2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩12頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、GB/T 32920—XXXX/ISO/IEC 27010:2015 A A 附 錄 A (資料性) 共享敏感信息 A.1 概述 敏感信息作為一種有重要價值的資產(chǎn), 在組織間共享時需對其加強安全管理。 當業(yè)務需要或敏感信息對組織非常關鍵時,應及時傳遞敏感信息,以更好的解決業(yè)務問題并作出決策。 信息共享團體可代表多種類型的組織或者個人。 團體成員多種多樣, 可來自于各種行業(yè), 其與特定行業(yè)的業(yè)務活動密切相關。 團體成員的共同期望是,

2、在團體內共享敏感信息, 并通過協(xié)商好的控制和過程加強敏感信息使用的治理。 為在信息共享團體內安全的交換敏感信息, 有必要設計、 實現(xiàn)和監(jiān)視過程以及時提供安全的信息流動。 這些過程宜確保信息傳遞給合適的人, 不會被用于惡意目的,不會被任意再分發(fā)而變成實質上公開的信息。 分發(fā)的有效性取決于信息共享團體成員間信任程度。 同時, 宜采取相關安全控制防止信息分發(fā)給如下個人或組織: ——使用或積累數(shù)據(jù)實施惡意行為的; ——未經(jīng)信息發(fā)起方允許而公開傳

3、播信息的; ——提供未經(jīng)充分分析的信息,因此導致可能浪費或誤導資源的不當行為,并對組織產(chǎn)生影響的。為了使信息共享團體有效運行, 團體成員需授權信息接收方可根據(jù)接收到的信息進行相關處置, 且信息接收方不得濫用這些信息(如用于獲得商業(yè)利益) 。 A.2 挑戰(zhàn) 為了應對以下挑戰(zhàn), 需加強行業(yè)間和組織間通信的信息安全管理, 防止影響正常的業(yè)務狀況并在事件發(fā)生時導致業(yè)務中斷: ——新的安全威脅和漏洞; ——對系統(tǒng)與網(wǎng)絡日益增長的依賴性; ——合同

4、、法律法規(guī)和業(yè)務的發(fā)展與限制; ——恰當?shù)耐ㄐ拍P偷慕ⅲ?——攻擊和響應過程之間的協(xié)調; ——持續(xù)的治理。 團體成員間安全的和適應力強的通信宜包括下列要素: ——風險知識和風險管理; ——傳播和通信; ——監(jiān)視。 這三項要素各有其特定的價值,它們之間緊密聯(lián)系、相輔相成。 團體成員代表之間良好的個人關系有助于團體成員間更好地建立信任。 面對面的交流有助于建立個人關系, 有助于增強對彼此可信性和判斷力的信心,而僅使用遠程通信技術很難建立信

5、任。 然而既要求信息來源方匿名,又要求信任信息來源方,二者無法兼顧。通常,只有在確信自己的身份信息不會泄露前提下,才能更好的進行交流。 信息共享團體并非所有成員間都進行信息共享,信息分發(fā)可僅限于團體特定成員或限于某一主題。最后,當團體間共享信息時(如行業(yè)間通信) ,團體間的信息傳遞者面臨著如下特殊困難 5): 5) 與行業(yè)間通信相比,這些問題通常在國際交流中顯得更為突出。 13 GB/T 32920—XXXX/ISO/IEC 2701

6、0:2015 ——必要時,規(guī)定或調整現(xiàn)有的消息交換標準。 通信規(guī)則宜定義通信的頻次、 接收確認的要求以及優(yōu)先級或升級準則。通信過程中, 信息共享團體不同成員間的信任級別不同,并隨時間和情況的變化而變化。 宜基于諸如目標受眾、傳遞信息的屬性、信道的覆蓋面和頻次、成本等準則,通過評估優(yōu)缺點為團體信息傳遞選擇合適的通信信道(例如電子消息發(fā)送、公共網(wǎng)站或會員網(wǎng)站、會議或雙向通話、公共郵政服務發(fā)送的信件或面對面會議等) 。通信對目標受眾的影響取決

7、于信道覆蓋受眾的有效性、通信對受眾的可信性、通信對問題或信息主題的適宜性等。 信息共享過程中,有些信息需要實時傳遞,有些信息可通過日常結果進行共享。 何時將信息傳輸給團體成員的情況示例包括: 立即報告檢測到的符合預設配置文件的事件、 定期報告或響應來自其他成員的信息請求。數(shù)據(jù)保護和分發(fā)屬性的示例包括:隱藏信息來源方的要求、信息的敏感性或發(fā)起方對信息可信度評估。解釋數(shù)據(jù)保護和分發(fā)屬性規(guī)則的示例是交通燈協(xié)議 (TLP) , 見附錄C。相關屬

8、性因通信信道不同而不同(例如郵政分發(fā)的必選屬性與互聯(lián)網(wǎng)郵件的必選屬性不同) 。 無論選擇和實施何種技術解決方案, 它們宜與團體內共享信息類型相符合, 并與定義的團體目標相一致。面對面的接觸交流可以更好的建立信任, 并通過邀請新成員加入團體使團體規(guī)模不斷擴大。 團體本身可信平臺及其他共享基礎設施的存在也可促進團體的快速發(fā)展。 A.6 信息交換協(xié)議 信息共享團體宜在信息交換協(xié)議中定義治理團體通信的機制和過程。 信息可通過信件、 面對面會議口

9、頭交流及電子形式進行交換, 可使用預定義的格式和協(xié)議進行正式交換, 或以非結構化的方式進行非正式交換,可進行例行或特定的交換,也可通過點對點通信、分層結構或通過集中式的支持性機構(如TICE 或 WARP)進行交換。 信息交換協(xié)議可僅允許信息與選定的團體成員共享, 也可僅允許信息在成員間直接傳遞 (即使存在集中式報告設施) ,或者僅可匿名共享。 信息交換協(xié)議宜規(guī)定可在團體成員間交換的信息類型, 以確保團體成員就交換的信息達成共識, 并確

10、保成員根據(jù)共享信息的敏感性級別設計和實施適合的安全措施。 信息類型的示例包括: ——“公告” ,對應于告知性的解釋事態(tài); ——“警報和預警” ,對應于無法解釋的物理事態(tài)或 IT 相關事態(tài)、拒絕服務攻擊、掃描或欺騙; ——“事件處理” ,對應于與實際事件相關的分析、響應支持和響應協(xié)調; ——“信息請求” ,對應于團體成員之間發(fā)出的信息請求; ——“服務質量預測” ,提供團體通信信道有效性和可靠性預測的信息。 需要采用一種合適的數(shù)據(jù)過濾方法

11、, 否則信息共享過猶不及。 當采用能夠區(qū)別高優(yōu)先級和低優(yōu)先級信息的方法時,構建趨勢信息將是信息共享的一大效益。 A.7 成功因素 信息共享團體成功因素包括: 1)信息共享團體成員具有共同利益(例如固網(wǎng)電信公司和移動公司都對識別騙局電話感興趣) ; 2)團體成員可借助授權代表使事情發(fā)生在內部; 3)團體可限制成員資格,例如確保決策中的公平代表權。 A.8 信息共享團體的 ISMS 范圍 信息共享團體的 ISMS 范圍宜包括: ——用于團體

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論