ICT供應鏈信息安全標準ISO/IEC及體系分析的研究論文

　　1 ICT供應鏈信息安全相關標準體系

　　隨著信息通信技術(ICT)的發(fā)展和外包服務的成熟，ICT與供應鏈的融合越來越緊密。ICT供應鏈的健康運營和信息安全，對提高供應鏈節(jié)點企業(yè)的長期競爭力具有很大的推動作用。但是，由于ICT產品或服務的質量缺陷及供應鏈的脆弱性，往往導致ICT供應鏈面臨著嚴峻的信息安全風險的考驗。為了加強ICT供應鏈風險的管理和控制，歐美等國家相繼制定了ICT供應鏈風險管理的標準。目前，關于ICT供應鏈的相關標準體系有兩個：(1)ISO/IEC 27000信息安全管理體系中ISO/IEC 27036-3，該標準是ICT供應鏈信息安全指南的國際標準，其明確了供應鏈關系中信息安全風險的評估和應對措施;(2)2013年美國國家標準與技術研究院(NIST)發(fā)布的聯(lián)邦信息系統(tǒng)和組織的供應鏈風險管理實踐指導草案SP800-161。該指導草案是對ISO/IEC 27036-3標準的完善，是通過ICT供應鏈風險具體路徑、供應鏈風險管理指標以及其他風險緩解活動將ICT供應鏈風險管理整合到聯(lián)邦組織采購ICT產品或服務的風險管理體系中，并形成ICT供應鏈風險管理標準SP800-161。因為SP800-161主要為聯(lián)邦機構量身定做，具有一定的局限性，而 ISO/IEC 27036是具有普適性的國際主流標準，且具有權威性，故我們主要對供應鏈信息安全標準ISO/IEC 27036進行分析研究。

　　2 ISO/IEC 27036標準體系概述

　　ISO/IEC 27036標準體系由多個標準族集合而成，用于評價和處理供應商在提供服務或產品過程中可能面臨的信息安全風險。該標準的制定起因于B2B商業(yè)關系中與信息相關產品所產生的信息風險。隨著標準的發(fā)展，我們認為，只要組織內、外的兩個個體存在相互交流或信息交換的情形，都應遵守該信息安全標準體系的要求;但雙方不一定產生交易行為，如組織內員工之間的交流或任務的交接等沒有產生交易的行為，也應遵守信息安全標準的要求。下面，我們從ISO/IEC 27036標準體系的范圍和內容兩個方面對ISO/IEC 27036標準進行介紹。

　　2.1 ISO/IEC 27036標準體系的范圍

　　根據國際標準化組織的文件，ISO/IEC 27036標準體系的范圍包括：IT產品和服務范圍、標準內容、信息安全控制和組織間關系四個方面。

　　2.1.1 IT產品和服務范圍

　　IT產品和服務包括：IT外包和云計算服務，其他專業(yè)服務(例如，防火墻設置、設備清潔、通訊設備的維護與保養(yǎng)、專家咨詢、知識管理、產品或服務的研發(fā)、制造、配送及源代碼托管服務等)，ICT硬件、軟件和服務的供應，定制化的產品和服務，以及水電等產品。

　　2.1.2 標準內容

　　標準覆蓋的內容包括：實施ICT產品和服務時，確保組織戰(zhàn)略目標和商業(yè)需求的信息安全，降低對供應商的過度依賴。

　　2.1.3 信息安全控制

　　要對信息安全的內容進行控制，例如均衡事前準備與分析過程中信息安全的成本、風險和利益;產品和服務供應商是否符合ISO/IEC 27001認證;合作開發(fā)和運營中的風險分析、安全設計與識別、資產和事故管理等;信息資產的問責制和責任保護制;明確獎懲及審計制度等。

　　2.1.4 組織間關系

　　組織生命周期內的組織關系管理，包括：(1)初始業(yè)務范圍分析，即自產還是外包決策、多元化還是單一產品決策，以及信息安全需求的定義;(2)產品或服務的采購分析，如組織的運營管理;(3)產品或服務的更新;(4)終止或結束業(yè)務關系，或者重新定義企業(yè)的業(yè)務范圍等。

　　2.2 ISO/IEC 27036標準體系的內容

　　根據國際標準化組織的相關文件，ISO/IEC 27036《信息技術 安全技術 供應商關系的信息安全》標準體系主要包括四部分：第1部分：概述和相關概念(ISO/IEC 27036-1);第2部分：要求(ISO/IEC 27036-2);第3部分：ICT供應鏈安全指南(ISO/IEC 27036-3);第4部分：云服務安全指南(ISO/IEC 27036-4)。ISO/IEC 27036-1和ISO/IEC 27036-2是基本規(guī)定，ISO/IEC 27036-3和ISO/IEC 27036-4則是具體操作規(guī)范與應用。

　　2.2.1 ISO/IEC 27036標準的概念與相關問題

　　ISO/IEC 27036-1對ICT供應鏈所涉及的各個利益相關者和流程進行了規(guī)范和定義。例如，需求者是指從另一方獲得產品和服務的利益相關者(ISO/IEC 15288：2008，4.1);獲取是指獲得產品或服務的過程(ISO/IEC 15288：2008，4.2);協(xié)議是指工作合作中共同確認的條款和條件(ISO/IEC 15288：2008，4.4);生命周期是指產品或服務從概念到淘汰的全過程(ISO/IEC 15288：2008，4.11);流程是指一組將輸入轉化為輸出的相互關聯(lián)或相互作用的活動(ISO 9000：2005，3.4.1)。其他的相關概念還有，下游組織和上游組織(ISO 28001：2007，3.10)、 外包、利益相關者、供應商、供應商關系、供應鏈、系統(tǒng)、信任、可跟蹤性等。

　　通過上述概念，ISO/IEC 27036分析了供應商關系中的幾個問題：(1)供應商關系形成的動機，ICT產品或服務外包不僅可以使企業(yè)集中核心業(yè)務，減少成本，提高服務水平，還能及時更新ICT產品或服務。(2)供應商關系的類型，主要包括購買ICT產品、ICT服務和云計算三類。(3)供應商關系中的信息安全風險與管理，包括以契約和協(xié)議的形式降低供應商關系的信任風險;以嚴格的質量審查減少產品或服務缺陷;監(jiān)控與識別組織治理的流程，上下級的溝通，以及組織成員的社會文化差異。(4)ICT供應鏈管理問題，即完善ICT產品或服務的標準采購流程，且ICT產品或服務必須達到要求的信息安全水平。

　　2.2.2 ISO/IEC 27036標準的結構

　　由圖1可知，ISO/IEC 27036提供了在供應商關系中，如何確保信息安全的多層級國際標準體系。ISO/IEC 27036-1描述了供應商關系中信息安全管理的范圍、概念和問題，為ISO/IEC 27036標準體系構建了基本框架。ISO/IEC 27036-2指定了供應商關系中基本的信息安全定義、實現、操作、監(jiān)控、評估、維護和改善等要求。這些要求支持任何采購和供應的產品和服務，如產品的制造或裝配、業(yè)務流程采購、軟件和硬件的組件、知識流程采購和云計算服務等。ISO/IEC 27036-3提供了具體實施ICT供應鏈信息安全管理的標準流程。ISO/IEC 27036-4指出云計算在ICT供應鏈產品和服務中，其應用可能產生的信息安全風險及其管理方法。ISO/IEC 27036標準四個部分的關系如圖1所示。

　　3 ISO/IEC 27036-3——ICT供應鏈信息安全標準

　　ICT供應鏈是ICT產品和服務供應關系的集合，有著多樣性的物流和多層次的外包。一般而言，這種網鏈系統(tǒng)是由組織、人員、流程、產品以及與系統(tǒng)開發(fā)生命周期配套的服務和基礎設施構成。圖2描述了組織、上游供應商和下游需求商組成的ICT供應鏈。圖2中相鄰的兩個組織，一個稱為服務或產品的供應商，另一個稱為需求客戶。在ICT供應鏈末端的客戶又稱為消費者，且消費者一般無法控制上游直接供應商或間接供應商的信息安全要求。

　　3.1 ICT供應鏈相關風險

　　ICT供應鏈中往往因個別供應商產品或服務的信息安全風險，而導致整條ICT供應鏈的需求方和供應商面臨風險。同時，因需求方不能干涉供應商的相關程序，而使得需求方無法通過溝通、監(jiān)視和加強信息安全管理來控制上游供應商的信息安全風險。然而，供應商和需求方共同面臨的信息安全風險，往往直接與控制意識不足、ICT產品或服務的擁有權及責任不清等有關。由于供應鏈中ICT產品和ICT服務所面臨的風險有所不同，我們就ICT產品和ICT服務可能的風險進行如表1和表2的分類描述。

　　3.2 ICT 供應鏈的信息安全要求

　　需求方之所以接受供應商的產品、配送和服務，是因為需求方期望獲得高于自身信息安全水平的標準。這些標準如下所述：

　　(1)管理影響企業(yè)信息連續(xù)、信息系統(tǒng)和服務等信息安全的，且與企業(yè)環(huán)境相關的政策、法律和信息等安全風險。

　　(2)管理材料和設備的完整性，例如，獨特標記和保護標簽等。

　　(3)管理軟件和其他電子信息的完整性，例如，哈希函數的加密和數字水印等確保供應商產品不被盜用。

　　(4)管理配送中產品和服務等設備的物理安全。

　　(5)管理所有與供應商有商務往來客戶、其他客戶、與供應商往來的供應商，以及所有需求方的信息安全。

　　此外，為了合理管理ICT供應鏈的信息安全，需求方對獲得的產品或服務應在組織層面采納以下標準框架：①建立信息共享和交換的信息安全規(guī)章制度;②評價和監(jiān)督與供應鏈相關的信息安全風險;③建立ICT供應鏈協(xié)議和信息安全協(xié)議的談判流程;④持續(xù)監(jiān)測并報告ICT供應鏈內成員的績效、信息安全和供應商關系的變化。

　　3.3 ICT供應鏈安全標準的相關內容

　　在供應鏈中，供應商和需求方之間信息安全管理和控制的實施，并未使產品或服務的信息安全風險得到充分的管理。需求方對供應商產品和服務的管理是信息安全的關鍵，因為這需要需求方對供應商的系統(tǒng)具有一定的可見性。同樣，供應商也經常因與需求方和供應商的關聯(lián)性而增加了ICT供應鏈的信息安全風險。ISO/IEC 27036-3為需求方和供應商提供了ICT產品和服務的信息安全風險管理指南，其相關標準條款是基于ISO/IEC 27036-2、ISO/IEC 15288、ISO/IEC 12207和ISO/IEC 27002，并為ISO/IEC 27036-2提供了相應的管理實踐。

　　除上述相關標準的內容外，ICT供應鏈標準也有針對IT產品和服務的內容，例如，產銷監(jiān)管鏈、最小特權訪問、職責分離、防篡改與證據、持續(xù)保護、責任管理、代碼評估和驗證、安全培訓、漏洞評估與響應、定義安全預期、知識產權和責任、避免灰色市場、采購流程管理、質量管理、人力資源管理、項目管理、供應商關系管理、風險和安全管理、配置和變更管理、信息管理、安全架構設計、ICT實施、ICT集成、ICT測試、惡意軟件防護、ICT管理、維修和處理。上述ICT供應鏈特有內容和已有的相關標準共同組成ICT供應鏈信息安全標準體系，如圖3所示。

　　4 我國實施ICT供應鏈信息安全的建議

　　由于我國ICT供應鏈實施背景與歐美等發(fā)達國家有所不同，就會導致ICT供應鏈信息安全的國際標準在國內實施時有水土不服的現象。鑒于此，結合國際標準，我們對國內實施ICT供應鏈信息安全的管理實踐提出以下建議：

　　(1)融合ISO/IEC 27036-3標準和SP800-161標準。ISO/IEC 27036-3側重從實施流程的角度對ICT供應鏈中IT產品和ICT服務的信息安全風險管理分別進行描述和分析，并指出ICT供應鏈信息安全的架構設計、實施、集成、測試、惡意軟件防護、管理、維修和處理。與ISO/IEC 27036-3不同，SP800-161是從組織層面分析不同組織層次面臨的信息安全風險問題。SP800-161標準從組織內部到外部服務商和系統(tǒng)集成商，再到ICT產品和服務的提供商，通過組織內外的脆弱性分析和威脅因素分析，明確了組織面臨的ICT供應鏈信息安全風險。通過對比ISO/IEC 27036-3標準和SP800-161標準的異同，我們認為我國在實施ICT供應鏈信息安全風險管理過程中要點、線結合，即：以組織的信息安全管理為點，以整條ICT供應鏈為線，同時從兩個角度全面分析ICT供應鏈所面臨的全部可能的信息安全風險，并對安全隱患加以控制。

　　(2)制定符合組織自身發(fā)展需求的ICT供應鏈風險管理方案。我國ICT產品或服務來源于兩個方面：一是，國外ICT產品或服務的提供商;二是，國內ICT產品或服務的提供商。使用國外ICT產品或服務的提供商，能夠充分保證ICT供應鏈中信息傳遞的效率、完整性、穩(wěn)定性;但是，增加了泄露 ICT供應鏈信息的風險。使用國內ICT產品或服務的提供商，能夠降低ICT產品或服務的成本;但是，卻難以確保ICT產品或服務的穩(wěn)定性和完整性。因此，我國的組織或企業(yè)在實施ICT供應鏈信息安全管理過程中，應根據企業(yè)自身對信息安全水平要求和ICT實施成本，確定采納ICT產品或服務的最佳方案。

【ICT供應鏈信息安全標準ISO/IEC及體系分析的研究論文】相關文章：

保障體系構建下的檔案信息安全的研究論文10-09

數字檔案信息安全保障體系分析優(yōu)秀論文10-09

計算機網絡信息安全體系研究論文10-12

中國建材集團信息安全防護體系研究論文10-09

數據信息安全體系構建論文10-09

信息安全工程分析論文10-11

電力信息安全監(jiān)控研究論文10-12

旅游文化體系建設研究論文10-09

信息安全等級保護的分析論文10-09

高職信息安全保障體系構建與運用論文10-09