行業(yè)間和組織間通信共享敏感信息、信息交換中建立信任、交通燈協(xié)議、組織信息共享團(tuán)體的模型_第1頁(yè)
已閱讀1頁(yè),還剩12頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、GB/T 32920—XXXX/ISO/IEC 27010:2015 A A 附 錄 A (資料性) 共享敏感信息 A.1 概述 敏感信息作為一種有重要價(jià)值的資產(chǎn), 在組織間共享時(shí)需對(duì)其加強(qiáng)安全管理。 當(dāng)業(yè)務(wù)需要或敏感信息對(duì)組織非常關(guān)鍵時(shí),應(yīng)及時(shí)傳遞敏感信息,以更好的解決業(yè)務(wù)問(wèn)題并作出決策。 信息共享團(tuán)體可代表多種類(lèi)型的組織或者個(gè)人。 團(tuán)體成員多種多樣, 可來(lái)自于各種行業(yè), 其與特定行業(yè)的業(yè)務(wù)活動(dòng)密切相關(guān)。 團(tuán)體成員的共同期望是,

2、在團(tuán)體內(nèi)共享敏感信息, 并通過(guò)協(xié)商好的控制和過(guò)程加強(qiáng)敏感信息使用的治理。 為在信息共享團(tuán)體內(nèi)安全的交換敏感信息, 有必要設(shè)計(jì)、 實(shí)現(xiàn)和監(jiān)視過(guò)程以及時(shí)提供安全的信息流動(dòng)。 這些過(guò)程宜確保信息傳遞給合適的人, 不會(huì)被用于惡意目的,不會(huì)被任意再分發(fā)而變成實(shí)質(zhì)上公開(kāi)的信息。 分發(fā)的有效性取決于信息共享團(tuán)體成員間信任程度。 同時(shí), 宜采取相關(guān)安全控制防止信息分發(fā)給如下個(gè)人或組織: ——使用或積累數(shù)據(jù)實(shí)施惡意行為的; ——未經(jīng)信息發(fā)起方允許而公開(kāi)傳

3、播信息的; ——提供未經(jīng)充分分析的信息,因此導(dǎo)致可能浪費(fèi)或誤導(dǎo)資源的不當(dāng)行為,并對(duì)組織產(chǎn)生影響的。為了使信息共享團(tuán)體有效運(yùn)行, 團(tuán)體成員需授權(quán)信息接收方可根據(jù)接收到的信息進(jìn)行相關(guān)處置, 且信息接收方不得濫用這些信息(如用于獲得商業(yè)利益) 。 A.2 挑戰(zhàn) 為了應(yīng)對(duì)以下挑戰(zhàn), 需加強(qiáng)行業(yè)間和組織間通信的信息安全管理, 防止影響正常的業(yè)務(wù)狀況并在事件發(fā)生時(shí)導(dǎo)致業(yè)務(wù)中斷: ——新的安全威脅和漏洞; ——對(duì)系統(tǒng)與網(wǎng)絡(luò)日益增長(zhǎng)的依賴(lài)性; ——合同

4、、法律法規(guī)和業(yè)務(wù)的發(fā)展與限制; ——恰當(dāng)?shù)耐ㄐ拍P偷慕ⅲ?——攻擊和響應(yīng)過(guò)程之間的協(xié)調(diào); ——持續(xù)的治理。 團(tuán)體成員間安全的和適應(yīng)力強(qiáng)的通信宜包括下列要素: ——風(fēng)險(xiǎn)知識(shí)和風(fēng)險(xiǎn)管理; ——傳播和通信; ——監(jiān)視。 這三項(xiàng)要素各有其特定的價(jià)值,它們之間緊密聯(lián)系、相輔相成。 團(tuán)體成員代表之間良好的個(gè)人關(guān)系有助于團(tuán)體成員間更好地建立信任。 面對(duì)面的交流有助于建立個(gè)人關(guān)系, 有助于增強(qiáng)對(duì)彼此可信性和判斷力的信心,而僅使用遠(yuǎn)程通信技術(shù)很難建立信

5、任。 然而既要求信息來(lái)源方匿名,又要求信任信息來(lái)源方,二者無(wú)法兼顧。通常,只有在確信自己的身份信息不會(huì)泄露前提下,才能更好的進(jìn)行交流。 信息共享團(tuán)體并非所有成員間都進(jìn)行信息共享,信息分發(fā)可僅限于團(tuán)體特定成員或限于某一主題。最后,當(dāng)團(tuán)體間共享信息時(shí)(如行業(yè)間通信) ,團(tuán)體間的信息傳遞者面臨著如下特殊困難 5): 5) 與行業(yè)間通信相比,這些問(wèn)題通常在國(guó)際交流中顯得更為突出。 13 GB/T 32920—XXXX/ISO/IEC 2701

6、0:2015 ——必要時(shí),規(guī)定或調(diào)整現(xiàn)有的消息交換標(biāo)準(zhǔn)。 通信規(guī)則宜定義通信的頻次、 接收確認(rèn)的要求以及優(yōu)先級(jí)或升級(jí)準(zhǔn)則。通信過(guò)程中, 信息共享團(tuán)體不同成員間的信任級(jí)別不同,并隨時(shí)間和情況的變化而變化。 宜基于諸如目標(biāo)受眾、傳遞信息的屬性、信道的覆蓋面和頻次、成本等準(zhǔn)則,通過(guò)評(píng)估優(yōu)缺點(diǎn)為團(tuán)體信息傳遞選擇合適的通信信道(例如電子消息發(fā)送、公共網(wǎng)站或會(huì)員網(wǎng)站、會(huì)議或雙向通話、公共郵政服務(wù)發(fā)送的信件或面對(duì)面會(huì)議等) 。通信對(duì)目標(biāo)受眾的影響取決

7、于信道覆蓋受眾的有效性、通信對(duì)受眾的可信性、通信對(duì)問(wèn)題或信息主題的適宜性等。 信息共享過(guò)程中,有些信息需要實(shí)時(shí)傳遞,有些信息可通過(guò)日常結(jié)果進(jìn)行共享。 何時(shí)將信息傳輸給團(tuán)體成員的情況示例包括: 立即報(bào)告檢測(cè)到的符合預(yù)設(shè)配置文件的事件、 定期報(bào)告或響應(yīng)來(lái)自其他成員的信息請(qǐng)求。數(shù)據(jù)保護(hù)和分發(fā)屬性的示例包括:隱藏信息來(lái)源方的要求、信息的敏感性或發(fā)起方對(duì)信息可信度評(píng)估。解釋數(shù)據(jù)保護(hù)和分發(fā)屬性規(guī)則的示例是交通燈協(xié)議 (TLP) , 見(jiàn)附錄C。相關(guān)屬

8、性因通信信道不同而不同(例如郵政分發(fā)的必選屬性與互聯(lián)網(wǎng)郵件的必選屬性不同) 。 無(wú)論選擇和實(shí)施何種技術(shù)解決方案, 它們宜與團(tuán)體內(nèi)共享信息類(lèi)型相符合, 并與定義的團(tuán)體目標(biāo)相一致。面對(duì)面的接觸交流可以更好的建立信任, 并通過(guò)邀請(qǐng)新成員加入團(tuán)體使團(tuán)體規(guī)模不斷擴(kuò)大。 團(tuán)體本身可信平臺(tái)及其他共享基礎(chǔ)設(shè)施的存在也可促進(jìn)團(tuán)體的快速發(fā)展。 A.6 信息交換協(xié)議 信息共享團(tuán)體宜在信息交換協(xié)議中定義治理團(tuán)體通信的機(jī)制和過(guò)程。 信息可通過(guò)信件、 面對(duì)面會(huì)議口

9、頭交流及電子形式進(jìn)行交換, 可使用預(yù)定義的格式和協(xié)議進(jìn)行正式交換, 或以非結(jié)構(gòu)化的方式進(jìn)行非正式交換,可進(jìn)行例行或特定的交換,也可通過(guò)點(diǎn)對(duì)點(diǎn)通信、分層結(jié)構(gòu)或通過(guò)集中式的支持性機(jī)構(gòu)(如TICE 或 WARP)進(jìn)行交換。 信息交換協(xié)議可僅允許信息與選定的團(tuán)體成員共享, 也可僅允許信息在成員間直接傳遞 (即使存在集中式報(bào)告設(shè)施) ,或者僅可匿名共享。 信息交換協(xié)議宜規(guī)定可在團(tuán)體成員間交換的信息類(lèi)型, 以確保團(tuán)體成員就交換的信息達(dá)成共識(shí), 并確

10、保成員根據(jù)共享信息的敏感性級(jí)別設(shè)計(jì)和實(shí)施適合的安全措施。 信息類(lèi)型的示例包括: ——“公告” ,對(duì)應(yīng)于告知性的解釋事態(tài); ——“警報(bào)和預(yù)警” ,對(duì)應(yīng)于無(wú)法解釋的物理事態(tài)或 IT 相關(guān)事態(tài)、拒絕服務(wù)攻擊、掃描或欺騙; ——“事件處理” ,對(duì)應(yīng)于與實(shí)際事件相關(guān)的分析、響應(yīng)支持和響應(yīng)協(xié)調(diào); ——“信息請(qǐng)求” ,對(duì)應(yīng)于團(tuán)體成員之間發(fā)出的信息請(qǐng)求; ——“服務(wù)質(zhì)量預(yù)測(cè)” ,提供團(tuán)體通信信道有效性和可靠性預(yù)測(cè)的信息。 需要采用一種合適的數(shù)據(jù)過(guò)濾方法

11、, 否則信息共享過(guò)猶不及。 當(dāng)采用能夠區(qū)別高優(yōu)先級(jí)和低優(yōu)先級(jí)信息的方法時(shí),構(gòu)建趨勢(shì)信息將是信息共享的一大效益。 A.7 成功因素 信息共享團(tuán)體成功因素包括: 1)信息共享團(tuán)體成員具有共同利益(例如固網(wǎng)電信公司和移動(dòng)公司都對(duì)識(shí)別騙局電話感興趣) ; 2)團(tuán)體成員可借助授權(quán)代表使事情發(fā)生在內(nèi)部; 3)團(tuán)體可限制成員資格,例如確保決策中的公平代表權(quán)。 A.8 信息共享團(tuán)體的 ISMS 范圍 信息共享團(tuán)體的 ISMS 范圍宜包括: ——用于團(tuán)體

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論