ICT供应链信息安全标准ISO/IEC 27036-3及体系分析

谢宗晓　董坤祥（南开大学商学院）

ICT供应链信息安全标准ISO/IEC 27036-3及体系分析

谢宗晓董坤祥
（南开大学商学院）

通过对ISO/IEC 27036信息安全标准体系范围和内容的描述，详细阐述了ICT供应链信息安全管理流程中面临的相关风险，实施信息安全的要求和ICT供应链信息安全的标准内容。最后，提出我国企业在实施ICT供应链信息安全过程中的相关建议。

信息安全ICT供应链ISO/IEC 27036-3

谢宗晓　博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文38篇，出版专著12本。信息安全管理系列之十四

随着信息通信技术和ICT供应链的发展，ICT供应链面临着严峻的信息安全风险考验。欧美等发达国家相继制定了ICT供应链风险管理的标准，但我国尚未制定符合我国国情的ICT供应链信息安全标准。因此，本文通过对ICT供应链国际标准ISO/IEC 27036-3的分析，梳理了ICT供应链面临的相关风险、安全要求和标准内容，以期为我国的ICT供应链信息安全实践提供指导帮助。

谢宗晓（特约编辑）

1　ICT供应链信息安全相关标准体系

随着信息通信技术（ICT）的发展和外包服务的成熟，ICT与供应链的融合越来越紧密。ICT供应链的健康运营和信息安全，对提高供应链节点企业的长期竞争力具有很大的推动作用。但是，由于ICT产品或服务的质量缺陷及供应链的脆弱性，往往导致ICT供应链面临着严峻的信息安全风险的考验。为了加强ICT供应链风险的管理和控制，欧美等国家相继制定了ICT供应链风险管理的标准。目前，关于ICT供应链的相关标准体系有两个：（1）ISO/ IEC 27000信息安全管理体系中ISO/IEC 27036-3，该标准是ICT供应链信息安全指南的国际标准，其明确了供应链关系中信息安全风险的评估和应对措施；（2）2013年美国国家标准与技术研究院（NIST）发布的联邦信息系统和组织的供应链风险管理实践指导草案SP800-161。该指导草案是对ISO/IEC 27036-3标准的完善，是通过ICT供应链风险具体路径、供应链风险管理指标以及其他风险缓解活动将ICT供应链风险管理整合到联邦组织采购ICT产品或服务的风险管理体系中，并形成ICT供应链风险管理标准SP800-161。因为SP800-161主要为联邦机构量身定做，具有一定的局限性，而ISO/IEC 27036是具有普适性的国际主流标准，且具有权威性，故我们主要对供应链信息安全标准ISO/IEC 27036进行分析研究。

2　ISO/IEC 27036标准体系概述

ISO/IEC 27036标准体系由多个标准族集合而成，用于评价和处理供应商在提供服务或产品过程中可能面临的信息安全风险。该标准的制定起因于B2B商业关系中与信息相关产品所产生的信息风险。随着标准的发展，我们认为，只要组织内、外的两个个体存在相互交流或信息交换的情形，都应遵守该信息安全标准体系的要求；但双方不一定产生交易行为，如组织内员工之间的交流或任务的交接等没有产生交易的行为，也应遵守信息安全标准的要求。下面，我们从ISO/IEC 27036标准体系的范围和内容两个方面对ISO/IEC 27036标准进行介绍。

2.1ISO/IEC 27036标准体系的范围

根据国际标准化组织的文件，ISO/IEC 27036标准体系的范围包括：IT产品和服务范围、标准内容、信息安全控制和组织间关系四个方面。

2.1.1IT产品和服务范围

IT产品和服务包括：IT外包和云计算服务，其他专业服务（例如，防火墙设置、设备清洁、通讯设备的维护与保养、专家咨询、知识管理、产品或服务的研发、制造、配送及源代码托管服务等），ICT硬件、软件和服务的供应，定制化的产品和服务，以及水电等产品。

2.1.2标准内容

标准覆盖的内容包括：实施ICT产品和服务时，确保组织战略目标和商业需求的信息安全，降低对供应商的过度依赖。

2.1.3信息安全控制

要对信息安全的内容进行控制，例如均衡事前准备与分析过程中信息安全的成本、风险和利益；产品和服务供应商是否符合ISO/IEC 27001认证；合作开发和运营中的风险分析、安全设计与识别、资产和事故管理等；信息资产的问责制和责任保护制；明确奖惩及审计制度等。

2.1.4组织间关系

组织生命周期内的组织关系管理，包括：（1）初始业务范围分析，即自产还是外包决策、多元化还是单一产品决策，以及信息安全需求的定义；（2）产品或服务的采购分析，如组织的运营管理；（3）产品或服务的更新；（4）终止或结束业务关系，或者重新定义企业的业务范围等。

2.2ISO/IEC 27036标准体系的内容

根据国际标准化组织的相关文件，ISO/IEC 27036《信息技术安全技术供应商关系的信息安全》标准体系主要包括四部分：第1部分：概述和相关概念（ISO/IEC 27036-1）；第2部分：要求（ISO/ IEC 27036-2）；第3部分：ICT供应链安全指南（ISO/ IEC 27036-3）；第4部分：云服务安全指南（ISO/ IEC 27036-4）。ISO/IEC 27036-1和ISO/IEC 27036-2是基本规定，ISO/IEC 27036-3和ISO/IEC 27036-4则是具体操作规范与应用。

2.2.1ISO/IEC 27036标准的概念与相关问题

ISO/IEC 27036-1对ICT供应链所涉及的各个利益相关者和流程进行了规范和定义。例如，需求者是指从另一方获得产品和服务的利益相关者（ISO/ IEC 15288：2008，4.1）；获取是指获得产品或服务的过程（ISO/IEC 15288：2008，4.2）；协议是指工作合作中共同确认的条款和条件（ISO/IEC 15288：2008，4.4）；生命周期是指产品或服务从概念到淘汰的全过程（ISO/IEC 15288：2008，4.11）；流程是指一组将输入转化为输出的相互关联或相互作用的活动（ISO 9000：2005，3.4.1）。其他的相关概念还有，下游组织和上游组织（ISO 28001：2007，3.10）、外包、利益相关者、供应商、供应商关系、供应链、系统、信任、可跟踪性等。

通过上述概念，ISO/IEC 27036分析了供应商关系中的几个问题：（1）供应商关系形成的动机，ICT产品或服务外包不仅可以使企业集中核心业务，减少成本，提高服务水平，还能及时更新ICT产品或服务。（2）供应商关系的类型，主要包括购买ICT产品、ICT服务和云计算三类。（3）供应商关系中的信息安全风险与管理，包括以契约和协议的形式降低供应商关系的信任风险；以严格的质量审查减少产品或服务缺陷；监控与识别组织治理的流程，上下级的沟通，以及组织成员的社会文化差异。（4）ICT供应链管理问题，即完善ICT产品或服务的标准采购流程，且ICT产品或服务必须达到要求的信息安全水平。

2.2.2ISO/IEC 27036标准的结构

由图1可知，ISO/IEC 27036提供了在供应商关系中，如何确保信息安全的多层级国际标准体系。ISO/IEC 27036-1描述了供应商关系中信息安全管理的范围、概念和问题，为ISO/IEC 27036标准体系构建了基本框架。ISO/IEC 27036-2指定了供应商关系中基本的信息安全定义、实现、操作、监控、评估、维护和改善等要求。这些要求支持任何采购和供应的产品和服务，如产品的制造或装配、业务流程采购、软件和硬件的组件、知识流程采购和云计算服务等。ISO/IEC 27036-3提供了具体实施ICT供应链信息安全管理的标准流程。ISO/IEC 27036-4指出云计算在ICT供应链产品和服务中，其应用可能产生的信息安全风险及其管理方法。ISO/IEC 27036标准四个部分的关系如图1所示。

图1　ISO/IEC 27036标准体系结构

3　ISO/IEC 27036-3——ICT供应链信息安全标准

ICT供应链是ICT产品和服务供应关系的集合，有着多样性的物流和多层次的外包。一般而言，这种网链系统是由组织、人员、流程、产品以及与系统开发生命周期配套的服务和基础设施构成。图2描述了组织、上游供应商和下游需求商组成的ICT供应链。图2中相邻的两个组织，一个称为服务或产品的供应商，另一个称为需求客户。在ICT供应链末端的客户又称为消费者，且消费者一般无法控制上游直接供应商或间接供应商的信息安全要求。

图2　ICT供应链关系

3.1ICT供应链相关风险

ICT供应链中往往因个别供应商产品或服务的信息安全风险，而导致整条ICT供应链的需求方和供应商面临风险。同时，因需求方不能干涉供应商的相关程序，而使得需求方无法通过沟通、监视和加强信息安全管理来控制上游供应商的信息安全风险。然而，供应商和需求方共同面临的信息安全风险，往往直接与控制意识不足、ICT产品或服务的拥有权及责任不清等有关。由于供应链中ICT产品和ICT服务所面临的风险有所不同，我们就ICT产品和ICT服务可能的风险进行如表1和表2的分类描述。

表1　ICT产品的相关信息安全风险

表2　ICT服务的相关信息安全风险

3.2ICT 供应链的信息安全要求

需求方之所以接受供应商的产品、配送和服务，是因为需求方期望获得高于自身信息安全水平的标准。这些标准如下所述：

（1）管理影响企业信息连续、信息系统和服务等信息安全的，且与企业环境相关的政策、法律和信息等安全风险。

（2）管理材料和设备的完整性，例如，独特标记和保护标签等。

（3）管理软件和其他电子信息的完整性，例如，哈希函数的加密和数字水印等确保供应商产品不被盗用。

（4）管理配送中产品和服务等设备的物理安全。

（5）管理所有与供应商有商务往来客户、其他客户、与供应商往来的供应商，以及所有需求方的信息安全。

此外，为了合理管理ICT供应链的信息安全，需求方对获得的产品或服务应在组织层面采纳以下标准框架：①建立信息共享和交换的信息安全规章制度；②评价和监督与供应链相关的信息安全风险；③建立ICT供应链协议和信息安全协议的谈判流程；④持续监测并报告ICT供应链内成员的绩效、信息安全和供应商关系的变化。

3.3ICT供应链安全标准的相关内容

在供应链中，供应商和需求方之间信息安全管理和控制的实施，并未使产品或服务的信息安全风险得到充分的管理。需求方对供应商产品和服务的管理是信息安全的关键，因为这需要需求方对供应商的系统具有一定的可见性。同样，供应商也经常因与需求方和供应商的关联性而增加了ICT供应链的信息安全风险。ISO/IEC 27036-3为需求方和供应商提供了ICT产品和服务的信息安全风险管理指南，其相关标准条款是基于ISO/IEC 27036-2、ISO/IEC 15288、ISO/IEC 12207和ISO/IEC 27002，并为ISO/ IEC 27036-2提供了相应的管理实践。

除上述相关标准的内容外，ICT供应链标准也有针对IT产品和服务的内容，例如，产销监管链、最小特权访问、职责分离、防篡改与证据、持续保护、责任管理、代码评估和验证、安全培训、漏洞评估与响应、定义安全预期、知识产权和责任、避免灰色市场、采购流程管理、质量管理、人力资源管理、项目管理、供应商关系管理、风险和安全管理、配置和变更管理、信息管理、安全架构设计、ICT实施、ICT集成、ICT测试、恶意软件防护、ICT管理、维修和处理。上述ICT供应链特有内容和已有的相关标准共同组成ICT供应链信息安全标准体系，如图3所示。

图3　ICT供应链信息安全标准体系

4　我国实施ICT供应链信息安全的建议

由于我国ICT供应链实施背景与欧美等发达国家有所不同，就会导致ICT供应链信息安全的国际标准在国内实施时有水土不服的现象。鉴于此，结合国际标准，我们对国内实施ICT供应链信息安全的管理实践提出以下建议：

（1）融合ISO/IEC 27036-3标准和SP800-161标准。ISO/IEC 27036-3侧重从实施流程的角度对ICT供应链中IT产品和ICT服务的信息安全风险管理分别进行描述和分析，并指出ICT供应链信息安全的架构设计、实施、集成、测试、恶意软件防护、管理、维修和处理。与ISO/IEC 27036-3不同，SP800-161是从组织层面分析不同组织层次面临的信息安全风险问题。SP800-161标准从组织内部到外部服务商和系统集成商，再到ICT产品和服务的提供商，通过组织内外的脆弱性分析和威胁因素分析，明确了组织面临的ICT供应链信息安全风险。通过对比ISO/IEC 27036-3标准和SP800-161标准的异同，我们认为我国在实施ICT供应链信息安全风险管理过程中要点、线结合，即：以组织的信息安全管理为点，以整条ICT供应链为线，同时从两个角度全面分析ICT供应链所面临的全部可能的信息安全风险，并对安全隐患加以控制。

（2）制定符合组织自身发展需求的ICT供应链风险管理方案。我国ICT产品或服务来源于两个方面：一是，国外ICT产品或服务的提供商；二是，国内ICT产品或服务的提供商。使用国外ICT产品或服务的提供商，能够充分保证ICT供应链中信息传递的效率、完整性、稳定性；但是，增加了泄露ICT供应链信息的风险。使用国内ICT产品或服务的提供商，能够降低ICT产品或服务的成本；但是，却难以确保ICT产品或服务的稳定性和完整性。因此，我国的组织或企业在实施ICT供应链信息安全管理过程中，应根据企业自身对信息安全水平要求和ICT实施成本，确定采纳ICT产品或服务的最佳方案。

[1]ISO/IEC 27036-3：2013Information technology—Security techniques—Information security for supplier relationships—Part 3: Guidelines for ICT supply chain

[2]NIST SP800-161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations

[3]Bartol N. Cyber supply chain security practices DNA-Filling in the puzzle using a diverse set of disciplines[J]. Technovation, 2014, 34(7): 354-361.

[4]马宁. IT供应链国家安全审查势在必行[J]. 中国信息安全，2013（7）：93-93.

[5]谢宗晓. 信息安全合规性的实施路线探讨[J]. 中国标准导报，2015（2）：24-26.

[6]范科峰，赵鸿雁，王惠莅. ICT供应链风险管理标准研究[J]. 信息技术与标准化，2014（6）：20-23.

[7]郑兴艳，刘迎. IT供应链安全风险管理标准研究[J]. 信息技术与标准化，2012（6）：16-19.

Study on the ICT Supply Chain Information Security Standard ISO/IEC 27036-3

Xie Zongxiao, Dong Kunxiang
( Business School, Nankai University )

Firstly, we describe the scope and content of information standard ISO/IEC 27036. Then we expound the relevant information risk, implementation requirements and ICT information security riskstandard in the supply process of information security management. Finally, we propose suggestions about how to implement ICT supply chain information security management under the background of China.

information security, ICT supply chain, ISO/IEC 27036-3