ICT供應鏈信息安全標準ISO/IEC 27036-3及體系分析

謝宗曉　董坤祥（南開大學商學院）

ICT供應鏈信息安全標準ISO/IEC 27036-3及體系分析

謝宗曉董坤祥
（南開大學商學院）

通過對ISO/IEC 27036信息安全標準體系范圍和內(nèi)容的描述，詳細闡述了ICT供應鏈信息安全管理流程中面臨的相關風險，實施信息安全的要求和ICT供應鏈信息安全的標準內(nèi)容。最后，提出我國企業(yè)在實施ICT供應鏈信息安全過程中的相關建議。

信息安全ICT供應鏈ISO/IEC 27036-3

謝宗曉　博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發(fā)表論文38篇，出版專著12本。信息安全管理系列之十四

隨著信息通信技術和ICT供應鏈的發(fā)展，ICT供應鏈面臨著嚴峻的信息安全風險考驗。歐美等發(fā)達國家相繼制定了ICT供應鏈風險管理的標準，但我國尚未制定符合我國國情的ICT供應鏈信息安全標準。因此，本文通過對ICT供應鏈國際標準ISO/IEC 27036-3的分析，梳理了ICT供應鏈面臨的相關風險、安全要求和標準內(nèi)容，以期為我國的ICT供應鏈信息安全實踐提供指導幫助。

謝宗曉（特約編輯）

1　ICT供應鏈信息安全相關標準體系

隨著信息通信技術（ICT）的發(fā)展和外包服務的成熟，ICT與供應鏈的融合越來越緊密。ICT供應鏈的健康運營和信息安全，對提高供應鏈節(jié)點企業(yè)的長期競爭力具有很大的推動作用。但是，由于ICT產(chǎn)品或服務的質(zhì)量缺陷及供應鏈的脆弱性，往往導致ICT供應鏈面臨著嚴峻的信息安全風險的考驗。為了加強ICT供應鏈風險的管理和控制，歐美等國家相繼制定了ICT供應鏈風險管理的標準。目前，關于ICT供應鏈的相關標準體系有兩個：（1）ISO/ IEC 27000信息安全管理體系中ISO/IEC 27036-3，該標準是ICT供應鏈信息安全指南的國際標準，其明確了供應鏈關系中信息安全風險的評估和應對措施；（2）2013年美國國家標準與技術研究院（NIST）發(fā)布的聯(lián)邦信息系統(tǒng)和組織的供應鏈風險管理實踐指導草案SP800-161。該指導草案是對ISO/IEC 27036-3標準的完善，是通過ICT供應鏈風險具體路徑、供應鏈風險管理指標以及其他風險緩解活動將ICT供應鏈風險管理整合到聯(lián)邦組織采購ICT產(chǎn)品或服務的風險管理體系中，并形成ICT供應鏈風險管理標準SP800-161。因為SP800-161主要為聯(lián)邦機構量身定做，具有一定的局限性，而ISO/IEC 27036是具有普適性的國際主流標準，且具有權威性，故我們主要對供應鏈信息安全標準ISO/IEC 27036進行分析研究。

2　ISO/IEC 27036標準體系概述

ISO/IEC 27036標準體系由多個標準族集合而成，用于評價和處理供應商在提供服務或產(chǎn)品過程中可能面臨的信息安全風險。該標準的制定起因于B2B商業(yè)關系中與信息相關產(chǎn)品所產(chǎn)生的信息風險。隨著標準的發(fā)展，我們認為，只要組織內(nèi)、外的兩個個體存在相互交流或信息交換的情形，都應遵守該信息安全標準體系的要求；但雙方不一定產(chǎn)生交易行為，如組織內(nèi)員工之間的交流或任務的交接等沒有產(chǎn)生交易的行為，也應遵守信息安全標準的要求。下面，我們從ISO/IEC 27036標準體系的范圍和內(nèi)容兩個方面對ISO/IEC 27036標準進行介紹。

2.1ISO/IEC 27036標準體系的范圍

根據(jù)國際標準化組織的文件，ISO/IEC 27036標準體系的范圍包括：IT產(chǎn)品和服務范圍、標準內(nèi)容、信息安全控制和組織間關系四個方面。

2.1.1IT產(chǎn)品和服務范圍

IT產(chǎn)品和服務包括：IT外包和云計算服務，其他專業(yè)服務（例如，防火墻設置、設備清潔、通訊設備的維護與保養(yǎng)、專家咨詢、知識管理、產(chǎn)品或服務的研發(fā)、制造、配送及源代碼托管服務等），ICT硬件、軟件和服務的供應，定制化的產(chǎn)品和服務，以及水電等產(chǎn)品。

2.1.2標準內(nèi)容

標準覆蓋的內(nèi)容包括：實施ICT產(chǎn)品和服務時，確保組織戰(zhàn)略目標和商業(yè)需求的信息安全，降低對供應商的過度依賴。

2.1.3信息安全控制

要對信息安全的內(nèi)容進行控制，例如均衡事前準備與分析過程中信息安全的成本、風險和利益；產(chǎn)品和服務供應商是否符合ISO/IEC 27001認證；合作開發(fā)和運營中的風險分析、安全設計與識別、資產(chǎn)和事故管理等；信息資產(chǎn)的問責制和責任保護制；明確獎懲及審計制度等。

2.1.4組織間關系

組織生命周期內(nèi)的組織關系管理，包括：（1）初始業(yè)務范圍分析，即自產(chǎn)還是外包決策、多元化還是單一產(chǎn)品決策，以及信息安全需求的定義；（2）產(chǎn)品或服務的采購分析，如組織的運營管理；（3）產(chǎn)品或服務的更新；（4）終止或結束業(yè)務關系，或者重新定義企業(yè)的業(yè)務范圍等。

2.2ISO/IEC 27036標準體系的內(nèi)容

根據(jù)國際標準化組織的相關文件，ISO/IEC 27036《信息技術安全技術供應商關系的信息安全》標準體系主要包括四部分：第1部分：概述和相關概念（ISO/IEC 27036-1）；第2部分：要求（ISO/ IEC 27036-2）；第3部分：ICT供應鏈安全指南（ISO/ IEC 27036-3）；第4部分：云服務安全指南（ISO/ IEC 27036-4）。ISO/IEC 27036-1和ISO/IEC 27036-2是基本規(guī)定，ISO/IEC 27036-3和ISO/IEC 27036-4則是具體操作規(guī)范與應用。

2.2.1ISO/IEC 27036標準的概念與相關問題

ISO/IEC 27036-1對ICT供應鏈所涉及的各個利益相關者和流程進行了規(guī)范和定義。例如，需求者是指從另一方獲得產(chǎn)品和服務的利益相關者（ISO/ IEC 15288：2008，4.1）；獲取是指獲得產(chǎn)品或服務的過程（ISO/IEC 15288：2008，4.2）；協(xié)議是指工作合作中共同確認的條款和條件（ISO/IEC 15288：2008，4.4）；生命周期是指產(chǎn)品或服務從概念到淘汰的全過程（ISO/IEC 15288：2008，4.11）；流程是指一組將輸入轉化為輸出的相互關聯(lián)或相互作用的活動（ISO 9000：2005，3.4.1）。其他的相關概念還有，下游組織和上游組織（ISO 28001：2007，3.10）、外包、利益相關者、供應商、供應商關系、供應鏈、系統(tǒng)、信任、可跟蹤性等。

通過上述概念，ISO/IEC 27036分析了供應商關系中的幾個問題：（1）供應商關系形成的動機，ICT產(chǎn)品或服務外包不僅可以使企業(yè)集中核心業(yè)務，減少成本，提高服務水平，還能及時更新ICT產(chǎn)品或服務。（2）供應商關系的類型，主要包括購買ICT產(chǎn)品、ICT服務和云計算三類。（3）供應商關系中的信息安全風險與管理，包括以契約和協(xié)議的形式降低供應商關系的信任風險；以嚴格的質(zhì)量審查減少產(chǎn)品或服務缺陷；監(jiān)控與識別組織治理的流程，上下級的溝通，以及組織成員的社會文化差異。（4）ICT供應鏈管理問題，即完善ICT產(chǎn)品或服務的標準采購流程，且ICT產(chǎn)品或服務必須達到要求的信息安全水平。

2.2.2ISO/IEC 27036標準的結構

由圖1可知，ISO/IEC 27036提供了在供應商關系中，如何確保信息安全的多層級國際標準體系。ISO/IEC 27036-1描述了供應商關系中信息安全管理的范圍、概念和問題，為ISO/IEC 27036標準體系構建了基本框架。ISO/IEC 27036-2指定了供應商關系中基本的信息安全定義、實現(xiàn)、操作、監(jiān)控、評估、維護和改善等要求。這些要求支持任何采購和供應的產(chǎn)品和服務，如產(chǎn)品的制造或裝配、業(yè)務流程采購、軟件和硬件的組件、知識流程采購和云計算服務等。ISO/IEC 27036-3提供了具體實施ICT供應鏈信息安全管理的標準流程。ISO/IEC 27036-4指出云計算在ICT供應鏈產(chǎn)品和服務中，其應用可能產(chǎn)生的信息安全風險及其管理方法。ISO/IEC 27036標準四個部分的關系如圖1所示。

圖1　ISO/IEC 27036標準體系結構

3　ISO/IEC 27036-3——ICT供應鏈信息安全標準

ICT供應鏈是ICT產(chǎn)品和服務供應關系的集合，有著多樣性的物流和多層次的外包。一般而言，這種網(wǎng)鏈系統(tǒng)是由組織、人員、流程、產(chǎn)品以及與系統(tǒng)開發(fā)生命周期配套的服務和基礎設施構成。圖2描述了組織、上游供應商和下游需求商組成的ICT供應鏈。圖2中相鄰的兩個組織，一個稱為服務或產(chǎn)品的供應商，另一個稱為需求客戶。在ICT供應鏈末端的客戶又稱為消費者，且消費者一般無法控制上游直接供應商或間接供應商的信息安全要求。

圖2　ICT供應鏈關系

3.1ICT供應鏈相關風險

ICT供應鏈中往往因個別供應商產(chǎn)品或服務的信息安全風險，而導致整條ICT供應鏈的需求方和供應商面臨風險。同時，因需求方不能干涉供應商的相關程序，而使得需求方無法通過溝通、監(jiān)視和加強信息安全管理來控制上游供應商的信息安全風險。然而，供應商和需求方共同面臨的信息安全風險，往往直接與控制意識不足、ICT產(chǎn)品或服務的擁有權及責任不清等有關。由于供應鏈中ICT產(chǎn)品和ICT服務所面臨的風險有所不同，我們就ICT產(chǎn)品和ICT服務可能的風險進行如表1和表2的分類描述。

表1　ICT產(chǎn)品的相關信息安全風險

表2　ICT服務的相關信息安全風險

3.2ICT 供應鏈的信息安全要求

需求方之所以接受供應商的產(chǎn)品、配送和服務，是因為需求方期望獲得高于自身信息安全水平的標準。這些標準如下所述：

（1）管理影響企業(yè)信息連續(xù)、信息系統(tǒng)和服務等信息安全的，且與企業(yè)環(huán)境相關的政策、法律和信息等安全風險。

（2）管理材料和設備的完整性，例如，獨特標記和保護標簽等。

（3）管理軟件和其他電子信息的完整性，例如，哈希函數(shù)的加密和數(shù)字水印等確保供應商產(chǎn)品不被盜用。

（4）管理配送中產(chǎn)品和服務等設備的物理安全。

（5）管理所有與供應商有商務往來客戶、其他客戶、與供應商往來的供應商，以及所有需求方的信息安全。

此外，為了合理管理ICT供應鏈的信息安全，需求方對獲得的產(chǎn)品或服務應在組織層面采納以下標準框架：①建立信息共享和交換的信息安全規(guī)章制度；②評價和監(jiān)督與供應鏈相關的信息安全風險；③建立ICT供應鏈協(xié)議和信息安全協(xié)議的談判流程；④持續(xù)監(jiān)測并報告ICT供應鏈內(nèi)成員的績效、信息安全和供應商關系的變化。

3.3ICT供應鏈安全標準的相關內(nèi)容

在供應鏈中，供應商和需求方之間信息安全管理和控制的實施，并未使產(chǎn)品或服務的信息安全風險得到充分的管理。需求方對供應商產(chǎn)品和服務的管理是信息安全的關鍵，因為這需要需求方對供應商的系統(tǒng)具有一定的可見性。同樣，供應商也經(jīng)常因與需求方和供應商的關聯(lián)性而增加了ICT供應鏈的信息安全風險。ISO/IEC 27036-3為需求方和供應商提供了ICT產(chǎn)品和服務的信息安全風險管理指南，其相關標準條款是基于ISO/IEC 27036-2、ISO/IEC 15288、ISO/IEC 12207和ISO/IEC 27002，并為ISO/ IEC 27036-2提供了相應的管理實踐。

除上述相關標準的內(nèi)容外，ICT供應鏈標準也有針對IT產(chǎn)品和服務的內(nèi)容，例如，產(chǎn)銷監(jiān)管鏈、最小特權訪問、職責分離、防篡改與證據(jù)、持續(xù)保護、責任管理、代碼評估和驗證、安全培訓、漏洞評估與響應、定義安全預期、知識產(chǎn)權和責任、避免灰色市場、采購流程管理、質(zhì)量管理、人力資源管理、項目管理、供應商關系管理、風險和安全管理、配置和變更管理、信息管理、安全架構設計、ICT實施、ICT集成、ICT測試、惡意軟件防護、ICT管理、維修和處理。上述ICT供應鏈特有內(nèi)容和已有的相關標準共同組成ICT供應鏈信息安全標準體系，如圖3所示。

圖3　ICT供應鏈信息安全標準體系

4　我國實施ICT供應鏈信息安全的建議

由于我國ICT供應鏈實施背景與歐美等發(fā)達國家有所不同，就會導致ICT供應鏈信息安全的國際標準在國內(nèi)實施時有水土不服的現(xiàn)象。鑒于此，結合國際標準，我們對國內(nèi)實施ICT供應鏈信息安全的管理實踐提出以下建議：

（1）融合ISO/IEC 27036-3標準和SP800-161標準。ISO/IEC 27036-3側重從實施流程的角度對ICT供應鏈中IT產(chǎn)品和ICT服務的信息安全風險管理分別進行描述和分析，并指出ICT供應鏈信息安全的架構設計、實施、集成、測試、惡意軟件防護、管理、維修和處理。與ISO/IEC 27036-3不同，SP800-161是從組織層面分析不同組織層次面臨的信息安全風險問題。SP800-161標準從組織內(nèi)部到外部服務商和系統(tǒng)集成商，再到ICT產(chǎn)品和服務的提供商，通過組織內(nèi)外的脆弱性分析和威脅因素分析，明確了組織面臨的ICT供應鏈信息安全風險。通過對比ISO/IEC 27036-3標準和SP800-161標準的異同，我們認為我國在實施ICT供應鏈信息安全風險管理過程中要點、線結合，即：以組織的信息安全管理為點，以整條ICT供應鏈為線，同時從兩個角度全面分析ICT供應鏈所面臨的全部可能的信息安全風險，并對安全隱患加以控制。

（2）制定符合組織自身發(fā)展需求的ICT供應鏈風險管理方案。我國ICT產(chǎn)品或服務來源于兩個方面：一是，國外ICT產(chǎn)品或服務的提供商；二是，國內(nèi)ICT產(chǎn)品或服務的提供商。使用國外ICT產(chǎn)品或服務的提供商，能夠充分保證ICT供應鏈中信息傳遞的效率、完整性、穩(wěn)定性；但是，增加了泄露ICT供應鏈信息的風險。使用國內(nèi)ICT產(chǎn)品或服務的提供商，能夠降低ICT產(chǎn)品或服務的成本；但是，卻難以確保ICT產(chǎn)品或服務的穩(wěn)定性和完整性。因此，我國的組織或企業(yè)在實施ICT供應鏈信息安全管理過程中，應根據(jù)企業(yè)自身對信息安全水平要求和ICT實施成本，確定采納ICT產(chǎn)品或服務的最佳方案。

[1]ISO/IEC 27036-3：2013Information technology—Security techniques—Information security for supplier relationships—Part 3: Guidelines for ICT supply chain

[2]NIST SP800-161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations

[3]Bartol N. Cyber supply chain security practices DNA-Filling in the puzzle using a diverse set of disciplines[J]. Technovation, 2014, 34(7): 354-361.

[4]馬寧. IT供應鏈國家安全審查勢在必行[J]. 中國信息安全，2013（7）：93-93.

[5]謝宗曉. 信息安全合規(guī)性的實施路線探討[J]. 中國標準導報，2015（2）：24-26.

[6]范科峰，趙鴻雁，王惠蒞. ICT供應鏈風險管理標準研究[J]. 信息技術與標準化，2014（6）：20-23.

[7]鄭興艷，劉迎. IT供應鏈安全風險管理標準研究[J]. 信息技術與標準化，2012（6）：16-19.

Study on the ICT Supply Chain Information Security Standard ISO/IEC 27036-3

Xie Zongxiao, Dong Kunxiang
( Business School, Nankai University )

Firstly, we describe the scope and content of information standard ISO/IEC 27036. Then we expound the relevant information risk, implementation requirements and ICT information security riskstandard in the supply process of information security management. Finally, we propose suggestions about how to implement ICT supply chain information security management under the background of China.

information security, ICT supply chain, ISO/IEC 27036-3