为指导并促进各类组织或个人间的网络安全信息资源的合法、有效、高价值利用,助力其进一步提升应对网络安全威胁和风险及保障网络基本运行安全的能力,在贯彻落实《网络安全法》《关键信息基础设施安全保护条例》等相关法律法规要求的基础上, GB/Z 42885-2023《信息安全技术网络安全信息共享指南》(简称“《指南》”)于2023年8月6日正式发布,并将自2024年3月1日起实施。《指南》确立了网络安全信息共享活动要素和基本原则,描述了共享活动的范围和过程,其要点主要如下:
1.《指南》适用范围 | |
各类组织或个人间的网络安全信息(包括威胁信息、安全事件信息、脆弱性信息、应对措施信息、经验信息、态势信息等)共享活动。 | |
2.共享活动要素 | |
| |
3.基本原则 | |
| 3.1 安全性原则 | 确保网络安全信息在共享范围内的收集、存储、使用、加工、传输、提供、公开、删除等过程中的保密性、完整性、可用性、不可否认性。遵循保护敏感个人信息、商业秘密和重要数据的相关规定。 |
| 3.2 可控性原则 | 确保网络安全信息内容及来源的真实性、准确性。共享活动参与者共同享有网络安全信息,信息提供者提供网络安全信息时,明示使用目的、方式、范围,保证信息被授权同意使用,对网络安全信息共享过程中因信息错误、造假或超范围传播等情况造成的损害承担责任。 |
| 3.3 合规性管理原则 | 确保网络安全信息在共享范围内的收集、存储、使用、加工、传输、提供、公开、删除过程 符合有关标准的规定 [1] 及共享活动中制定的协议和规程。 网络安全信息中涉及网络产品安全漏洞信息发布和共享行为的管理要求还需遵从《网络产品安全漏洞管理规定》执行。 |
4.共享范围 | |
| 4.1 完全共享 | 信息可不受限制的共享。 |
| 4.2 内部共享 | 信息在特定共享活动中的所有参与者间共享。 |
| 4.3 部分共享 | 信息在特定共享活动中的部分或指定参与者间共享。 |
5.共享活动的过程 | |
| 5.1 共享活动准备 | ![]() |
| 5.2 共享活动实施 |
|
| 5.3 共享活动终止 | 终止原因及终止方式:发起或组织共享活动的组织或个人因共享需求改变主动终止信息共享活动,并向相关共享活动参与者进行告知。 共享信息保护:发起或组织共享活动的组织或个人以签署保密协议、协商数据销毁机制等方式,确保参与者对其掌握的内部共享信息和受限共享信息进行保护。 |
注释[1]:例如,涉及金融网络安全威胁信息共享行为的管理要求还需符合GB/T 42708-2023《金融网络安全威胁信息共享指南》的规定等。

注:本图参照《指南》共享活动要素示意图绘制
注:本图参照《指南》共享活动实施阶段基本工作流程图绘制