ISO/IEC 27036供应商关系信息安全系列标准浅析

谢宗晓　甄杰

1 标准架构及概述

ISO/IEC 27036通用标题为供应商关系信息安全（Information security for supplier relationships），该标准目前发布有4个部分，各部分标题及其发布时间，如表1所示。

作为ISO/IEC 27000标准族成员，ISO/IEC 27036的标题与ISO/IEC 27001：2013描述略有不同，ISO/IEC 27001：2013的描述为“A.15.1 Information security in supplier relationships”（供应商关系中的信息安全）。

2 ISO/IEC 27036-1介绍

ISO/IEC 27036-1：2014主要介绍了相关的定义，并概述了ISO/IEC 27036的4个部分主要内容。该标准规范性引用了ISO/IEC 270001），但其中定义，更多的来自ISO/IEC 15288： 2008和ISO 28001：2007等标准，相关标准的信息如表2所示。

ISO/IEC 27036-1：2014正文共有6章，前4章为通用条款，第5章定义了主要问题和概念，第6章介绍了ISO/IEC 27036的架构与概述。由于下文中会介绍ISO/IEC 27036-2～4：2014三部分标准，因此第6章在此处不再详细讨论。第5章首先介绍了建立供应商关系管理的动机、供应商关系的类型，之后分析了其中相关的威胁與信息安全风险以及相应的风险管理，最后讨论了一些其他注意事项。注意其中将供应商的类型分为产品供应商和服务供应商的同时，也定义了供应链的概念，并且将“云计算”作为单独一种形态讨论。

3 ISO/IEC 27036-2介绍

ISO/IEC 27036-2：2014定义了供应商关系信息安全的要求，考虑ISO/IEC 27001： 2013为信息安全管理体系要求，就功能而言，这两个标准存在相似之处，但是ISO/IEC 27001： 2013主要依据PDCA（Plan—Do—Check—Act）的“戴明环”架构，ISO/IEC 27036-2：2014则主要依据ISO/IEC 15288： 2008的系统生命周期。ISO/IEC 27036-2：2014正文共有7章，并有3个规范性附录。其中前4章为通用条款，第5章介绍了ISO/IEC 27036-2大致的架构。

第6章基本沿用了ISO/IEC 15288：2008的架构，其中包括：协议过程组、组织的项目使能过程组、项目管理过程组和技术过程组。协议过程组又分为采办过程和供应过程，我们以采办过程组为例说明其中要素，由于ISO/IEC 15288：2008步骤更清晰，所以表3中给出了对比。

第7章定义了适用于单独需求方和供应商情况下的基本信息安全要求，其中包括如表4所示的生命周期。

附录A和附录B将ISO/IEC 27036-2：2014的条款与ISO/IEC 15288： 2008和ISO/IEC 27002： 2013的条款做了映射。附录C则给出了条款6和条款7的目标（objective）。

4 ISO/IEC 27036-3介绍

ISO/IEC 27036-3：2013是专门关于ICT供应链风险管理的标准，也是真正与ISO/IEC 27001：2013和ISO/IEC 27002： 2013结合紧密的部分，不仅如此，ICT供应链风险管理与ISO/IEC 27031：2011《信息技术 安全技术 ICT业务连续性指南》（Information technology—Security techniques—Guidelines for information and communication technology readiness for business continuity）也应该结合考虑。

ISO/IEC 27036-3：2013正文共有6章，前4章为通用章节，第5章介绍了主要的相关概念，第6章讨论了生命周期过程中的ICT供应链安全。ISO/IEC 27036-3：2013还包括了2个规范性附录，附录A给出了沿用自ISO/IEC 15288和ISO/IEC 12207的供应和采办过程的摘要，附录B给出了条款6与ISO/IEC 27002的映射。ISO/IEC 27036-3：2013的介绍，请参考文献[2]。

5 ISO/IEC 27036-4介绍

如上文所述，在ISO/IEC 27036-1：2014中，将云服务作为单独的一类。ISO/IEC 27036-4：2016单独给出了云服务的安全指南，该标准也大致沿袭了其他部分的架构，正文有7章，附录包含2个。其中正文的前3章为通用章节，第4章介绍了该标准的架构，第5章介绍了主要的云概念及其安全威胁和风险。

第6章为云服务采办生命周期中的信息安全控制，第7章为云服务供应商的信息安全控制。两者为供应链中的不同角色。第6章中的采办生命周期基本沿用了ISO/IEC 15288： 2008的架构，也就是说，与ISO/IEC 27036-2：2014保持了一致。第7章按照公有云、混合云和私有云的分类讨论了供应商自身的安全管理，因此其中描述与ISO/IEC 27000标准族联系紧密。

附录A为云供应商适用的信息安全标准，附录B为跟ISO/IEC 27017中控制的映射。其中，ISO/IEC 27017：2015 Information technology—Security techniques —Code of practice for information security controls based on ISO/IEC 27002 for cloud services《信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制实用规则》。

值得注意的是，在ISO/IEC 27000标准族中，还发布了一个云安全相关的标准，即ISO/IEC 27018：2014（《信息技术 安全技术 公有云中作为处理者的个人识别信息保护实用规则》）Information technology—Security techniques—Code of practice for protection of personally identifiable information （PII） in public clouds acting as PII processors。

6 小结

ISO/IEC 27036是ISO/IEC 27000标准族中专门针对供应关系信息安全的标准，对应ISO/IEC 27001：2013的A.15.1，但是整个标准并没有沿用ISO/IEC 27001的架构，而是承袭了ISO/IEC 15288和ISO/IEC 12207中系统生命周期和软件生命周期过程。本质而言，ISO/IEC 27036是应用系统和软件工程架构的关于供应商关系管理的信息安全要求和指南标准。

（注：本文仅做学术探讨，与作者所在单位观点无关）

参考文献

[1] 季小杰，谢宗晓.应用“良好实践”探讨银行业数据安全保护实践[J].清华金融评论， 2018（9）：32-34.

[2] 谢宗晓，董坤祥.ICT供应链信息安全标准ISO/IEC 27036-3及体系分析[J].中国标准导报，2016（3）：16-21.