ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC及體系分析的研究論文

　　1 ICT供應(yīng)鏈信息安全相關(guān)標(biāo)準(zhǔn)體系

　　隨著信息通信技術(shù)(ICT)的發(fā)展和外包服務(wù)的成熟，ICT與供應(yīng)鏈的融合越來越緊密。ICT供應(yīng)鏈的健康運營和信息安全，對提高供應(yīng)鏈節(jié)點企業(yè)的長期競爭力具有很大的推動作用。但是，由于ICT產(chǎn)品或服務(wù)的質(zhì)量缺陷及供應(yīng)鏈的脆弱性，往往導(dǎo)致ICT供應(yīng)鏈面臨著嚴(yán)峻的信息安全風(fēng)險的考驗。為了加強ICT供應(yīng)鏈風(fēng)險的管理和控制，歐美等國家相繼制定了ICT供應(yīng)鏈風(fēng)險管理的標(biāo)準(zhǔn)。目前，關(guān)于ICT供應(yīng)鏈的相關(guān)標(biāo)準(zhǔn)體系有兩個：(1)ISO/IEC 27000信息安全管理體系中ISO/IEC 27036-3，該標(biāo)準(zhǔn)是ICT供應(yīng)鏈信息安全指南的國際標(biāo)準(zhǔn)，其明確了供應(yīng)鏈關(guān)系中信息安全風(fēng)險的評估和應(yīng)對措施;(2)2013年美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布的聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險管理實踐指導(dǎo)草案SP800-161。該指導(dǎo)草案是對ISO/IEC 27036-3標(biāo)準(zhǔn)的完善，是通過ICT供應(yīng)鏈風(fēng)險具體路徑、供應(yīng)鏈風(fēng)險管理指標(biāo)以及其他風(fēng)險緩解活動將ICT供應(yīng)鏈風(fēng)險管理整合到聯(lián)邦組織采購ICT產(chǎn)品或服務(wù)的風(fēng)險管理體系中，并形成ICT供應(yīng)鏈風(fēng)險管理標(biāo)準(zhǔn)SP800-161。因為SP800-161主要為聯(lián)邦機構(gòu)量身定做，具有一定的局限性，而 ISO/IEC 27036是具有普適性的國際主流標(biāo)準(zhǔn)，且具有權(quán)威性，故我們主要對供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036進行分析研究。

　　2 ISO/IEC 27036標(biāo)準(zhǔn)體系概述

　　ISO/IEC 27036標(biāo)準(zhǔn)體系由多個標(biāo)準(zhǔn)族集合而成，用于評價和處理供應(yīng)商在提供服務(wù)或產(chǎn)品過程中可能面臨的信息安全風(fēng)險。該標(biāo)準(zhǔn)的制定起因于B2B商業(yè)關(guān)系中與信息相關(guān)產(chǎn)品所產(chǎn)生的信息風(fēng)險。隨著標(biāo)準(zhǔn)的發(fā)展，我們認(rèn)為，只要組織內(nèi)、外的兩個個體存在相互交流或信息交換的情形，都應(yīng)遵守該信息安全標(biāo)準(zhǔn)體系的要求;但雙方不一定產(chǎn)生交易行為，如組織內(nèi)員工之間的交流或任務(wù)的交接等沒有產(chǎn)生交易的行為，也應(yīng)遵守信息安全標(biāo)準(zhǔn)的要求。下面，我們從ISO/IEC 27036標(biāo)準(zhǔn)體系的范圍和內(nèi)容兩個方面對ISO/IEC 27036標(biāo)準(zhǔn)進行介紹。

　　2.1 ISO/IEC 27036標(biāo)準(zhǔn)體系的范圍

　　根據(jù)國際標(biāo)準(zhǔn)化組織的文件，ISO/IEC 27036標(biāo)準(zhǔn)體系的范圍包括：IT產(chǎn)品和服務(wù)范圍、標(biāo)準(zhǔn)內(nèi)容、信息安全控制和組織間關(guān)系四個方面。

　　2.1.1 IT產(chǎn)品和服務(wù)范圍

　　IT產(chǎn)品和服務(wù)包括：IT外包和云計算服務(wù)，其他專業(yè)服務(wù)(例如，防火墻設(shè)置、設(shè)備清潔、通訊設(shè)備的維護與保養(yǎng)、專家咨詢、知識管理、產(chǎn)品或服務(wù)的研發(fā)、制造、配送及源代碼托管服務(wù)等)，ICT硬件、軟件和服務(wù)的供應(yīng)，定制化的產(chǎn)品和服務(wù)，以及水電等產(chǎn)品。

　　2.1.2 標(biāo)準(zhǔn)內(nèi)容

　　標(biāo)準(zhǔn)覆蓋的內(nèi)容包括：實施ICT產(chǎn)品和服務(wù)時，確保組織戰(zhàn)略目標(biāo)和商業(yè)需求的信息安全，降低對供應(yīng)商的過度依賴。

　　2.1.3 信息安全控制

　　要對信息安全的內(nèi)容進行控制，例如均衡事前準(zhǔn)備與分析過程中信息安全的成本、風(fēng)險和利益;產(chǎn)品和服務(wù)供應(yīng)商是否符合ISO/IEC 27001認(rèn)證;合作開發(fā)和運營中的風(fēng)險分析、安全設(shè)計與識別、資產(chǎn)和事故管理等;信息資產(chǎn)的問責(zé)制和責(zé)任保護制;明確獎懲及審計制度等。

　　2.1.4 組織間關(guān)系

　　組織生命周期內(nèi)的組織關(guān)系管理，包括：(1)初始業(yè)務(wù)范圍分析，即自產(chǎn)還是外包決策、多元化還是單一產(chǎn)品決策，以及信息安全需求的定義;(2)產(chǎn)品或服務(wù)的采購分析，如組織的運營管理;(3)產(chǎn)品或服務(wù)的更新;(4)終止或結(jié)束業(yè)務(wù)關(guān)系，或者重新定義企業(yè)的業(yè)務(wù)范圍等。

　　2.2 ISO/IEC 27036標(biāo)準(zhǔn)體系的內(nèi)容

　　根據(jù)國際標(biāo)準(zhǔn)化組織的相關(guān)文件，ISO/IEC 27036《信息技術(shù) 安全技術(shù) 供應(yīng)商關(guān)系的信息安全》標(biāo)準(zhǔn)體系主要包括四部分：第1部分：概述和相關(guān)概念(ISO/IEC 27036-1);第2部分：要求(ISO/IEC 27036-2);第3部分：ICT供應(yīng)鏈安全指南(ISO/IEC 27036-3);第4部分：云服務(wù)安全指南(ISO/IEC 27036-4)。ISO/IEC 27036-1和ISO/IEC 27036-2是基本規(guī)定，ISO/IEC 27036-3和ISO/IEC 27036-4則是具體操作規(guī)范與應(yīng)用。

　　2.2.1 ISO/IEC 27036標(biāo)準(zhǔn)的概念與相關(guān)問題

　　ISO/IEC 27036-1對ICT供應(yīng)鏈所涉及的各個利益相關(guān)者和流程進行了規(guī)范和定義。例如，需求者是指從另一方獲得產(chǎn)品和服務(wù)的利益相關(guān)者(ISO/IEC 15288：2008，4.1);獲取是指獲得產(chǎn)品或服務(wù)的過程(ISO/IEC 15288：2008，4.2);協(xié)議是指工作合作中共同確認(rèn)的條款和條件(ISO/IEC 15288：2008，4.4);生命周期是指產(chǎn)品或服務(wù)從概念到淘汰的全過程(ISO/IEC 15288：2008，4.11);流程是指一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(ISO 9000：2005，3.4.1)。其他的相關(guān)概念還有，下游組織和上游組織(ISO 28001：2007，3.10)、 外包、利益相關(guān)者、供應(yīng)商、供應(yīng)商關(guān)系、供應(yīng)鏈、系統(tǒng)、信任、可跟蹤性等。

　　通過上述概念，ISO/IEC 27036分析了供應(yīng)商關(guān)系中的幾個問題：(1)供應(yīng)商關(guān)系形成的動機，ICT產(chǎn)品或服務(wù)外包不僅可以使企業(yè)集中核心業(yè)務(wù)，減少成本，提高服務(wù)水平，還能及時更新ICT產(chǎn)品或服務(wù)。(2)供應(yīng)商關(guān)系的類型，主要包括購買ICT產(chǎn)品、ICT服務(wù)和云計算三類。(3)供應(yīng)商關(guān)系中的信息安全風(fēng)險與管理，包括以契約和協(xié)議的形式降低供應(yīng)商關(guān)系的信任風(fēng)險;以嚴(yán)格的質(zhì)量審查減少產(chǎn)品或服務(wù)缺陷;監(jiān)控與識別組織治理的流程，上下級的溝通，以及組織成員的社會文化差異。(4)ICT供應(yīng)鏈管理問題，即完善ICT產(chǎn)品或服務(wù)的標(biāo)準(zhǔn)采購流程，且ICT產(chǎn)品或服務(wù)必須達到要求的信息安全水平。

　　2.2.2 ISO/IEC 27036標(biāo)準(zhǔn)的結(jié)構(gòu)

　　由圖1可知，ISO/IEC 27036提供了在供應(yīng)商關(guān)系中，如何確保信息安全的多層級國際標(biāo)準(zhǔn)體系。ISO/IEC 27036-1描述了供應(yīng)商關(guān)系中信息安全管理的范圍、概念和問題，為ISO/IEC 27036標(biāo)準(zhǔn)體系構(gòu)建了基本框架。ISO/IEC 27036-2指定了供應(yīng)商關(guān)系中基本的信息安全定義、實現(xiàn)、操作、監(jiān)控、評估、維護和改善等要求。這些要求支持任何采購和供應(yīng)的產(chǎn)品和服務(wù)，如產(chǎn)品的制造或裝配、業(yè)務(wù)流程采購、軟件和硬件的組件、知識流程采購和云計算服務(wù)等。ISO/IEC 27036-3提供了具體實施ICT供應(yīng)鏈信息安全管理的標(biāo)準(zhǔn)流程。ISO/IEC 27036-4指出云計算在ICT供應(yīng)鏈產(chǎn)品和服務(wù)中，其應(yīng)用可能產(chǎn)生的信息安全風(fēng)險及其管理方法。ISO/IEC 27036標(biāo)準(zhǔn)四個部分的關(guān)系如圖1所示。

　　3 ISO/IEC 27036-3——ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)

　　ICT供應(yīng)鏈?zhǔn)荌CT產(chǎn)品和服務(wù)供應(yīng)關(guān)系的集合，有著多樣性的物流和多層次的外包。一般而言，這種網(wǎng)鏈系統(tǒng)是由組織、人員、流程、產(chǎn)品以及與系統(tǒng)開發(fā)生命周期配套的服務(wù)和基礎(chǔ)設(shè)施構(gòu)成。圖2描述了組織、上游供應(yīng)商和下游需求商組成的ICT供應(yīng)鏈。圖2中相鄰的兩個組織，一個稱為服務(wù)或產(chǎn)品的供應(yīng)商，另一個稱為需求客戶。在ICT供應(yīng)鏈末端的客戶又稱為消費者，且消費者一般無法控制上游直接供應(yīng)商或間接供應(yīng)商的信息安全要求。

　　3.1 ICT供應(yīng)鏈相關(guān)風(fēng)險

　　ICT供應(yīng)鏈中往往因個別供應(yīng)商產(chǎn)品或服務(wù)的信息安全風(fēng)險，而導(dǎo)致整條ICT供應(yīng)鏈的需求方和供應(yīng)商面臨風(fēng)險。同時，因需求方不能干涉供應(yīng)商的相關(guān)程序，而使得需求方無法通過溝通、監(jiān)視和加強信息安全管理來控制上游供應(yīng)商的信息安全風(fēng)險。然而，供應(yīng)商和需求方共同面臨的信息安全風(fēng)險，往往直接與控制意識不足、ICT產(chǎn)品或服務(wù)的擁有權(quán)及責(zé)任不清等有關(guān)。由于供應(yīng)鏈中ICT產(chǎn)品和ICT服務(wù)所面臨的風(fēng)險有所不同，我們就ICT產(chǎn)品和ICT服務(wù)可能的風(fēng)險進行如表1和表2的分類描述。

　　3.2 ICT 供應(yīng)鏈的信息安全要求

　　需求方之所以接受供應(yīng)商的產(chǎn)品、配送和服務(wù)，是因為需求方期望獲得高于自身信息安全水平的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)如下所述：

　　(1)管理影響企業(yè)信息連續(xù)、信息系統(tǒng)和服務(wù)等信息安全的，且與企業(yè)環(huán)境相關(guān)的政策、法律和信息等安全風(fēng)險。

　　(2)管理材料和設(shè)備的完整性，例如，獨特標(biāo)記和保護標(biāo)簽等。

　　(3)管理軟件和其他電子信息的完整性，例如，哈希函數(shù)的加密和數(shù)字水印等確保供應(yīng)商產(chǎn)品不被盜用。

　　(4)管理配送中產(chǎn)品和服務(wù)等設(shè)備的物理安全。

　　(5)管理所有與供應(yīng)商有商務(wù)往來客戶、其他客戶、與供應(yīng)商往來的供應(yīng)商，以及所有需求方的信息安全。

　　此外，為了合理管理ICT供應(yīng)鏈的信息安全，需求方對獲得的產(chǎn)品或服務(wù)應(yīng)在組織層面采納以下標(biāo)準(zhǔn)框架：①建立信息共享和交換的信息安全規(guī)章制度;②評價和監(jiān)督與供應(yīng)鏈相關(guān)的信息安全風(fēng)險;③建立ICT供應(yīng)鏈協(xié)議和信息安全協(xié)議的談判流程;④持續(xù)監(jiān)測并報告ICT供應(yīng)鏈內(nèi)成員的績效、信息安全和供應(yīng)商關(guān)系的變化。

　　3.3 ICT供應(yīng)鏈安全標(biāo)準(zhǔn)的相關(guān)內(nèi)容

　　在供應(yīng)鏈中，供應(yīng)商和需求方之間信息安全管理和控制的實施，并未使產(chǎn)品或服務(wù)的信息安全風(fēng)險得到充分的管理。需求方對供應(yīng)商產(chǎn)品和服務(wù)的管理是信息安全的關(guān)鍵，因為這需要需求方對供應(yīng)商的系統(tǒng)具有一定的可見性。同樣，供應(yīng)商也經(jīng)常因與需求方和供應(yīng)商的關(guān)聯(lián)性而增加了ICT供應(yīng)鏈的信息安全風(fēng)險。ISO/IEC 27036-3為需求方和供應(yīng)商提供了ICT產(chǎn)品和服務(wù)的信息安全風(fēng)險管理指南，其相關(guān)標(biāo)準(zhǔn)條款是基于ISO/IEC 27036-2、ISO/IEC 15288、ISO/IEC 12207和ISO/IEC 27002，并為ISO/IEC 27036-2提供了相應(yīng)的管理實踐。

　　除上述相關(guān)標(biāo)準(zhǔn)的內(nèi)容外，ICT供應(yīng)鏈標(biāo)準(zhǔn)也有針對IT產(chǎn)品和服務(wù)的內(nèi)容，例如，產(chǎn)銷監(jiān)管鏈、最小特權(quán)訪問、職責(zé)分離、防篡改與證據(jù)、持續(xù)保護、責(zé)任管理、代碼評估和驗證、安全培訓(xùn)、漏洞評估與響應(yīng)、定義安全預(yù)期、知識產(chǎn)權(quán)和責(zé)任、避免灰色市場、采購流程管理、質(zhì)量管理、人力資源管理、項目管理、供應(yīng)商關(guān)系管理、風(fēng)險和安全管理、配置和變更管理、信息管理、安全架構(gòu)設(shè)計、ICT實施、ICT集成、ICT測試、惡意軟件防護、ICT管理、維修和處理。上述ICT供應(yīng)鏈特有內(nèi)容和已有的相關(guān)標(biāo)準(zhǔn)共同組成ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)體系，如圖3所示。

　　4 我國實施ICT供應(yīng)鏈信息安全的建議

　　由于我國ICT供應(yīng)鏈實施背景與歐美等發(fā)達國家有所不同，就會導(dǎo)致ICT供應(yīng)鏈信息安全的國際標(biāo)準(zhǔn)在國內(nèi)實施時有水土不服的現(xiàn)象。鑒于此，結(jié)合國際標(biāo)準(zhǔn)，我們對國內(nèi)實施ICT供應(yīng)鏈信息安全的管理實踐提出以下建議：

　　(1)融合ISO/IEC 27036-3標(biāo)準(zhǔn)和SP800-161標(biāo)準(zhǔn)。ISO/IEC 27036-3側(cè)重從實施流程的角度對ICT供應(yīng)鏈中IT產(chǎn)品和ICT服務(wù)的信息安全風(fēng)險管理分別進行描述和分析，并指出ICT供應(yīng)鏈信息安全的架構(gòu)設(shè)計、實施、集成、測試、惡意軟件防護、管理、維修和處理。與ISO/IEC 27036-3不同，SP800-161是從組織層面分析不同組織層次面臨的信息安全風(fēng)險問題。SP800-161標(biāo)準(zhǔn)從組織內(nèi)部到外部服務(wù)商和系統(tǒng)集成商，再到ICT產(chǎn)品和服務(wù)的提供商，通過組織內(nèi)外的脆弱性分析和威脅因素分析，明確了組織面臨的ICT供應(yīng)鏈信息安全風(fēng)險。通過對比ISO/IEC 27036-3標(biāo)準(zhǔn)和SP800-161標(biāo)準(zhǔn)的異同，我們認(rèn)為我國在實施ICT供應(yīng)鏈信息安全風(fēng)險管理過程中要點、線結(jié)合，即：以組織的信息安全管理為點，以整條ICT供應(yīng)鏈為線，同時從兩個角度全面分析ICT供應(yīng)鏈所面臨的全部可能的信息安全風(fēng)險，并對安全隱患加以控制。

　　(2)制定符合組織自身發(fā)展需求的ICT供應(yīng)鏈風(fēng)險管理方案。我國ICT產(chǎn)品或服務(wù)來源于兩個方面：一是，國外ICT產(chǎn)品或服務(wù)的提供商;二是，國內(nèi)ICT產(chǎn)品或服務(wù)的提供商。使用國外ICT產(chǎn)品或服務(wù)的提供商，能夠充分保證ICT供應(yīng)鏈中信息傳遞的效率、完整性、穩(wěn)定性;但是，增加了泄露 ICT供應(yīng)鏈信息的風(fēng)險。使用國內(nèi)ICT產(chǎn)品或服務(wù)的提供商，能夠降低ICT產(chǎn)品或服務(wù)的成本;但是，卻難以確保ICT產(chǎn)品或服務(wù)的穩(wěn)定性和完整性。因此，我國的組織或企業(yè)在實施ICT供應(yīng)鏈信息安全管理過程中，應(yīng)根據(jù)企業(yè)自身對信息安全水平要求和ICT實施成本，確定采納ICT產(chǎn)品或服務(wù)的最佳方案。

【ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC及體系分析的研究論文】相關(guān)文章：

保障體系構(gòu)建下的檔案信息安全的研究論文10-09

數(shù)字檔案信息安全保障體系分析優(yōu)秀論文10-09

計算機網(wǎng)絡(luò)信息安全體系研究論文10-12

中國建材集團信息安全防護體系研究論文10-09

數(shù)據(jù)信息安全體系構(gòu)建論文10-09

信息安全工程分析論文10-11

電力信息安全監(jiān)控研究論文10-12

旅游文化體系建設(shè)研究論文10-09

信息安全等級保護的分析論文10-09

高職信息安全保障體系構(gòu)建與運用論文10-09