安全与韧性 社区韧性 组织间信息交互指南 征求意见稿.pdf

GB/T××××—××××

安全与韧性社区韧性

组织间信息交互指南

1范围

本文件提供了组织间信息交换的指导，包括信息交换的基本原则、框架以及流程。文件确定了信息

交换机制，使参与组织能够从他人的经验、教训和成功中学习，并提供了相关措施来强化参与组织应对

风险的能力。

本文件适用于需要建立支持信息交换条件相关指导的私人和公共组织，主要侧重于方法论。

本文件不适用于技术层面。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

ISO22300安全与韧性－术语（Securityandresilience－Vocabulary）

3术语和定义

ISO22300界定的以及下列术语和定义适用于本文件。

3.1

敏感信息sensitiveinformation

对个人、组织、国家安全或公共安全可能产生不利影响而不公开披露的信息。

[来源：ISO22300：2018，3.244，有修改]

4基本原则

4.1概述

信息交换的总体目标是作为信息决策制定的一部分在可信赖组织间共享信息，以提高安全性和韧性

（参见附录B）。然而每次的信息交换因参与组织的特定需求和资源而具有独特性，因此应制定共同的

原则来指导信息交换机制，以及信息交换的评估和持续改进。

4.2指导原则

为有效开展信息交互，组织宜：

a)信任与意愿

基于信息交互（包括敏感信息）的信任和意愿。

b)创造价值

基于互利的基础上，创造和保护组织的价值。

c)信息保护

5

GB/T××××—××××

信息交互需要对每个参与组织指定的敏感信息达成相互理解。

d)结构化与系统化流程

各组织在信息政策、流程和惯例、相关立法以及隐私原则的范围内分享信息，并且在具备时效性、

系统化及结构化的框架中执行。

e)共享承诺

宜建立在给予和接收信息的共同承诺之上，以确保组织间互利的关系。

f)决策支持

交互的信息被用于帮助组织作出决策并指导日常运营。

g)安全与完整性

可靠且有效的安全与完整性控制措施可实现高效的信息交互。

h)持续改进

参与组织开展定期评估，以实现信息交互的持续改进。

5框架

5.1概述

框架为参与组织确保有效的信息交互提供动态感知、理解和决策制定依据。

图2给出了确立和维护信息交互框架的各组成部分。

图2框架组成示意图

5.2领导力与承诺

最高管理层应给予出坚定和持续的承诺，以确保信息交换机制的持续有效，同时对该机制的组成

部分进行适应性调整，并为确保其有效执行提供必要的支持。

最高领导层应当：

—确定价值创造过程中信息交换的目标；

—定义和认可同一信息交换框架；

—确保组织的承诺和贡献；

—分配参与者的职责及责任；

6

GB/T××××—××××

—确保分配必要的资源用于信息交换；

—说明在约定范围内共享信息带来的收益；

—确定符合参与组织利益和背景的信息交换业绩标准；

—确保遵循其组织的各项政策；

—制定一份包含这些承诺的政策文件。

5.3环境分析

设计和实施信息交换框架之前，参与组织应当评估和了解影响设计的内外部环境。

参与组织的外部环境评估可包括：