GB/T 36637—2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》淺析

謝宗曉　甄杰

ISO/IEC 27001：2013與ISO/IEC 27001：2005相比較，一個(gè)顯著的變化是，在附錄A的安全域中加入了“A.15 Supplier relationships”（供應(yīng)商關(guān)系）[1-2]。基于此，后續(xù)在ISO/IEC 27000標(biāo)準(zhǔn)中發(fā)布了ISO/IEC 27036，該標(biāo)準(zhǔn)在下文中有介紹。

隨著ICT（Information and Communication Technology，信息通信技術(shù)）的普及應(yīng)用，加強(qiáng)其供應(yīng)鏈安全可控保障的重要性是顯而易見(jiàn)的。因此，在國(guó)家標(biāo)準(zhǔn)中，GB/T 36637—2018在2018年10月10日公布，將在2019年5月1日正式實(shí)施。

1 ICT供應(yīng)鏈的概念

對(duì)于“ICT供應(yīng)鏈”的概念，在GB/T 36637—2018中，不僅在3.4中給出了定義，而且在附錄A中還做了詳細(xì)的介紹。ICT供應(yīng)鏈的具體定義如下：

ICT產(chǎn)品和服務(wù)的供應(yīng)鏈，是指為滿足供應(yīng)關(guān)系通過(guò)資源和過(guò)程將需方、供方相互連接的網(wǎng)鏈結(jié)構(gòu)，可用于將ICT的產(chǎn)品和服務(wù)提供給需方。

其中將ICT供應(yīng)鏈定義為由多個(gè)上游與下游組織相互連接形成的“網(wǎng)鏈結(jié)構(gòu)”，在這其中，通常包括需方和供方（供應(yīng)商）兩種基本的角色，需方和供方之間存在供應(yīng)關(guān)系，供應(yīng)關(guān)系是錯(cuò)綜復(fù)雜的，一個(gè)組織對(duì)上游而言是需方，對(duì)下游而言是供方。

值得注意的是，在ISO/IEC 27036中，4個(gè)部分的通用標(biāo)題命名為“供應(yīng)商關(guān)系”，可能是因?yàn)镮SO/IEC 27001：2013的A.15包括了2個(gè)條款，分別為：“A.15.1 Information security in supplier relationships”（供應(yīng)商關(guān)系中的信息安全）和“A.15.2 Supplier service delivery management”（供應(yīng)商服務(wù)交付管理），ISO/IEC 27036主要對(duì)應(yīng)A.15.1。

從上述詞匯分析，在供應(yīng)關(guān)系中，需方和供方之間是對(duì)等的，而“供應(yīng)商關(guān)系”詞匯的視角應(yīng)該是需方，即從購(gòu)買ICT產(chǎn)品和服務(wù)的角度，這也符合ISO/IEC 27001：2013的視角。“ICT供應(yīng)鏈”的視角更為客觀一些，應(yīng)該強(qiáng)調(diào)供需雙方，在范圍中，GB/T 36637—2018指出標(biāo)準(zhǔn)適用于“重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供方和運(yùn)營(yíng)者對(duì)ICT供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)管理，也適用于指導(dǎo)ICT產(chǎn)品和服務(wù)的供方和需方加強(qiáng)供應(yīng)鏈安全管理”。

2 標(biāo)準(zhǔn)的架構(gòu)及主要內(nèi)容

GB/T 36637—2018正文分為7章，并包含了3個(gè)附錄，主要內(nèi)容為第5、6、7章。

第5章為概述，實(shí)際是描述了ICT供應(yīng)鏈的安全要求，包括完整性、保密性、可用性和可控性。

第6章介紹了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的過(guò)程，其中明確地提出：組織宜按照GB/T 31722—2015《信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理》的規(guī)定建立ICT供應(yīng)鏈風(fēng)險(xiǎn)管理過(guò)程，也可將ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理分散到對(duì)ICT生命周期各環(huán)節(jié)、ICT供應(yīng)鏈基礎(chǔ)設(shè)施、外部供應(yīng)商的風(fēng)險(xiǎn)管理活動(dòng)中。也就是說(shuō)，是否建立單獨(dú)的ICT供應(yīng)鏈風(fēng)險(xiǎn)管理過(guò)程是可選項(xiàng)，嵌入或者整合入其他活動(dòng)中也是可以接受的方法。

與通用的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)不同，GB/T 36637—2018第7章還給出了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)的控制措施，控制措施的大類則沿用了GB/T 22239—2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的架構(gòu)，分為“技術(shù)安全措施”和“管理安全措施”。

GB/T 36637—2018中3個(gè)附錄均為資料性附錄，其中附錄A重新解讀了ICT供應(yīng)鏈，附錄B討論了ICT供應(yīng)鏈的安全威脅，附錄C則討論了ICT供應(yīng)鏈的安全脆弱性。在附錄中給出常見(jiàn)的威脅和脆弱性是常見(jiàn)信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)的通用慣例，例如，ISO/IEC 27005：2018中附錄C和附錄D。

3 與通用風(fēng)險(xiǎn)管理的比較

如上所述，GB/T 36637—2018沿用了GB/T 31722—2015（ISO/IEC 27005：2008，IDT）的整體框架，因此與通用信息安全風(fēng)險(xiǎn)管理框架保持了一致。ISO/IEC 27005的最新版本為ISO/IEC 27005：2018 《信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理》（Information technology — Security techniques — Information security risk management）。最新的2018版是ISO/IEC 27005的第3版，之前分別有2011版和2008版。關(guān)于ISO/IEC 27005：2018的詳細(xì)介紹，請(qǐng)參考文獻(xiàn)[3]。

如上所述，就GB/T 36637—2018的整個(gè)架構(gòu)而言，與通用的信息安全管理框架相比較，幾乎沒(méi)有區(qū)別。ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的區(qū)別，主要體現(xiàn)在具體的細(xì)節(jié)中。GB/T 36637—2018中ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的主要過(guò)程包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置，而風(fēng)險(xiǎn)評(píng)估又可以細(xì)分為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)，其具體過(guò)程如圖1所示。

圖1 ICT供應(yīng)鏈風(fēng)險(xiǎn)管理過(guò)程

4 其他參考的相關(guān)文獻(xiàn)

在國(guó)際標(biāo)準(zhǔn)中，已經(jīng)發(fā)布有ISO/IEC 27036，該標(biāo)準(zhǔn)分為4部分，通用標(biāo)題為供應(yīng)商關(guān)系信息安全（Information security for supplier relationships），各部分標(biāo)題，具體如表1所示。

對(duì)ISO/IEC 27036-3：2013較為詳細(xì)的介紹參見(jiàn)本文的參考文獻(xiàn)[4]。

NIST（National Institute of Standards and Technology，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）于2015年發(fā)布了NIST SP800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐》，實(shí)際在2013年NIST就發(fā)布了該標(biāo)準(zhǔn)的草案。NIST SP800-161沿用了NIST SP800-39《管理信息系統(tǒng)風(fēng)險(xiǎn)：組織、任務(wù)與信息系統(tǒng)視角》的框架，即分為：組織、任務(wù)/業(yè)務(wù)過(guò)程和信息系統(tǒng)不同的3個(gè)層次，但是沒(méi)有和GB/T 36637—2018似的，沿用相應(yīng)的信息安全風(fēng)險(xiǎn)評(píng)估/管理過(guò)程，即NIST SP800-30《風(fēng)險(xiǎn)評(píng)估實(shí)施指南》，其中倒是大量參考了NIST SP800-53《聯(lián)邦信息系統(tǒng)和組織隱私與安全控制》。關(guān)于NIST SP800-161，在本文的參考文獻(xiàn)[5]中有較為詳細(xì)的介紹。

5 小結(jié)

GB/T 36637—2018的本質(zhì)是描述了一個(gè)基于ISO/IEC 27005的信息安全風(fēng)險(xiǎn)管理框架在ICT供應(yīng)鏈領(lǐng)域的應(yīng)用，在此基礎(chǔ)上，給出了一個(gè)適用于該領(lǐng)域的控制措施集，這對(duì)于當(dāng)前國(guó)際形勢(shì)下的ICT供應(yīng)鏈安全風(fēng)險(xiǎn)的管理具有重要的意義。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無(wú)關(guān)）

參考文獻(xiàn)

[1] 謝宗曉.信息安全管理體系實(shí)施指南[M].北京：中國(guó)質(zhì)檢出版社/中國(guó)標(biāo)準(zhǔn)出版社，2016.

[2] 白云廣，謝宗曉.ISO/IEC 27001：2013概述與改版分析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2014（12）：45-48.

[3] 謝宗曉，許定航.ISO/IEC 27005：2018解讀及其三次版本演化[J].中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2018（9）：16-18.

[4] 謝宗曉，董坤祥.ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036-3及體系分析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)， 2016（3）：16-21.

[5] 董坤祥，謝宗曉.ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)NIST SP800-161探析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)， 2015（11）：34-37，41.