【国家标准】 信息安全技术 行业间和组织间通信的信息安全管理

中华人民共和国国家标准 GB/T32920—2023/ISO/IEC27010:2015 代替GB/T32920—2016 信息安全技术 行业间和组织间通信的信息安全管理 Information security technology - Information security management for inter-sector and inter-organizational communications 发布：2023-05-23 实施：2023-12-01 发布单位：国家市场监督管理总局、国家标准化管理委员会 前言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》起草。代替GB/T32920—2016《信息技术安全技术行业间和组织间通信的信息安全管理》。主要技术变化包括：删除业务连续性和风险管理中信息共享团体成员实施业务连续性风险评估的实现指南；增加信息共享团体信任说明；在团体管理中增加不同法律或法规环境考虑；删除符合性评估说明；增加按优先级分级说明；将“信息分类”更改为“信息分级”。本标准等同采用ISO/IEC27010:2015。发布机构不承担专利识别责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。起草单位包括山东省标准化研究院、中国网络安全审查技术与认证中心、重庆数字城市科技有限公司、山东曙光照信息技术有限公司、中国电子技术标准化研究院、西安邮电大学、陕西省网络与信息安全测评中心、山东正中信息技术股份有限公司、国家计算机网络应急技术处理协调中心、华为技术有限公司、杭州安恒信息技术股份有限公司、长扬科技（北京）有限公司、阿里巴巴集团等。 1 范围 本标准规定了行业间和组织间通信的信息安全管理要求，包括信息共享、信息分级、访问控制、密码管理、物理和环境安全、运行安全及业务连续性管理。 2 规范性引用文件 本标准引用的文件为相关国家标准及ISO/IEC信息安全技术标准。 3 术语和定义 本标准定义行业间和组织间通信相关术语，包括信息共享团体、团体管理、支持性机构、行业间通信、通信模型等。 4 概念和释义 4.1 信息共享团体 4.2 团体管理 4.3 支持性机构 4.4 行业间通信 4.5 符合性 4.6 通信模型 5 信息安全策略 5.1 信息安全管理指导 6 信息安全组织 7 人力资源安全 7.1 任用前 7.2 任用中 7.3 任用终止和变更 8 资产管理 8.1 有关资产的责任 8.2 信息分级 8.3 介质处理 8.4 信息交换保护 9 访问控制 10 密码 10.1 密码控制 11 物理和环境安全 12 运行安全 12.1 运行规程和责任 12.2 恶意软件防范 12.3 备份 12.4 日志和监视 12.5 运行软件控制 12.6 技术方面的脆弱性管理 12.7 信息系统审计的考虑 13 通信安全 13.1 网络安全管理 13.2 信息传输 14 系统获取、开发和维护 15 供应商关系 15.1 供应商关系中的信息安全 15.2 供应商服务交付管理 16 信息安全事件管理 16.1 信息安全事件的管理和改进 17 业务连续性管理的信息安全方面 17.1 信息安全的连续性 17.2 其他 18 符合性 18.1 符合法律和合同要求 18.2 信息安全评审 附录A（资料性） 共享敏感信息 附录B（资料性） 信息交换中建立信任 附录C（资料性） 交通灯协议 附录D（资料性） 组织信息共享团体模型 参考文献