| A.13.2 信息传输 | ||
| 目标:维护在组织内及与外部实体间传输信息的安全。 | ||
| A.13.2.1 | 信息传输策略和规程 | 控制 应有正式的传输策略、规程和控制,以保护通过使用各种类型通信设施进行的信息传输。 |
| A.13.2.2 | 信息传输协议 | 控制 协议应解决组织与外部方之间业务信息的安全传输。 |
| A.13.2.3 | 电子消息发送 | 控制 应适当保护包含在电子消息发送中的信息。 |
| A.13.2.4 | 保密或不泄露协议 | 控制 应识别、定期评审和文件化反映组织信息保护需要的保密性或不泄露协议的要求。 |
控制解析:
- “A.13.2.1 信息传输策略和规程”可以结合“A.8.2.1 信息的分级”进行实施,分别制定各级别的信息(数据)传输策略和规范(如《数据安全管理规范》),如组织最核心商业秘密禁止通过网络传输、普通商业秘密必须通过密码产品或密钥加密传输等。
- 组织内部信息需要外部进行传输和交换,需要有书面的协议,明确管理责任、技术要求和控制要求等。
- 电子消息发送中的信息(如邮件、企业微信、QQ等发送的数据文档)应当采取必要的安全措施,如禁止使用QQ/微信/第三方邮箱传送组织敏感信息,必须使用公司邮箱发送或企业微信发送,并使用加密产品加密或设置口令(口令和文件单独发送)等。
- 应根据组织保密性要求、相关方(如客户、法律法规等)保密性要求,形成书面员工保密协议(内部)、供应商保密协议(外部)等,并定期进行评审。
实施本控制应输出的文档:
- 信息传输策略、《网络安全管理规范》和《数据安全管理规范》。
- 数据交换协议。
- 员工保密协议(内部)、供应商保密协议(外部),及评审记录。
本控制审核要点:
- 是否有信息传输策略和规范。
- 了解组织是否与外部进行数据交换,如果有,能否提供数据交换协议。
- 审核员工保密协议(内部)、供应商保密协议(外部),及评审记录。
