《信息技术 安全技术 行业间和组织间通信的信息安全管理》.docVIP

GB/TXXXXX—XXXX/ISO/IEC27010:2012

PAGEIV

ICS?35.040

L80

中华人民共和国国家标准

GB/TXXXXX—XXXX/ISO/IEC27010:2012

FORMTEXT?????

信息技术安全技术

行业间和组织间通信的信息安全管理

Informationtechnology—Securitytechniques—

Informationsecuritymanagementforinter-sectorand

inter-organizationalcommunications

(ISO/IEC27010:2012，IDT)

（征求意见稿）

（在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上）

XXXX-XX-XX发布

XXXX-XX-XX实施

GB/TXXXXX—XXXX/ISO/IEC27010:2012

PAGE1

信息技术安全技术行业间和组织间通信的信息安全管理

范围

本标准给出了信息安全管理体系（ISMS）标准族的补充指南，用于在信息共享团体中实现信息安全管理。

本标准特别为组织间和行业间通信给出了发起、实施、维护与改进信息安全的控制措施和指南。

本标准适用于行业间各种公共和私有的、国内的敏感信息交换和共享。特别是，本标准可适用于与组织或国家重要信息系统和基础信息网络国际上叫做国家关键基础设施。）的供给、维护和保护相关的信息交换与共享。

国际上叫做国家关键基础设施。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22080-2008信息技术安全技术信息安全管理体系要求（ISO/IEC27001:2005，IDT）

GB/T22081-2008信息技术安全技术信息安全管理实用规则（ISO/IEC27002:2005，IDT）

GB/T29246-2012信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC27000:2009，IDT）

术语、定义和缩略语

术语和定义

GB/T29246-2012中界定的以及下列术语和定义适用于本文件。

3.1.1

信息共享团体informationsharingcommunity

商定共享信息的组织群。

注：组织可以是个体。

3.1.2

可信信息通信机构trustedinformationcommunicationentity

信息共享团体内支持信息交换的自治组织。

缩略语

下列缩略语适用于本标准：

TICE可信信息通信机构（TrustedInformationCommunicationEntity）

WARP预警、建议和报告中心（Warning,AdviceandReportingPoints）

ISMS信息安全管理体系（InformationSecurityManagementSystem）

P2P对等通信（PeertoPeer）

IPR知识产权（IntellectualPropertyRight）

CVE公共漏洞和暴露（CommonVulnerabilitiesExposures）

ISIRT信息安全事件响应组（InformationSecurityIncidentResponseTeam）

TLP交通信号灯协议（TrafficLightProtocol）

概念和释义

介绍

本标准在第5至15章中给出了针对行业间和组织间通信的信息安全管理体系（ISMS）指南。

GB/T22081-2008中定义了组织间双方交换信息的控制措施，以及用于公开可用信息的通用分发控制措施。然而，在某些情况下，需要在同一团体内的不同组织之间共享某种敏感信息，这种敏感信息仅限于对团体内成员公开可用。通常，这种信息只能对每个成员组织内特定的个人可用，或者有信息匿名化等其他安全要求。本标准定义附加的控制措施，并提供对GB/T22080-2008和GB/T22081-2008的补充指南和解释，以满足这些要求。

信息共享团体

为了使信息共享团体有效运行，必须依据某些共同利益或其他关系来定义共享敏感信息的范围。例如，团体可能是特定的行业，并因此将组织的成员资格限定在本行业中。当然，实际中还存在一些其他可以构成共同利益的基