附錄 A(資料性附錄)共享敏感信息

A.1 引言

作為一種有重要價值的資產，敏感信息在組織間共享時必須得到安全的管理。為了解決業務問題并作出更好的決策，敏感信息必須及時交付，特別是它對于組織非常關鍵時更應如此。

信息共享團體可代表很多類型的組織甚至是個人。團體在成員關系方面可能有很大不同，團體也可能與諸如特定產業或市場行業等業務活動形式緊密匹配在一起。團體既可能處于公共行業又可能處于私有行業，或可能包含這兩種行業的成員。共享某種類型的敏感信息，并接受協商好的關于治理這些敏感信息使用的控制和過程，實現上述要求是一個共同的期望。

為在信息共享團體內安全的交換敏感信息，有必要設計、實現和監視過程以及時提供安全的信息流。這些過程宜確保將信息傳播給合適的人，同時對信息不會被用于惡意目的提供合理保障，這些過程宜確保信息不會被任意再分發而變成實質上公開的信息。

分發的有效性將由成員在信息共享團體所建立的關系中持有的信任程度確定。同時，通信有關的安全機制宜防止信息分發給如下個人或組織：

——使用或積累數據實施惡意行為的；

——未經信息發起方允許而公開傳播信息的；

——提供未經充分分析的信息，因此導致不當行為而可能浪費或誤導資源以及對組織產生影響的。

為了使信息共享團體有效運行，信息接收方必須獲得其成員組織的授權，以對所接收信息進行操作。且信息接收方不能濫用這些信息，如用于獲得商業利益。

A.2 挑戰

為了應對以下挑戰，強烈推薦對行業間和組織間通信進行恰當的信息安全管理，否則可能影響正常的業務狀況并可能導致事件發生過程中的業務中斷：

——新的安全威脅和漏洞。

——對系統與網絡日益增長的依賴性。

——合同、法律、法規和業務的發展與限制。

——恰當的通信模型的建立。

——攻擊和響應過程之間的協調。

——持續的治理。

團體成員間安全的和適應力強的通信宜包括下列事項：

——風險知識和管理。

——傳播和通信。

——監視。

雖然宜根據這三項要素各自的特定價值采用它們，但它們之間密切聯系、互為補充。

只有與其他成員代表們建立了個人關系，信息共享團體成員間才能更好地建立信任。人們需要通過面對面的交流建立關系，并創建在彼此可信性和判斷力上的信心。只使用遠程通信技術很難創建信任。同樣，對信息源頭的可信性給予信心而保持源頭匿名的機制也很難建立。通常，如果人們對確信自己的身份保密性有信心，他們將更好的暢所欲言。

即使不是所有成員都與其他成員共享所有的信息，信息共享團體仍是效的。分發機制必須足夠靈活，以使分發能夠限于團體特定成員或限于某一主題。

最后，當團體間共享信息時（如行業間通信），團體間的“看門人”面臨著特殊困難：信息源頭不一定了解其他團體的成員關系，必須依靠接口來保護匿名及其他發布情形；“看門人”可能由于缺乏專業知識而無法意識到何時不宜再進一步進行某些團體通信。與行業間通信相比，這些問題通常在國家間通信中顯得更為突出。

A.3 潛在益處

與其他成員共享敏感信息不可避免的增加了不當泄露的潛在風險。為使團體有效運行，必須管理這些風險并使其最小化，且益處必須超過可接受殘余風險。

共享敏感信息的潛在益處包括：

——風險環境中任何重大變更的風險提示，如新威脅、攻擊更新的可能性、最新發現的漏洞等等。

——通過共享最佳實踐改進安全性。

——訪問從任何公開源不能得到的一些有用信息。

——通過消除重復工作節約成本。

——通過更多的理解威脅和脆弱性更好的進行風險評估。

——從其他組織類似活動涉及的信息中，更好的組織維護及介入。

——為安全事件進行更充分的準備。

——與類似組織進行安全措施的基準測試。

——企業社會責任。

——符合法律要求或企業策略。

團體的監視和評審過程從團體成員關系中識別具體益處，以用于成員評估他們持續的團體成員關系，這是必要的。

A.4 適用性

信息交換可在許多不同類型的組織間進行，如大型或小型的，政府或私人的，相似或不同的。然而，在同一行業內運行的組織或具有共同目標的組織，它們共享特定行業類別的信息安全風險，通常可獲得最大益處。GB/T 25067-2010（ISO/IEC 27006:2007，IDT）識別了部分這樣的行業。

行業間或者通過基于其他特征（如地理位置）確定團體的方式共享信息，或者通過與分層結構團體中其他基于行業的信息共享團體共享信息，也可獲得信息共享的極大益處。

A.5 定義和運行一個信息共享團體

信息共享團體宜定義治理其運行的規則和條件，這些規則和條件宜包括：

——治理信息共享團體的成員關系及其內部組織的規則和條件；

——信息共享團體的目的和給成員的預期益處；

——成員加入或退出信息共享團體的規程；

——治理所有集中式團體過程或機構（如TICE或WARP）的規則和條款；

——有關團體成員義務、紀律處理和開除的過程與準則的規則和條件；

——針對成員可如何使用和傳遞共享信息的清晰規則；

——團體成員關系的其他法律和財務的義務及條件。

信息共享團體的規則和條件還宜：

——確保信息以一種高效和安全的方式通信，這種方式確保目標受眾及時恰當的接收數據；

——針對每個已識別的信息類型，按照傳輸其數據時信道的優先使用權，規定和排列潛在的和選定的通信信道；

——規定允許將信息傳遞給團體成員的環境；

——規定與團體通信相關的強制與可選的數據保護及分發屬性；

——規定清晰規則，以解釋涉及到信息傳播的數據保護及分發屬性；

——要求成員提供關于已接收信息相關性、及時性和準確性方面的反饋；

——若有可能，為信息交換規定或調整現有的消息傳遞標準。

通信規則應定義通信的頻次、接收確認的所有要求以及所有優先級準則或升級準則。規則宜認識到信息共享團體成員在團體其他成員處的信任級別可能有所不同。隨著時間和情形不同，信任程度可能不同。

當傳遞團體支持的已識別信息類型時，宜基于諸如目標受眾、傳遞信息的屬性、信道的覆蓋面和頻次、代價等準則，通過評估優缺點選擇適合的通信信道。可能的通信信道的例子包括電子消息發送、公共網站或會員網站、會議或雙向通話、公共郵政服務發送的信件或面對面會議等。通信對目標受眾的影響取決于信道覆蓋受眾的有效性、通信對受眾的可信性、通信對問題或信息主題的適宜性。

并非所有的信息都需要實時進行通信，有些信息最好通過例行接觸進行共享。

對于何時將信息傳輸給團體成員的可能例子，包括：立即報告與預先確定配置相符的被檢測事件，按時例行報告，或響應來自其他成員的信息請求。數據保護和分發屬性的可能例子包括：隱藏信息源的要求、信息的敏感性或發起方對信息信賴性評估。解釋數據保護和分發屬性的一組規則的例子是交通信號燈協議（TLP），參見附錄C。基于所使用的通信信道，屬性可能不同。例如，郵政分發的強制屬性與互聯網郵件的強制屬性可能有很大不同。

無論選擇和實現何種技術解決方案，它們宜與團體內共享信息類型相符合，并與定義的團體目標相一致。面對面的交流能夠建立信任，并且對于通過邀請新成員而擴大團體，這可能是一種必要方式。然而，可信平臺及其他共享基礎設施的存在本身就可促進成員關系。

A.6 信息交換協議

信息交換協議中，信息共享團體宜定義治理團體通信的機制和過程。信息可通過信件、面對面會議交流及電子形式進行交換，可使用預定義的格式和協議進行正式交換，或以非結構化的方式進行非正式交換，可進行例行或特定的交換，也可通過P2P通信、分層結構或集中式的支持性機構（如TICE或WARP）進行交換。

信息交換協議可允許信息只被選定的信息共享團體成員共享，或者僅可被匿名共享。同樣的，即使存在集中式報告設施，也可允許在成員間直接傳遞信息。

信息交換協議宜規定可在團體成員間交換的信息類型，以確保團體成員就通信的信息達成共識，并確保成員根據共享信息的敏感性級別設計和實現適合的安全措施。

可能的信息類型的例子包括：

——“公告”，對應于告知性的解釋事態；

——“警報和預警”，對應于未經解釋的物理事態或IT相關事態、拒絕服務攻擊、掃描或欺騙；

——“事件處理”，對應于實際事件有關的分析、響應支持和響應協調；

——“信息請求”，對應于從團體某個成員傳送到所有或一些其他團體成員的信息的請求；

——“服務質量預測”，提供各種團體通信信道有效性和可靠性預測的信息。

除非包含適合的數據過濾方法，否則信息共享過猶不及。如果構建趨勢信息被認為是共享的一大益處，那么必須存在一種能夠區別高優先級的“立即行動”信息和低優先級的“列入記錄”信息的方法。

A.7 成功因素

盡管并不是所有成員可能對所有方面感興趣，但有效的團體將有真正的共享利益。例如，固網電信公司對無線問題不感興趣，但是同移動公司一樣都將對識別騙局電話感興趣。

有效團體的成員將利用獲得授權的代表，這些代表可促成事情內部發生。

有效的團體可限制成員或以其他方式約束成員關系，例如在決策方面確保公平的代表。

A.8 信息共享團體的ISMS范圍

信息共享團體的ISMS范圍宜包括：

——用于團體成員（包括中介機構）信息通信的所有過程；

——通信過程相關的信息存儲；

——由相關成員實現的發送和接收共享信息的過程；

——由團體成員實現的破壞共享信息的過程。

除了附加在共享信息的自然屬性和信息共享系統接口上的限制外，ISMS范圍不宜包括相關團體成員管理自身信息安全所實現的信息安全管理過程，以及可能被其他信息安全管理體系所覆蓋的信息安全管理過程。ISMS可由支持性機構（如TICE或WARP）進行集中管理，也可由團體成員協作管理。