安全419了解到,全国信息安全标准化技术委员会于12月17日下午发布《信息安全技术 网络安全信息共享指南》(征求意见稿)(以下简称为“《指南》”),面向社会公开征求意见。意见和建议的反馈截止日期为2022年2月15日。
《指南》给出了网络安全信息共享活动要素、基本原则、共享范围和活动过程。适用于国家和行业主管部门、网络运营者、网络安全服务机构、研究机构和个人等网络安全信息共享参与方之间的网络安全信息共享活动。
在共享活动要素方面,《指南》提出,共享活动要素一般包括共享场景、共享参与角色、共享模式、网络安全信息等:
·共享活动可分为信息公开、信息报送或下放、信息互换三种;
·共享参与角色可以划分为共享活动发起者、信息提供者、信息控制者、信息使用者四种;
·共享模式可分为中心共享模式、点对点共享模式和混合共享模式三种;
·网络安全信息可分为威胁信息、应对措施信息、经验信息、态势信息、其他信息五种。
在基本原则方面,《指南》明确应遵循:
·有效性原则:确保网络安全信息的有效性。有效的网络安全信息通常具备及时、准确等特性。
·敏感信息最小化原则:遵循保护个人隐私、商业秘密等相关敏感信息的原则,确保网络安全信息中仅包含描述其所必需的最小化信息。
·知情同意原则:信息使用者对网络安全信息进行再利用时,确保信息提供者或信息控制者知悉并同意。
·安全性原则:确保网络安全信息在共享范围内的存储、处理、利用等过程中的保密性、完整性、可用性。
在共享范围方面,《指南》提出:
·按照共享主体,可划分为国家、行业、组织或个人三个层面;
·按照信息敏感程度,可划分为完全共享、内部共享、受限共享三种类别。
在共享活动过程方面,《指南》提出,共享活动过程包括共享活动准备、共享活动实施、共享活动终止三个阶段。
·共享活动准备阶段包括明确共享场景、评估网络安全防护能力、识别共享参与角色、确定共享范围和网络安全信息类别、选择共享模式、制定共享策略和规程六项主要任务;
·共享活动实施阶段包括建立网络安全信息清单、保护网络安全信息、监督和评价、持续共享、利用网络安全信息、调整共享活动和退出共享活动七项主要任务。
此外,《指南》还给出了网络安全信息共享活动示例、网络安全信息共享模式示例、网络安全信息描述、共享活动中的信息交换技术概述四个附录。