8……………7

任用之前

8.1……………7

任用中

8.2………………8

任用的終止或變化

8.3…………………8

物理和環(huán)境安全

9…………………………8

通信和操作管理

10…………………………8

操作規(guī)程和職責

10.1……………………8

第三方服務(wù)交付管理

10.2………………8

系統(tǒng)規(guī)劃和驗收

10.3……………………8

GB/T32920—2016/ISO/IEC270102012

:

防范惡意和移動代碼

10.4………………8

備份

10.5…………………8

網(wǎng)絡(luò)安全管理

10.6………………………9

介質(zhì)處置

10.7……………9

信息的交換

10.8…………………………9

電子商務(wù)服務(wù)

10.9………………………9

監(jiān)視

10.10………………9

訪問控制

11………………10

信息系統(tǒng)獲取開發(fā)和維護

12、……………10

信息系統(tǒng)的安全要求

12.1……………10

應(yīng)用中的正確處理

12.2………………10

密碼控制

12.3…………………………10

系統(tǒng)文件的安全

12.4…………………10

開發(fā)和支持過程中的安全

12.5………………………10

技術(shù)脆弱性管理

12.6…………………10

信息安全事件管理

13……………………11

報告信息安全事態(tài)和弱點

13.1………………………11

信息安全事件和改進的管理

13.2……………………11

業(yè)務(wù)連續(xù)性管理

14………………………12

業(yè)務(wù)連續(xù)性管理的信息安全方面

14.1………………12

符合性

15…………………12

符合法律要求

15.1……………………12

符合安全策略和標準以及技術(shù)符合性

15.2…………13

信息系統(tǒng)審計考慮

15.3………………13

附錄資料性附錄共享敏感信息

A()……………………14

附錄資料性附錄信息交換中的建立信任

B()…………18

附錄資料性附錄交通信號燈協(xié)議

C()…………………22

附錄資料性附錄組織一個信息共享團體的模型

D()…………………23

參考文獻

……………………28

GB/T32920—2016/ISO/IEC270102012

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準使用翻譯法等同采用國際標準信息技術(shù)安全技術(shù)行業(yè)間和組織

ISO/IEC27010:2012《

間通信的信息安全管理英文版根據(jù)和的規(guī)定做了如下

》()。GB/T1.1—2009GB/T20000.2—2009,

一些編輯性修改

:

在本標準的引言中添加標準中針對行業(yè)間和組織間通信沒有附加的信息指的是

———,“‘’,

中對應(yīng)條款沒有附加的信息

GB/T22081—2008”;

在本標準的第章中添加縮略語

———3,3.2;

在本標準附錄中該方法的有效性已得到英國國家基礎(chǔ)設(shè)施保護中心確認并用于自動

———B.3,“,

配置和分發(fā)預(yù)警信息給各類信息共享團體放到腳注中

”;

在本標準附錄中此描述是從歐洲網(wǎng)絡(luò)和信息安全局發(fā)布的網(wǎng)絡(luò)安全信息交換

———C,“(ENISA)

的良好實踐指南中獲得的概念最初是由英國的國家基礎(chǔ)設(shè)施保護中心制定的放到

,(CPNI)”

腳注中

;

在本標準和中分別添加參見附錄和參見附錄以符合中提到

———4.27.3.3,AB,GB/T1.1—2009

每個附錄均應(yīng)在正文或前言的相關(guān)條文中明確提及

“”。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位山東省標準化研究院廈門市美亞柏科信息股份有限公司中國信息安全認證中

:、、

心江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院貴州大學(xué)泰安市技術(shù)監(jiān)督情報所

、、、。

本標準主要起草人王曙光王慶升公偉隗玉凱欒江霞吳鴻偉魏軍李旭李智趙倩倩黃申

:、、、、、、、、、、、

吳蘭潘平楊平

、、。

GB/T32920—2016/ISO/IEC270102012

:

引言

本標準是對和

GB/T22080—2008(ISO/IEC27001:2005,IDT)GB/T22081—2008

在信息共享團體中使用的補充本標準包含的指南不包括信息安全管理

(ISO/IEC27002:2005,IDT)。

體系標準族內(nèi)其他標準中給出的通用指南并與之互為補充

(ISMS),。

和采用一種通用的方式處理組織間的信息交換當組織

GB/T22080—2008GB/T22081—2008。

希望與多個其他組織進行敏感信息1)通信時對敏感信息在其他組織中的使用將受到接收組織實現(xiàn)的

,

充分安全控制的保護發(fā)起方必須有信心這可通過信息共享團體的建立來達到信息共享團體中雖

,。。,

然成員組織之間可能存在競爭但每個成員仍信任其他成員會保護已共享信息

,。

只有建立了信任的信息共享團體才能有效運行信息提供方必須能夠信任接收方不會泄露或不當

。

的使用數(shù)據(jù)同時基于發(fā)起方給出的所有資質(zhì)信息接收方必須能夠信任信息是準確的以上兩個方

。,,。

面都很重要它們必須得到明確有效的安全策略和良好實踐應(yīng)用的支持為達到此目標所有團體成員

,。,

必須實現(xiàn)一個涵蓋已共享信息安全的通用管理體系即信息共享團體的信息安全管理體系

,(ISMS)。

此外在并不是所有接收方都將為發(fā)起方所知的信息共享團體之間也可進行信息共享如果在這

,,。

些團體及其信息共享協(xié)議之間建立起充分的信任這種信息共享將可進行特別相關(guān)的是在不同團體

,。

之間如不同產(chǎn)業(yè)或市場行業(yè)共享敏感信息

()。

本標準提供了使用已建立的通訊和其他技術(shù)方法如何滿足規(guī)定要求的指南和通用原則其目的是

。

支持在交換和共享敏感信息時創(chuàng)建信任從而促進信息共享團體的國際化發(fā)展

,。

標準中針對行業(yè)間和組織間通信沒有附加的信息指的是中對應(yīng)條款沒有

“”,GB/T22081—2008

附加的信息

。

本標準題目中通信主要是指進行信息交換與共享包括書面口頭電子等所有形式信息交換與

“”,、、

共享

行業(yè)或組織認為可能造成利益損失但又不能成為國家秘密的信息為敏感信息

1)。

GB/T32920—2016/ISO/IEC270102012

:

信息技術(shù)安全技術(shù)行業(yè)間和組織間

通信的信息安全管理

1范圍

本標準給出了信息安全管理體系標準族的補充指南用于在信息共享團體中實現(xiàn)信息安全

(ISMS),

管理

本標準特別為組織間和行業(yè)間通信給出了有關(guān)發(fā)起實現(xiàn)維護與改進信息安全的控制和指南

、、。

本標準適用于行業(yè)間各種公共和私有的國內(nèi)的和國際的所有形式的敏感信息交換與共享特別

、。

是本標準可適用于與組織或國家關(guān)鍵基礎(chǔ)設(shè)施的供給維護和保護相關(guān)的信息交換與共享

,、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論