- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
安全与韧性社区韧性
组织间信息交互指南
1范围
本文件提供了组织间信息交换的指导,包括信息交换的基本原则、框架以及流程。文件确定了信息
交换机制,使参与组织能够从他人的经验、教训和成功中学习,并提供了相关措施来强化参与组织应对
风险的能力。
本文件适用于需要建立支持信息交换条件相关指导的私人和公共组织,主要侧重于方法论。
本文件不适用于技术层面。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
ISO22300安全与韧性-术语(Securityandresilience-Vocabulary)
3术语和定义
ISO22300界定的以及下列术语和定义适用于本文件。
3.1
敏感信息sensitiveinformation
对个人、组织、国家安全或公共安全可能产生不利影响而不公开披露的信息。
[来源:ISO22300:2018,3.244,有修改]
4基本原则
4.1概述
信息交换的总体目标是作为信息决策制定的一部分在可信赖组织间共享信息,以提高安全性和韧性
(参见附录B)。然而每次的信息交换因参与组织的特定需求和资源而具有独特性,因此应制定共同的
原则来指导信息交换机制,以及信息交换的评估和持续改进。
4.2指导原则
为有效开展信息交互,组织宜:
a)信任与意愿
基于信息交互(包括敏感信息)的信任和意愿。
b)创造价值
基于互利的基础上,创造和保护组织的价值。
c)信息保护
5
信息交互需要对每个参与组织指定的敏感信息达成相互理解。
d)结构化与系统化流程
各组织在信息政策、流程和惯例、相关立法以及隐私原则的范围内分享信息,并且在具备时效性、
系统化及结构化的框架中执行。
e)共享承诺
宜建立在给予和接收信息的共同承诺之上,以确保组织间互利的关系。
f)决策支持
交互的信息被用于帮助组织作出决策并指导日常运营。
g)安全与完整性
可靠且有效的安全与完整性控制措施可实现高效的信息交互。
h)持续改进
参与组织开展定期评估,以实现信息交互的持续改进。
5框架
5.1概述
框架为参与组织确保有效的信息交互提供动态感知、理解和决策制定依据。
图2给出了确立和维护信息交互框架的各组成部分。
图2框架组成示意图
5.2领导力与承诺
最高管理层应给予出坚定和持续的承诺,以确保信息交换机制的持续有效,同时对该机制的组成
部分进行适应性调整,并为确保其有效执行提供必要的支持。
最高领导层应当:
—确定价值创造过程中信息交换的目标;
—定义和认可同一信息交换框架;
—确保组织的承诺和贡献;
—分配参与者的职责及责任;
6
—确保分配必要的资源用于信息交换;
—说明在约定范围内共享信息带来的收益;
—确定符合参与组织利益和背景的信息交换业绩标准;
—确保遵循其组织的各项政策;
—制定一份包含这些承诺的政策文件。
5.3环境分析
设计和实施信息交换框架之前,参与组织应当评估和了解影响设计的内外部环境。
参与组织的外部环境评估可包括:
—运行环境;
—影响环境的关键驱动因素和趋势;
—与其利益相关方的关系。
参与组织的内部环境评估可包括:
—确定组织的哪些部分将参与;
—确定属于流程组成部分的对应组织代表。
5.4设计与建立框架
设计信息交换框架时,参与组织的最高管理层应当考虑:
—信息传播的管理模式、组织结构、角色、职责以及原则;
—必要的资源、能力(如资金、时间、人员、
文档评论(0)