ISO/IEC 27036供應商關系信息安全系列標準淺析

謝宗曉　甄杰

1 標準架構及概述

ISO/IEC 27036通用標題為供應商關系信息安全（Information security for supplier relationships），該標準目前發布有4個部分，各部分標題及其發布時間，如表1所示。

作為ISO/IEC 27000標準族成員，ISO/IEC 27036的標題與ISO/IEC 27001：2013描述略有不同，ISO/IEC 27001：2013的描述為“A.15.1 Information security in supplier relationships”（供應商關系中的信息安全）。

2 ISO/IEC 27036-1介紹

ISO/IEC 27036-1：2014主要介紹了相關的定義，并概述了ISO/IEC 27036的4個部分主要內容。該標準規范性引用了ISO/IEC 270001），但其中定義，更多的來自ISO/IEC 15288： 2008和ISO 28001：2007等標準，相關標準的信息如表2所示。

ISO/IEC 27036-1：2014正文共有6章，前4章為通用條款，第5章定義了主要問題和概念，第6章介紹了ISO/IEC 27036的架構與概述。由于下文中會介紹ISO/IEC 27036-2～4：2014三部分標準，因此第6章在此處不再詳細討論。第5章首先介紹了建立供應商關系管理的動機、供應商關系的類型，之后分析了其中相關的威脅與信息安全風險以及相應的風險管理，最后討論了一些其他注意事項。注意其中將供應商的類型分為產品供應商和服務供應商的同時，也定義了供應鏈的概念，并且將“云計算”作為單獨一種形態討論。

3 ISO/IEC 27036-2介紹

ISO/IEC 27036-2：2014定義了供應商關系信息安全的要求，考慮ISO/IEC 27001： 2013為信息安全管理體系要求，就功能而言，這兩個標準存在相似之處，但是ISO/IEC 27001： 2013主要依據PDCA（Plan—Do—Check—Act）的“戴明環”架構，ISO/IEC 27036-2：2014則主要依據ISO/IEC 15288： 2008的系統生命周期。ISO/IEC 27036-2：2014正文共有7章，并有3個規范性附錄。其中前4章為通用條款，第5章介紹了ISO/IEC 27036-2大致的架構。

第6章基本沿用了ISO/IEC 15288：2008的架構，其中包括：協議過程組、組織的項目使能過程組、項目管理過程組和技術過程組。協議過程組又分為采辦過程和供應過程，我們以采辦過程組為例說明其中要素，由于ISO/IEC 15288：2008步驟更清晰，所以表3中給出了對比。

第7章定義了適用于單獨需求方和供應商情況下的基本信息安全要求，其中包括如表4所示的生命周期。

附錄A和附錄B將ISO/IEC 27036-2：2014的條款與ISO/IEC 15288： 2008和ISO/IEC 27002： 2013的條款做了映射。附錄C則給出了條款6和條款7的目標（objective）。

4 ISO/IEC 27036-3介紹

ISO/IEC 27036-3：2013是專門關于ICT供應鏈風險管理的標準，也是真正與ISO/IEC 27001：2013和ISO/IEC 27002： 2013結合緊密的部分，不僅如此，ICT供應鏈風險管理與ISO/IEC 27031：2011《信息技術 安全技術 ICT業務連續性指南》（Information technology—Security techniques—Guidelines for information and communication technology readiness for business continuity）也應該結合考慮。

ISO/IEC 27036-3：2013正文共有6章，前4章為通用章節，第5章介紹了主要的相關概念，第6章討論了生命周期過程中的ICT供應鏈安全。ISO/IEC 27036-3：2013還包括了2個規范性附錄，附錄A給出了沿用自ISO/IEC 15288和ISO/IEC 12207的供應和采辦過程的摘要，附錄B給出了條款6與ISO/IEC 27002的映射。ISO/IEC 27036-3：2013的介紹，請參考文獻[2]。

5 ISO/IEC 27036-4介紹

如上文所述，在ISO/IEC 27036-1：2014中，將云服務作為單獨的一類。ISO/IEC 27036-4：2016單獨給出了云服務的安全指南，該標準也大致沿襲了其他部分的架構，正文有7章，附錄包含2個。其中正文的前3章為通用章節，第4章介紹了該標準的架構，第5章介紹了主要的云概念及其安全威脅和風險。

第6章為云服務采辦生命周期中的信息安全控制，第7章為云服務供應商的信息安全控制。兩者為供應鏈中的不同角色。第6章中的采辦生命周期基本沿用了ISO/IEC 15288： 2008的架構，也就是說，與ISO/IEC 27036-2：2014保持了一致。第7章按照公有云、混合云和私有云的分類討論了供應商自身的安全管理，因此其中描述與ISO/IEC 27000標準族聯系緊密。

附錄A為云供應商適用的信息安全標準，附錄B為跟ISO/IEC 27017中控制的映射。其中，ISO/IEC 27017：2015 Information technology—Security techniques —Code of practice for information security controls based on ISO/IEC 27002 for cloud services《信息技術 安全技術 基于ISO/IEC 27002的云服務信息安全控制實用規則》。

值得注意的是，在ISO/IEC 27000標準族中，還發布了一個云安全相關的標準，即ISO/IEC 27018：2014（《信息技術 安全技術 公有云中作為處理者的個人識別信息保護實用規則》）Information technology—Security techniques—Code of practice for protection of personally identifiable information （PII） in public clouds acting as PII processors。

6 小結

ISO/IEC 27036是ISO/IEC 27000標準族中專門針對供應關系信息安全的標準，對應ISO/IEC 27001：2013的A.15.1，但是整個標準并沒有沿用ISO/IEC 27001的架構，而是承襲了ISO/IEC 15288和ISO/IEC 12207中系統生命周期和軟件生命周期過程。本質而言，ISO/IEC 27036是應用系統和軟件工程架構的關于供應商關系管理的信息安全要求和指南標準。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] 季小杰，謝宗曉.應用“良好實踐”探討銀行業數據安全保護實踐[J].清華金融評論， 2018（9）：32-34.

[2] 謝宗曉，董坤祥.ICT供應鏈信息安全標準ISO/IEC 27036-3及體系分析[J].中國標準導報，2016（3）：16-21.