GB/T 36637—2018《信息安全技術 ICT供應鏈安全風險管理指南》淺析

謝宗曉　甄杰

ISO/IEC 27001：2013與ISO/IEC 27001：2005相比較，一個顯著的變化是，在附錄A的安全域中加入了“A.15 Supplier relationships”（供應商關系）[1-2]。基于此，后續在ISO/IEC 27000標準中發布了ISO/IEC 27036，該標準在下文中有介紹。

隨著ICT（Information and Communication Technology，信息通信技術）的普及應用，加強其供應鏈安全可控保障的重要性是顯而易見的。因此，在國家標準中，GB/T 36637—2018在2018年10月10日公布，將在2019年5月1日正式實施。

1 ICT供應鏈的概念

對于“ICT供應鏈”的概念，在GB/T 36637—2018中，不僅在3.4中給出了定義，而且在附錄A中還做了詳細的介紹。ICT供應鏈的具體定義如下：

ICT產品和服務的供應鏈，是指為滿足供應關系通過資源和過程將需方、供方相互連接的網鏈結構，可用于將ICT的產品和服務提供給需方。

其中將ICT供應鏈定義為由多個上游與下游組織相互連接形成的“網鏈結構”，在這其中，通常包括需方和供方（供應商）兩種基本的角色，需方和供方之間存在供應關系，供應關系是錯綜復雜的，一個組織對上游而言是需方，對下游而言是供方。

值得注意的是，在ISO/IEC 27036中，4個部分的通用標題命名為“供應商關系”，可能是因為ISO/IEC 27001：2013的A.15包括了2個條款，分別為：“A.15.1 Information security in supplier relationships”（供應商關系中的信息安全）和“A.15.2 Supplier service delivery management”（供應商服務交付管理），ISO/IEC 27036主要對應A.15.1。

從上述詞匯分析，在供應關系中，需方和供方之間是對等的，而“供應商關系”詞匯的視角應該是需方，即從購買ICT產品和服務的角度，這也符合ISO/IEC 27001：2013的視角。“ICT供應鏈”的視角更為客觀一些，應該強調供需雙方，在范圍中，GB/T 36637—2018指出標準適用于“重要信息系統和關鍵信息基礎設施的ICT供方和運營者對ICT供應鏈進行安全風險管理，也適用于指導ICT產品和服務的供方和需方加強供應鏈安全管理”。

2 標準的架構及主要內容

GB/T 36637—2018正文分為7章，并包含了3個附錄，主要內容為第5、6、7章。

第5章為概述，實際是描述了ICT供應鏈的安全要求，包括完整性、保密性、可用性和可控性。

第6章介紹了ICT供應鏈安全風險管理的過程，其中明確地提出：組織宜按照GB/T 31722—2015《信息技術 安全技術 信息安全風險管理》的規定建立ICT供應鏈風險管理過程，也可將ICT供應鏈安全風險管理分散到對ICT生命周期各環節、ICT供應鏈基礎設施、外部供應商的風險管理活動中。也就是說，是否建立單獨的ICT供應鏈風險管理過程是可選項，嵌入或者整合入其他活動中也是可以接受的方法。

與通用的信息安全風險管理標準不同，GB/T 36637—2018第7章還給出了ICT供應鏈安全風險的控制措施，控制措施的大類則沿用了GB/T 22239—2008《信息安全技術 信息系統安全等級保護基本要求》的架構，分為“技術安全措施”和“管理安全措施”。

GB/T 36637—2018中3個附錄均為資料性附錄，其中附錄A重新解讀了ICT供應鏈，附錄B討論了ICT供應鏈的安全威脅，附錄C則討論了ICT供應鏈的安全脆弱性。在附錄中給出常見的威脅和脆弱性是常見信息安全風險管理標準的通用慣例，例如，ISO/IEC 27005：2018中附錄C和附錄D。

3 與通用風險管理的比較

如上所述，GB/T 36637—2018沿用了GB/T 31722—2015（ISO/IEC 27005：2008，IDT）的整體框架，因此與通用信息安全風險管理框架保持了一致。ISO/IEC 27005的最新版本為ISO/IEC 27005：2018 《信息技術 安全技術 信息安全風險管理》（Information technology — Security techniques — Information security risk management）。最新的2018版是ISO/IEC 27005的第3版，之前分別有2011版和2008版。關于ISO/IEC 27005：2018的詳細介紹，請參考文獻[3]。

如上所述，就GB/T 36637—2018的整個架構而言，與通用的信息安全管理框架相比較，幾乎沒有區別。ICT供應鏈安全風險管理的區別，主要體現在具體的細節中。GB/T 36637—2018中ICT供應鏈安全風險管理的主要過程包括風險評估和風險處置，而風險評估又可以細分為風險識別、風險分析和風險評價，其具體過程如圖1所示。

圖1 ICT供應鏈風險管理過程

4 其他參考的相關文獻

在國際標準中，已經發布有ISO/IEC 27036，該標準分為4部分，通用標題為供應商關系信息安全（Information security for supplier relationships），各部分標題，具體如表1所示。

對ISO/IEC 27036-3：2013較為詳細的介紹參見本文的參考文獻[4]。

NIST（National Institute of Standards and Technology，美國國家標準與技術研究院）于2015年發布了NIST SP800-161《聯邦信息系統和組織供應鏈風險管理實踐》，實際在2013年NIST就發布了該標準的草案。NIST SP800-161沿用了NIST SP800-39《管理信息系統風險：組織、任務與信息系統視角》的框架，即分為：組織、任務/業務過程和信息系統不同的3個層次，但是沒有和GB/T 36637—2018似的，沿用相應的信息安全風險評估/管理過程，即NIST SP800-30《風險評估實施指南》，其中倒是大量參考了NIST SP800-53《聯邦信息系統和組織隱私與安全控制》。關于NIST SP800-161，在本文的參考文獻[5]中有較為詳細的介紹。

5 小結

GB/T 36637—2018的本質是描述了一個基于ISO/IEC 27005的信息安全風險管理框架在ICT供應鏈領域的應用，在此基礎上，給出了一個適用于該領域的控制措施集，這對于當前國際形勢下的ICT供應鏈安全風險的管理具有重要的意義。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] 謝宗曉.信息安全管理體系實施指南[M].北京：中國質檢出版社/中國標準出版社，2016.

[2] 白云廣，謝宗曉.ISO/IEC 27001：2013概述與改版分析[J].中國標準導報，2014（12）：45-48.

[3] 謝宗曉，許定航.ISO/IEC 27005：2018解讀及其三次版本演化[J].中國質量與標準導報， 2018（9）：16-18.

[4] 謝宗曉，董坤祥.ICT供應鏈信息安全標準ISO/IEC 27036-3及體系分析[J].中國標準導報， 2016（3）：16-21.

[5] 董坤祥，謝宗曉.ICT供應鏈風險管理標準NIST SP800-161探析[J].中國標準導報， 2015（11）：34-37，41.