ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036—3及體系論文

　　通過對(duì)ISO/IEC 27036信息安全標(biāo)準(zhǔn)體系范圍和內(nèi)容的描述，詳細(xì)闡述了ICT供應(yīng)鏈信息安全管理流程中面臨的相關(guān)風(fēng)險(xiǎn)，實(shí)施信息安全的要求和ICT供應(yīng)鏈信息安全的標(biāo)準(zhǔn)內(nèi)容。最后，提出我國(guó)企業(yè)在實(shí)施ICT供應(yīng)鏈信息安全過程中的相關(guān)建議。

　　1 ICT供應(yīng)鏈信息安全相關(guān)標(biāo)準(zhǔn)體系

　　隨著信息通信技術(shù)(ICT)的發(fā)展和外包服務(wù)的成熟，ICT與供應(yīng)鏈的融合越來越緊密。ICT供應(yīng)鏈的健康運(yùn)營(yíng)和信息安全，對(duì)提高供應(yīng)鏈節(jié)點(diǎn)企業(yè)的長(zhǎng)期競(jìng)爭(zhēng)力具有很大的推動(dòng)作用。但是，由于ICT產(chǎn)品或服務(wù)的質(zhì)量缺陷及供應(yīng)鏈的脆弱性，往往導(dǎo)致ICT供應(yīng)鏈面臨著嚴(yán)峻的信息安全風(fēng)險(xiǎn)的考驗(yàn)。

　　為了加強(qiáng)ICT供應(yīng)鏈風(fēng)險(xiǎn)的管理和控制，歐美等國(guó)家相繼制定了ICT供應(yīng)鏈風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)。目前，關(guān)于ICT供應(yīng)鏈的相關(guān)標(biāo)準(zhǔn)體系有兩個(gè)：(1)ISO/IEC 27000信息安全管理體系中ISO/IEC 27036-3，該標(biāo)準(zhǔn)是ICT供應(yīng)鏈信息安全指南的國(guó)際標(biāo)準(zhǔn)，其明確了供應(yīng)鏈關(guān)系中信息安全風(fēng)險(xiǎn)的評(píng)估和應(yīng)對(duì)措施;(2)2013年美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布的聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐指導(dǎo)草案SP800-161。該指導(dǎo)草案是對(duì)ISO/IEC 27036-3標(biāo)準(zhǔn)的完善，是通過ICT供應(yīng)鏈風(fēng)險(xiǎn)具體路徑、供應(yīng)鏈風(fēng)險(xiǎn)管理指標(biāo)以及其他風(fēng)險(xiǎn)緩解活動(dòng)將ICT供應(yīng)鏈風(fēng)險(xiǎn)管理整合到聯(lián)邦組織采購(gòu)ICT產(chǎn)品或服務(wù)的風(fēng)險(xiǎn)管理體系中，并形成ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)SP800-161。

　　因?yàn)镾P800-161主要為聯(lián)邦機(jī)構(gòu)量身定做，具有一定的局限性，而ISO/IEC 27036是具有普適性的國(guó)際主流標(biāo)準(zhǔn)，且具有權(quán)威性，故我們主要對(duì)供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036進(jìn)行分析研究。

　　2 ISO/IEC 27036標(biāo)準(zhǔn)體系概述

　　ISO/IEC 27036標(biāo)準(zhǔn)體系由多個(gè)標(biāo)準(zhǔn)族集合而成，用于評(píng)價(jià)和處理供應(yīng)商在提供服務(wù)或產(chǎn)品過程中可能面臨的信息安全風(fēng)險(xiǎn)。該標(biāo)準(zhǔn)的制定起因于B2B商業(yè)關(guān)系中與信息相關(guān)產(chǎn)品所產(chǎn)生的信息風(fēng)險(xiǎn)。隨著標(biāo)準(zhǔn)的發(fā)展，我們認(rèn)為，只要組織內(nèi)、外的兩個(gè)個(gè)體存在相互交流或信息交換的情形，都應(yīng)遵守該信息安全標(biāo)準(zhǔn)體系的要求;但雙方不一定產(chǎn)生交易行為，如組織內(nèi)員工之間的交流或任務(wù)的交接等沒有產(chǎn)生交易的行為，也應(yīng)遵守信息安全標(biāo)準(zhǔn)的要求。下面，我們從ISO/IEC 27036標(biāo)準(zhǔn)體系的范圍和內(nèi)容兩個(gè)方面對(duì)ISO/IEC 27036標(biāo)準(zhǔn)進(jìn)行介紹。

　　2.1 ISO/IEC 27036標(biāo)準(zhǔn)體系的范圍

　　根據(jù)國(guó)際標(biāo)準(zhǔn)化組織的文件，ISO/IEC 27036標(biāo)準(zhǔn)體系的范圍包括：IT產(chǎn)品和服務(wù)范圍、標(biāo)準(zhǔn)內(nèi)容、信息安全控制和組織間關(guān)系四個(gè)方面。

　　2.1.1 IT產(chǎn)品和服務(wù)范圍

　　IT產(chǎn)品和服務(wù)包括：IT外包和云計(jì)算服務(wù)，其他專業(yè)服務(wù)(例如，防火墻設(shè)置、設(shè)備清潔、通訊設(shè)備的維護(hù)與保養(yǎng)、專家咨詢、知識(shí)管理、產(chǎn)品或服務(wù)的研發(fā)、制造、配送及源代碼托管服務(wù)等)，ICT硬件、軟件和服務(wù)的供應(yīng)，定制化的產(chǎn)品和服務(wù)，以及水電等產(chǎn)品。

　　2.1.2 標(biāo)準(zhǔn)內(nèi)容

　　標(biāo)準(zhǔn)覆蓋的內(nèi)容包括：實(shí)施ICT產(chǎn)品和服務(wù)時(shí)，確保組織戰(zhàn)略目標(biāo)和商業(yè)需求的信息安全，降低對(duì)供應(yīng)商的過度依賴。

　　2.1.3 信息安全控制

　　要對(duì)信息安全的內(nèi)容進(jìn)行控制，例如均衡事前準(zhǔn)備與分析過程中信息安全的成本、風(fēng)險(xiǎn)和利益;產(chǎn)品和服務(wù)供應(yīng)商是否符合ISO/IEC 27001認(rèn)證;合作開發(fā)和運(yùn)營(yíng)中的風(fēng)險(xiǎn)分析、安全設(shè)計(jì)與識(shí)別、資產(chǎn)和事故管理等;信息資產(chǎn)的問責(zé)制和責(zé)任保護(hù)制;明確獎(jiǎng)懲及審計(jì)制度等。

　　2.1.4 組織間關(guān)系

　　組織生命周期內(nèi)的組織關(guān)系管理，包括：(1)初始業(yè)務(wù)范圍分析，即自產(chǎn)還是外包決策、多元化還是單一產(chǎn)品決策，以及信息安全需求的定義;(2)產(chǎn)品或服務(wù)的采購(gòu)分析，如組織的運(yùn)營(yíng)管理;(3)產(chǎn)品或服務(wù)的更新;(4)終止或結(jié)束業(yè)務(wù)關(guān)系，或者重新定義企業(yè)的業(yè)務(wù)范圍等。

　　2.2 ISO/IEC 27036標(biāo)準(zhǔn)體系的內(nèi)容

　　根據(jù)國(guó)際標(biāo)準(zhǔn)化組織的相關(guān)文件，ISO/IEC 27036《信息技術(shù) 安全技術(shù) 供應(yīng)商關(guān)系的信息安全》標(biāo)準(zhǔn)體系主要包括四部分：第1部分：概述和相關(guān)概念(ISO/IEC 27036-1);第2部分：要求(ISO/IEC 27036-2);第3部分：ICT供應(yīng)鏈安全指南(ISO/IEC 27036-3);第4部分：云服務(wù)安全指南(ISO/IEC 27036-4)。ISO/IEC 27036-1和ISO/IEC 27036-2是基本規(guī)定，ISO/IEC 27036-3和ISO/IEC 27036-4則是具體操作規(guī)范與應(yīng)用。

　　2.2.1 ISO/IEC 27036標(biāo)準(zhǔn)的概念與相關(guān)問題

　　ISO/IEC 27036-1對(duì)ICT供應(yīng)鏈所涉及的各個(gè)利益相關(guān)者和流程進(jìn)行了規(guī)范和定義。例如，需求者是指從另一方獲得產(chǎn)品和服務(wù)的利益相關(guān)者(ISO/IEC 15288：2008，4.1);獲取是指獲得產(chǎn)品或服務(wù)的過程(ISO/IEC 15288：2008，4.2);協(xié)議是指工作合作中共同確認(rèn)的條款和條件(ISO/IEC 15288：2008，4.4);生命周期是指產(chǎn)品或服務(wù)從概念到淘汰的全過程(ISO/IEC 15288：2008，4.11);流程是指一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)(ISO 9000：2005，3.4.1)。其他的相關(guān)概念還有，下游組織和上游組織(ISO 28001：2007，3.10)、 外包、利益相關(guān)者、供應(yīng)商、供應(yīng)商關(guān)系、供應(yīng)鏈、系統(tǒng)、信任、可跟蹤性等。

　　通過上述概念，ISO/IEC 27036分析了供應(yīng)商關(guān)系中的幾個(gè)問題：(1)供應(yīng)商關(guān)系形成的動(dòng)機(jī)，ICT產(chǎn)品或服務(wù)外包不僅可以使企業(yè)集中核心業(yè)務(wù)，減少成本，提高服務(wù)水平，還能及時(shí)更新ICT產(chǎn)品或服務(wù)。(2)供應(yīng)商關(guān)系的類型，主要包括購(gòu)買ICT產(chǎn)品、ICT服務(wù)和云計(jì)算三類。(3)供應(yīng)商關(guān)系中的信息安全風(fēng)險(xiǎn)與管理，包括以契約和協(xié)議的形式降低供應(yīng)商關(guān)系的信任風(fēng)險(xiǎn);以嚴(yán)格的質(zhì)量審查減少產(chǎn)品或服務(wù)缺陷;監(jiān)控與識(shí)別組織治理的流程，上下級(jí)的溝通，以及組織成員的社會(huì)文化差異。(4)ICT供應(yīng)鏈管理問題，即完善ICT產(chǎn)品或服務(wù)的標(biāo)準(zhǔn)采購(gòu)流程，且ICT產(chǎn)品或服務(wù)必須達(dá)到要求的信息安全水平。

　　2.2.2 ISO/IEC 27036標(biāo)準(zhǔn)的結(jié)構(gòu)

　　由圖1可知，ISO/IEC 27036提供了在供應(yīng)商關(guān)系中，如何確保信息安全的多層級(jí)國(guó)際標(biāo)準(zhǔn)體系。ISO/IEC 27036-1描述了供應(yīng)商關(guān)系中信息安全管理的范圍、概念和問題，為ISO/IEC 27036標(biāo)準(zhǔn)體系構(gòu)建了基本框架。ISO/IEC 27036-2指定了供應(yīng)商關(guān)系中基本的信息安全定義、實(shí)現(xiàn)、操作、監(jiān)控、評(píng)估、維護(hù)和改善等要求。這些要求支持任何采購(gòu)和供應(yīng)的產(chǎn)品和服務(wù)，如產(chǎn)品的制造或裝配、業(yè)務(wù)流程采購(gòu)、軟件和硬件的組件、知識(shí)流程采購(gòu)和云計(jì)算服務(wù)等。ISO/IEC 27036-3提供了具體實(shí)施ICT供應(yīng)鏈信息安全管理的標(biāo)準(zhǔn)流程。ISO/IEC 27036-4指出云計(jì)算在ICT供應(yīng)鏈產(chǎn)品和服務(wù)中，其應(yīng)用可能產(chǎn)生的信息安全風(fēng)險(xiǎn)及其管理方法。ISO/IEC 27036標(biāo)準(zhǔn)四個(gè)部分的關(guān)系如圖1所示。

　　3 ISO/IEC 27036-3——ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)

　　ICT供應(yīng)鏈?zhǔn)荌CT產(chǎn)品和服務(wù)供應(yīng)關(guān)系的集合，有著多樣性的物流和多層次的外包。一般而言，這種網(wǎng)鏈系統(tǒng)是由組織、人員、流程、產(chǎn)品以及與系統(tǒng)開發(fā)生命周期配套的服務(wù)和基礎(chǔ)設(shè)施構(gòu)成。圖2描述了組織、上游供應(yīng)商和下游需求商組成的ICT供應(yīng)鏈。圖2中相鄰的兩個(gè)組織，一個(gè)稱為服務(wù)或產(chǎn)品的供應(yīng)商，另一個(gè)稱為需求客戶。在ICT供應(yīng)鏈末端的客戶又稱為消費(fèi)者，且消費(fèi)者一般無法控制上游直接供應(yīng)商或間接供應(yīng)商的信息安全要求。

　　3.1 ICT供應(yīng)鏈相關(guān)風(fēng)險(xiǎn)

　　ICT供應(yīng)鏈中往往因個(gè)別供應(yīng)商產(chǎn)品或服務(wù)的信息安全風(fēng)險(xiǎn)，而導(dǎo)致整條ICT供應(yīng)鏈的需求方和供應(yīng)商面臨風(fēng)險(xiǎn)。同時(shí)，因需求方不能干涉供應(yīng)商的相關(guān)程序，而使得需求方無法通過溝通、監(jiān)視和加強(qiáng)信息安全管理來控制上游供應(yīng)商的信息安全風(fēng)險(xiǎn)。然而，供應(yīng)商和需求方共同面臨的信息安全風(fēng)險(xiǎn)，往往直接與控制意識(shí)不足、ICT產(chǎn)品或服務(wù)的擁有權(quán)及責(zé)任不清等有關(guān)。由于供應(yīng)鏈中ICT產(chǎn)品和ICT服務(wù)所面臨的風(fēng)險(xiǎn)有所不同，我們就ICT產(chǎn)品和ICT服務(wù)可能的風(fēng)險(xiǎn)進(jìn)行如表1和表2的分類描述。

　　3.2 ICT 供應(yīng)鏈的信息安全要求

　　需求方之所以接受供應(yīng)商的產(chǎn)品、配送和服務(wù)，是因?yàn)樾枨蠓狡谕�獲得高于自身信息安全水平的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)如下所述：

　　(1)管理影響企業(yè)信息連續(xù)、信息系統(tǒng)和服務(wù)等信息安全的，且與企業(yè)環(huán)境相關(guān)的政策、法律和信息等安全風(fēng)險(xiǎn)。

　　(2)管理材料和設(shè)備的完整性，例如，獨(dú)特標(biāo)記和保護(hù)標(biāo)簽等。

　　(3)管理軟件和其他電子信息的完整性，例如，哈希函數(shù)的加密和數(shù)字水印等確保供應(yīng)商產(chǎn)品不被盜用。

　　(4)管理配送中產(chǎn)品和服務(wù)等設(shè)備的物理安全。

　　(5)管理所有與供應(yīng)商有商務(wù)往來客戶、其他客戶、與供應(yīng)商往來的供應(yīng)商，以及所有需求方的信息安全。

　　此外，為了合理管理ICT供應(yīng)鏈的信息安全，需求方對(duì)獲得的產(chǎn)品或服務(wù)應(yīng)在組織層面采納以下標(biāo)準(zhǔn)框架：①建立信息共享和交換的信息安全規(guī)章制度;②評(píng)價(jià)和監(jiān)督與供應(yīng)鏈相關(guān)的信息安全風(fēng)險(xiǎn);③建立ICT供應(yīng)鏈協(xié)議和信息安全協(xié)議的談判流程;④持續(xù)監(jiān)測(cè)并報(bào)告ICT供應(yīng)鏈內(nèi)成員的績(jī)效、信息安全和供應(yīng)商關(guān)系的變化。

　　3.3 ICT供應(yīng)鏈安全標(biāo)準(zhǔn)的相關(guān)內(nèi)容

　　在供應(yīng)鏈中，供應(yīng)商和需求方之間信息安全管理和控制的實(shí)施，并未使產(chǎn)品或服務(wù)的信息安全風(fēng)險(xiǎn)得到充分的管理。需求方對(duì)供應(yīng)商產(chǎn)品和服務(wù)的管理是信息安全的關(guān)鍵，因?yàn)檫@需要需求方對(duì)供應(yīng)商的系統(tǒng)具有一定的可見性。同樣，供應(yīng)商也經(jīng)常因與需求方和供應(yīng)商的關(guān)聯(lián)性而增加了ICT供應(yīng)鏈的信息安全風(fēng)險(xiǎn)。ISO/IEC 27036-3為需求方和供應(yīng)商提供了ICT產(chǎn)品和服務(wù)的信息安全風(fēng)險(xiǎn)管理指南，其相關(guān)標(biāo)準(zhǔn)條款是基于ISO/IEC 27036-2、ISO/IEC 15288、ISO/IEC 12207和ISO/IEC 27002，并為ISO/IEC 27036-2提供了相應(yīng)的管理實(shí)踐。

　　除上述相關(guān)標(biāo)準(zhǔn)的內(nèi)容外，ICT供應(yīng)鏈標(biāo)準(zhǔn)也有針對(duì)IT產(chǎn)品和服務(wù)的內(nèi)容，例如，產(chǎn)銷監(jiān)管鏈、最小特權(quán)訪問、職責(zé)分離防篡改與證據(jù)、持續(xù)保護(hù)、責(zé)任管理、代碼評(píng)估和驗(yàn)證、安全培訓(xùn)、漏洞評(píng)估與響應(yīng)、定義安全預(yù)期、知識(shí)產(chǎn)權(quán)和責(zé)任、避免灰色市場(chǎng)、采購(gòu)流程管理、質(zhì)量管理、人力資源管理、項(xiàng)目管理、供應(yīng)商關(guān)系管理、風(fēng)險(xiǎn)和安全管理、配置和變更管理、信息管理、安全架構(gòu)設(shè)計(jì)、ICT實(shí)施、ICT集成、ICT測(cè)試、惡意軟件防護(hù)、ICT管理、維修和處理。上述ICT供應(yīng)鏈特有內(nèi)容和已有的相關(guān)標(biāo)準(zhǔn)共同組成ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)體系，如圖3所示。

　　4 我國(guó)實(shí)施ICT供應(yīng)鏈信息安全的建議

　　由于我國(guó)ICT供應(yīng)鏈實(shí)施背景與歐美等發(fā)達(dá)國(guó)家有所不同，就會(huì)導(dǎo)致ICT供應(yīng)鏈信息安全的國(guó)際標(biāo)準(zhǔn)在國(guó)內(nèi)實(shí)施時(shí)有水土不服的現(xiàn)象。鑒于此，結(jié)合國(guó)際標(biāo)準(zhǔn)，我們對(duì)國(guó)內(nèi)實(shí)施ICT供應(yīng)鏈信息安全的管理實(shí)踐提出以下建議：

　　(1)融合ISO/IEC 27036-3標(biāo)準(zhǔn)和SP800-161標(biāo)準(zhǔn)。ISO/IEC 27036-3側(cè)重從實(shí)施流程的角度對(duì)ICT供應(yīng)鏈中IT產(chǎn)品和ICT服務(wù)的信息安全風(fēng)險(xiǎn)管理分別進(jìn)行描述和分析，并指出ICT供應(yīng)鏈信息安全的架構(gòu)設(shè)計(jì)、實(shí)施、集成、測(cè)試、惡意軟件防護(hù)、管理、維修和處理。與ISO/IEC 27036-3不同，SP800-161是從組織層面分析不同組織層次面臨的信息安全風(fēng)險(xiǎn)問題。

　　SP800-161標(biāo)準(zhǔn)從組織內(nèi)部到外部服務(wù)商和系統(tǒng)集成商，再到ICT產(chǎn)品和服務(wù)的提供商，通過組織內(nèi)外的脆弱性分析和威脅因素分析，明確了組織面臨的ICT供應(yīng)鏈信息安全風(fēng)險(xiǎn)。通過對(duì)比ISO/IEC 27036-3標(biāo)準(zhǔn)和SP800-161標(biāo)準(zhǔn)的異同，我們認(rèn)為我國(guó)在實(shí)施ICT供應(yīng)鏈信息安全風(fēng)險(xiǎn)管理過程中要點(diǎn)、線結(jié)合，即：以組織的信息安全管理為點(diǎn)，以整條ICT供應(yīng)鏈為線，同時(shí)從兩個(gè)角度全面分析ICT供應(yīng)鏈所面臨的全部可能的信息安全風(fēng)險(xiǎn)，并對(duì)安全隱患加以控制。

　　(2)制定符合組織自身發(fā)展需求的ICT供應(yīng)鏈風(fēng)險(xiǎn)管理方案。我國(guó)ICT產(chǎn)品或服務(wù)來源于兩個(gè)方面：一是，國(guó)外ICT產(chǎn)品或服務(wù)的提供商;二是，國(guó)內(nèi)ICT產(chǎn)品或服務(wù)的提供商。使用國(guó)外ICT產(chǎn)品或服務(wù)的提供商，能夠充分保證ICT供應(yīng)鏈中信息傳遞的效率、完整性、穩(wěn)定性;但是，增加了泄露ICT供應(yīng)鏈信息的風(fēng)險(xiǎn)。

　　使用國(guó)內(nèi)ICT產(chǎn)品或服務(wù)的提供商，能夠降低ICT產(chǎn)品或服務(wù)的成本;但是，卻難以確保ICT產(chǎn)品或服務(wù)的穩(wěn)定性和完整性。因此，我國(guó)的組織或企業(yè)在實(shí)施ICT供應(yīng)鏈信息安全管理過程中，應(yīng)根據(jù)企業(yè)自身對(duì)信息安全水平要求和ICT實(shí)施成本，確定采納ICT產(chǎn)品或服務(wù)的最佳方案。

【ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036—3及體系論文】相關(guān)文章：

數(shù)據(jù)信息安全體系構(gòu)建論文10-09

高職信息安全保障體系構(gòu)建與運(yùn)用論文10-09

關(guān)于指揮信息系統(tǒng)信息安全防護(hù)體系的構(gòu)建論文10-09

關(guān)于發(fā)電廠信息安全體系構(gòu)建的論文10-08

保障體系構(gòu)建下的檔案信息安全的研究論文10-09

企業(yè)信息安全防護(hù)體系探索與實(shí)踐論文10-11

中國(guó)建材集團(tuán)信息安全防護(hù)體系研究論文10-09

數(shù)字檔案信息安全保障體系分析優(yōu)秀論文10-09

金控體系下信息安全防護(hù)網(wǎng)構(gòu)建論文10-11

電力系統(tǒng)信息安全防護(hù)體系探討論文10-11