ICT供應鏈信息安全標準ISO/IEC及體系分析的研究論文

　　1 ICT供應鏈信息安全相關(guān)標準體系

　　隨著(zhù)信息通信技術(shù)(ICT)的發(fā)展和外包服務(wù)的成熟，ICT與供應鏈的融合越來(lái)越緊密。ICT供應鏈的健康運營(yíng)和信息安全，對提高供應鏈節點(diǎn)企業(yè)的長(cháng)期競爭力具有很大的推動(dòng)作用。但是，由于ICT產(chǎn)品或服務(wù)的質(zhì)量缺陷及供應鏈的脆弱性，往往導致ICT供應鏈面臨著(zhù)嚴峻的信息安全風(fēng)險的考驗。為了加強ICT供應鏈風(fēng)險的管理和控制，歐美等國家相繼制定了ICT供應鏈風(fēng)險管理的標準。目前，關(guān)于ICT供應鏈的相關(guān)標準體系有兩個(gè)：(1)ISO/IEC 27000信息安全管理體系中ISO/IEC 27036-3，該標準是ICT供應鏈信息安全指南的國際標準，其明確了供應鏈關(guān)系中信息安全風(fēng)險的評估和應對措施;(2)2013年美國國家標準與技術(shù)研究院(NIST)發(fā)布的聯(lián)邦信息系統和組織的供應鏈風(fēng)險管理實(shí)踐指導草案SP800-161。該指導草案是對ISO/IEC 27036-3標準的完善，是通過(guò)ICT供應鏈風(fēng)險具體路徑、供應鏈風(fēng)險管理指標以及其他風(fēng)險緩解活動(dòng)將ICT供應鏈風(fēng)險管理整合到聯(lián)邦組織采購ICT產(chǎn)品或服務(wù)的風(fēng)險管理體系中，并形成ICT供應鏈風(fēng)險管理標準SP800-161。因為SP800-161主要為聯(lián)邦機構量身定做，具有一定的局限性，而 ISO/IEC 27036是具有普適性的國際主流標準，且具有權威性，故我們主要對供應鏈信息安全標準ISO/IEC 27036進(jìn)行分析研究。

　　2 ISO/IEC 27036標準體系概述

　　ISO/IEC 27036標準體系由多個(gè)標準族集合而成，用于評價(jià)和處理供應商在提供服務(wù)或產(chǎn)品過(guò)程中可能面臨的信息安全風(fēng)險。該標準的制定起因于B2B商業(yè)關(guān)系中與信息相關(guān)產(chǎn)品所產(chǎn)生的信息風(fēng)險。隨著(zhù)標準的發(fā)展，我們認為，只要組織內、外的兩個(gè)個(gè)體存在相互交流或信息交換的情形，都應遵守該信息安全標準體系的要求;但雙方不一定產(chǎn)生交易行為，如組織內員工之間的交流或任務(wù)的交接等沒(méi)有產(chǎn)生交易的行為，也應遵守信息安全標準的要求。下面，我們從ISO/IEC 27036標準體系的范圍和內容兩個(gè)方面對ISO/IEC 27036標準進(jìn)行介紹。

　　2.1 ISO/IEC 27036標準體系的范圍

　　根據國際標準化組織的文件，ISO/IEC 27036標準體系的范圍包括：IT產(chǎn)品和服務(wù)范圍、標準內容、信息安全控制和組織間關(guān)系四個(gè)方面。

　　2.1.1 IT產(chǎn)品和服務(wù)范圍

　　IT產(chǎn)品和服務(wù)包括：IT外包和云計算服務(wù)，其他專(zhuān)業(yè)服務(wù)(例如，防火墻設置、設備清潔、通訊設備的維護與保養、專(zhuān)家咨詢(xún)、知識管理、產(chǎn)品或服務(wù)的研發(fā)、制造、配送及源代碼托管服務(wù)等)，ICT硬件、軟件和服務(wù)的供應，定制化的產(chǎn)品和服務(wù)，以及水電等產(chǎn)品。

　　2.1.2 標準內容

　　標準覆蓋的內容包括：實(shí)施ICT產(chǎn)品和服務(wù)時(shí)，確保組織戰略目標和商業(yè)需求的信息安全，降低對供應商的過(guò)度依賴(lài)。

　　2.1.3 信息安全控制

　　要對信息安全的內容進(jìn)行控制，例如均衡事前準備與分析過(guò)程中信息安全的成本、風(fēng)險和利益;產(chǎn)品和服務(wù)供應商是否符合ISO/IEC 27001認證;合作開(kāi)發(fā)和運營(yíng)中的風(fēng)險分析、安全設計與識別、資產(chǎn)和事故管理等;信息資產(chǎn)的問(wèn)責制和責任保護制;明確獎懲及審計制度等。

　　2.1.4 組織間關(guān)系

　　組織生命周期內的組織關(guān)系管理，包括：(1)初始業(yè)務(wù)范圍分析，即自產(chǎn)還是外包決策、多元化還是單一產(chǎn)品決策，以及信息安全需求的定義;(2)產(chǎn)品或服務(wù)的采購分析，如組織的運營(yíng)管理;(3)產(chǎn)品或服務(wù)的更新;(4)終止或結束業(yè)務(wù)關(guān)系，或者重新定義企業(yè)的業(yè)務(wù)范圍等。

　　2.2 ISO/IEC 27036標準體系的內容

　　根據國際標準化組織的相關(guān)文件，ISO/IEC 27036《信息技術(shù) 安全技術(shù) 供應商關(guān)系的信息安全》標準體系主要包括四部分：第1部分：概述和相關(guān)概念(ISO/IEC 27036-1);第2部分：要求(ISO/IEC 27036-2);第3部分：ICT供應鏈安全指南(ISO/IEC 27036-3);第4部分：云服務(wù)安全指南(ISO/IEC 27036-4)。ISO/IEC 27036-1和ISO/IEC 27036-2是基本規定，ISO/IEC 27036-3和ISO/IEC 27036-4則是具體操作規范與應用。

　　2.2.1 ISO/IEC 27036標準的概念與相關(guān)問(wèn)題

　　ISO/IEC 27036-1對ICT供應鏈所涉及的各個(gè)利益相關(guān)者和流程進(jìn)行了規范和定義。例如，需求者是指從另一方獲得產(chǎn)品和服務(wù)的利益相關(guān)者(ISO/IEC 15288：2008，4.1);獲取是指獲得產(chǎn)品或服務(wù)的過(guò)程(ISO/IEC 15288：2008，4.2);協(xié)議是指工作合作中共同確認的條款和條件(ISO/IEC 15288：2008，4.4);生命周期是指產(chǎn)品或服務(wù)從概念到淘汰的全過(guò)程(ISO/IEC 15288：2008，4.11);流程是指一組將輸入轉化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)(ISO 9000：2005，3.4.1)。其他的相關(guān)概念還有，下游組織和上游組織(ISO 28001：2007，3.10)、 外包、利益相關(guān)者、供應商、供應商關(guān)系、供應鏈、系統、信任、可跟蹤性等。

　　通過(guò)上述概念，ISO/IEC 27036分析了供應商關(guān)系中的幾個(gè)問(wèn)題：(1)供應商關(guān)系形成的動(dòng)機，ICT產(chǎn)品或服務(wù)外包不僅可以使企業(yè)集中核心業(yè)務(wù)，減少成本，提高服務(wù)水平，還能及時(shí)更新ICT產(chǎn)品或服務(wù)。(2)供應商關(guān)系的類(lèi)型，主要包括購買(mǎi)ICT產(chǎn)品、ICT服務(wù)和云計算三類(lèi)。(3)供應商關(guān)系中的信息安全風(fēng)險與管理，包括以契約和協(xié)議的形式降低供應商關(guān)系的信任風(fēng)險;以嚴格的質(zhì)量審查減少產(chǎn)品或服務(wù)缺陷;監控與識別組織治理的流程，上下級的溝通，以及組織成員的社會(huì )文化差異。(4)ICT供應鏈管理問(wèn)題，即完善ICT產(chǎn)品或服務(wù)的標準采購流程，且ICT產(chǎn)品或服務(wù)必須達到要求的信息安全水平。

　　2.2.2 ISO/IEC 27036標準的結構

　　由圖1可知，ISO/IEC 27036提供了在供應商關(guān)系中，如何確保信息安全的多層級國際標準體系。ISO/IEC 27036-1描述了供應商關(guān)系中信息安全管理的范圍、概念和問(wèn)題，為ISO/IEC 27036標準體系構建了基本框架。ISO/IEC 27036-2指定了供應商關(guān)系中基本的信息安全定義、實(shí)現、操作、監控、評估、維護和改善等要求。這些要求支持任何采購和供應的產(chǎn)品和服務(wù)，如產(chǎn)品的制造或裝配、業(yè)務(wù)流程采購、軟件和硬件的組件、知識流程采購和云計算服務(wù)等。ISO/IEC 27036-3提供了具體實(shí)施ICT供應鏈信息安全管理的標準流程。ISO/IEC 27036-4指出云計算在ICT供應鏈產(chǎn)品和服務(wù)中，其應用可能產(chǎn)生的信息安全風(fēng)險及其管理方法。ISO/IEC 27036標準四個(gè)部分的關(guān)系如圖1所示。

　　3 ISO/IEC 27036-3——ICT供應鏈信息安全標準

　　ICT供應鏈是ICT產(chǎn)品和服務(wù)供應關(guān)系的集合，有著(zhù)多樣性的物流和多層次的外包。一般而言，這種網(wǎng)鏈系統是由組織、人員、流程、產(chǎn)品以及與系統開(kāi)發(fā)生命周期配套的服務(wù)和基礎設施構成。圖2描述了組織、上游供應商和下游需求商組成的ICT供應鏈。圖2中相鄰的兩個(gè)組織，一個(gè)稱(chēng)為服務(wù)或產(chǎn)品的供應商，另一個(gè)稱(chēng)為需求客戶(hù)。在ICT供應鏈末端的客戶(hù)又稱(chēng)為消費者，且消費者一般無(wú)法控制上游直接供應商或間接供應商的信息安全要求。

　　3.1 ICT供應鏈相關(guān)風(fēng)險

　　ICT供應鏈中往往因個(gè)別供應商產(chǎn)品或服務(wù)的信息安全風(fēng)險，而導致整條ICT供應鏈的需求方和供應商面臨風(fēng)險。同時(shí)，因需求方不能干涉供應商的相關(guān)程序，而使得需求方無(wú)法通過(guò)溝通、監視和加強信息安全管理來(lái)控制上游供應商的信息安全風(fēng)險。然而，供應商和需求方共同面臨的信息安全風(fēng)險，往往直接與控制意識不足、ICT產(chǎn)品或服務(wù)的擁有權及責任不清等有關(guān)。由于供應鏈中ICT產(chǎn)品和ICT服務(wù)所面臨的風(fēng)險有所不同，我們就ICT產(chǎn)品和ICT服務(wù)可能的風(fēng)險進(jìn)行如表1和表2的分類(lèi)描述。

　　3.2 ICT 供應鏈的信息安全要求

　　需求方之所以接受供應商的產(chǎn)品、配送和服務(wù)，是因為需求方期望獲得高于自身信息安全水平的標準。這些標準如下所述：

　　(1)管理影響企業(yè)信息連續、信息系統和服務(wù)等信息安全的，且與企業(yè)環(huán)境相關(guān)的政策、法律和信息等安全風(fēng)險。

　　(2)管理材料和設備的完整性，例如，獨特標記和保護標簽等。

　　(3)管理軟件和其他電子信息的完整性，例如，哈希函數的加密和數字水印等確保供應商產(chǎn)品不被盜用。

　　(4)管理配送中產(chǎn)品和服務(wù)等設備的物理安全。

　　(5)管理所有與供應商有商務(wù)往來(lái)客戶(hù)、其他客戶(hù)、與供應商往來(lái)的供應商，以及所有需求方的信息安全。

　　此外，為了合理管理ICT供應鏈的信息安全，需求方對獲得的產(chǎn)品或服務(wù)應在組織層面采納以下標準框架：①建立信息共享和交換的信息安全規章制度;②評價(jià)和監督與供應鏈相關(guān)的信息安全風(fēng)險;③建立ICT供應鏈協(xié)議和信息安全協(xié)議的談判流程;④持續監測并報告ICT供應鏈內成員的績(jì)效、信息安全和供應商關(guān)系的變化。

　　3.3 ICT供應鏈安全標準的相關(guān)內容

　　在供應鏈中，供應商和需求方之間信息安全管理和控制的實(shí)施，并未使產(chǎn)品或服務(wù)的信息安全風(fēng)險得到充分的管理。需求方對供應商產(chǎn)品和服務(wù)的管理是信息安全的關(guān)鍵，因為這需要需求方對供應商的系統具有一定的可見(jiàn)性。同樣，供應商也經(jīng)常因與需求方和供應商的關(guān)聯(lián)性而增加了ICT供應鏈的信息安全風(fēng)險。ISO/IEC 27036-3為需求方和供應商提供了ICT產(chǎn)品和服務(wù)的信息安全風(fēng)險管理指南，其相關(guān)標準條款是基于ISO/IEC 27036-2、ISO/IEC 15288、ISO/IEC 12207和ISO/IEC 27002，并為ISO/IEC 27036-2提供了相應的管理實(shí)踐。

　　除上述相關(guān)標準的內容外，ICT供應鏈標準也有針對IT產(chǎn)品和服務(wù)的內容，例如，產(chǎn)銷(xiāo)監管鏈、最小特權訪(fǎng)問(wèn)、職責分離、防篡改與證據、持續保護、責任管理、代碼評估和驗證、安全培訓、漏洞評估與響應、定義安全預期、知識產(chǎn)權和責任、避免灰色市場(chǎng)、采購流程管理、質(zhì)量管理、人力資源管理、項目管理、供應商關(guān)系管理、風(fēng)險和安全管理、配置和變更管理、信息管理、安全架構設計、ICT實(shí)施、ICT集成、ICT測試、惡意軟件防護、ICT管理、維修和處理。上述ICT供應鏈特有內容和已有的相關(guān)標準共同組成ICT供應鏈信息安全標準體系，如圖3所示。

　　4 我國實(shí)施ICT供應鏈信息安全的建議

　　由于我國ICT供應鏈實(shí)施背景與歐美等發(fā)達國家有所不同，就會(huì )導致ICT供應鏈信息安全的國際標準在國內實(shí)施時(shí)有水土不服的現象。鑒于此，結合國際標準，我們對國內實(shí)施ICT供應鏈信息安全的管理實(shí)踐提出以下建議：

　　(1)融合ISO/IEC 27036-3標準和SP800-161標準。ISO/IEC 27036-3側重從實(shí)施流程的角度對ICT供應鏈中IT產(chǎn)品和ICT服務(wù)的信息安全風(fēng)險管理分別進(jìn)行描述和分析，并指出ICT供應鏈信息安全的架構設計、實(shí)施、集成、測試、惡意軟件防護、管理、維修和處理。與ISO/IEC 27036-3不同，SP800-161是從組織層面分析不同組織層次面臨的信息安全風(fēng)險問(wèn)題。SP800-161標準從組織內部到外部服務(wù)商和系統集成商，再到ICT產(chǎn)品和服務(wù)的提供商，通過(guò)組織內外的脆弱性分析和威脅因素分析，明確了組織面臨的ICT供應鏈信息安全風(fēng)險。通過(guò)對比ISO/IEC 27036-3標準和SP800-161標準的異同，我們認為我國在實(shí)施ICT供應鏈信息安全風(fēng)險管理過(guò)程中要點(diǎn)、線(xiàn)結合，即：以組織的信息安全管理為點(diǎn)，以整條ICT供應鏈為線(xiàn)，同時(shí)從兩個(gè)角度全面分析ICT供應鏈所面臨的全部可能的信息安全風(fēng)險，并對安全隱患加以控制。

　　(2)制定符合組織自身發(fā)展需求的ICT供應鏈風(fēng)險管理方案。我國ICT產(chǎn)品或服務(wù)來(lái)源于兩個(gè)方面：一是，國外ICT產(chǎn)品或服務(wù)的提供商;二是，國內ICT產(chǎn)品或服務(wù)的提供商。使用國外ICT產(chǎn)品或服務(wù)的提供商，能夠充分保證ICT供應鏈中信息傳遞的效率、完整性、穩定性;但是，增加了泄露 ICT供應鏈信息的風(fēng)險。使用國內ICT產(chǎn)品或服務(wù)的提供商，能夠降低ICT產(chǎn)品或服務(wù)的成本;但是，卻難以確保ICT產(chǎn)品或服務(wù)的穩定性和完整性。因此，我國的組織或企業(yè)在實(shí)施ICT供應鏈信息安全管理過(guò)程中，應根據企業(yè)自身對信息安全水平要求和ICT實(shí)施成本，確定采納ICT產(chǎn)品或服務(wù)的最佳方案。

【ICT供應鏈信息安全標準ISO/IEC及體系分析的研究論文】相關(guān)文章：

關(guān)于網(wǎng)絡(luò )信息安全問(wèn)題及對策分析論文07-02

關(guān)于物聯(lián)網(wǎng)的信息安全技術(shù)研究論文09-29

探析電力企業(yè)網(wǎng)絡(luò )和信息安全管理的分析論文10-25

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

計算機信息安全論文09-15

信息安全管理論文06-20

信息安全管理論文11-10

計算機信息安全論文05-21

網(wǎng)絡(luò )信息安全與防范論文[合集]05-25