GB/T 36637—2018《信息安全技术 ICT供应链安全风险管理指南》浅析

谢宗晓　甄杰

ISO/IEC 27001：2013与ISO/IEC 27001：2005相比较，一个显著的变化是，在附录A的安全域中加入了“A.15 Supplier relationships”（供应商关系）[1-2]。基于此，后续在ISO/IEC 27000标准中发布了ISO/IEC 27036，该标准在下文中有介绍。

随着ICT（Information and Communication Technology，信息通信技术）的普及应用，加强其供应链安全可控保障的重要性是显而易见的。因此，在国家标准中，GB/T 36637—2018在2018年10月10日公布，将在2019年5月1日正式实施。

1 ICT供应链的概念

对于“ICT供应链”的概念，在GB/T 36637—2018中，不仅在3.4中给出了定义，而且在附录A中还做了详细的介绍。ICT供应链的具体定义如下：

ICT产品和服务的供应链，是指为满足供应关系通过资源和过程将需方、供方相互连接的网链结构，可用于将ICT的产品和服务提供给需方。

其中将ICT供应链定义为由多个上游与下游组织相互连接形成的“网链结构”，在这其中，通常包括需方和供方（供应商）两种基本的角色，需方和供方之间存在供应关系，供应关系是错综复杂的，一个组织对上游而言是需方，对下游而言是供方。

值得注意的是，在ISO/IEC 27036中，4个部分的通用标题命名为“供应商关系”，可能是因为ISO/IEC 27001：2013的A.15包括了2个条款，分别为：“A.15.1 Information security in supplier relationships”（供应商关系中的信息安全）和“A.15.2 Supplier service delivery management”（供应商服务交付管理），ISO/IEC 27036主要对应A.15.1。

从上述词汇分析，在供应关系中，需方和供方之间是对等的，而“供应商关系”词汇的视角应该是需方，即从购买ICT产品和服务的角度，这也符合ISO/IEC 27001：2013的视角。“ICT供应链”的视角更为客觀一些，应该强调供需双方，在范围中，GB/T 36637—2018指出标准适用于“重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链进行安全风险管理，也适用于指导ICT产品和服务的供方和需方加强供应链安全管理”。

2 标准的架构及主要内容

GB/T 36637—2018正文分为7章，并包含了3个附录，主要内容为第5、6、7章。

第5章为概述，实际是描述了ICT供应链的安全要求，包括完整性、保密性、可用性和可控性。

第6章介绍了ICT供应链安全风险管理的过程，其中明确地提出：组织宜按照GB/T 31722—2015《信息技术 安全技术 信息安全风险管理》的规定建立ICT供应链风险管理过程，也可将ICT供应链安全风险管理分散到对ICT生命周期各环节、ICT供应链基础设施、外部供应商的风险管理活动中。也就是说，是否建立单独的ICT供应链风险管理过程是可选项，嵌入或者整合入其他活动中也是可以接受的方法。

与通用的信息安全风险管理标准不同，GB/T 36637—2018第7章还给出了ICT供应链安全风险的控制措施，控制措施的大类则沿用了GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》的架构，分为“技术安全措施”和“管理安全措施”。

GB/T 36637—2018中3个附录均为资料性附录，其中附录A重新解读了ICT供应链，附录B讨论了ICT供应链的安全威胁，附录C则讨论了ICT供应链的安全脆弱性。在附录中给出常见的威胁和脆弱性是常见信息安全风险管理标准的通用惯例，例如，ISO/IEC 27005：2018中附录C和附录D。

3 与通用风险管理的比较

如上所述，GB/T 36637—2018沿用了GB/T 31722—2015（ISO/IEC 27005：2008，IDT）的整体框架，因此与通用信息安全风险管理框架保持了一致。ISO/IEC 27005的最新版本为ISO/IEC 27005：2018 《信息技术 安全技术 信息安全风险管理》（Information technology — Security techniques — Information security risk management）。最新的2018版是ISO/IEC 27005的第3版，之前分别有2011版和2008版。关于ISO/IEC 27005：2018的详细介绍，请参考文献[3]。

如上所述，就GB/T 36637—2018的整个架构而言，与通用的信息安全管理框架相比较，几乎没有区别。ICT供应链安全风险管理的区别，主要体现在具体的细节中。GB/T 36637—2018中ICT供应链安全风险管理的主要过程包括风险评估和风险处置，而风险评估又可以细分为风险识别、风险分析和风险评价，其具体过程如图1所示。

图1 ICT供应链风险管理过程

4 其他参考的相关文献

在国际标准中，已经发布有ISO/IEC 27036，该标准分为4部分，通用标题为供应商关系信息安全（Information security for supplier relationships），各部分标题，具体如表1所示。

对ISO/IEC 27036-3：2013较为详细的介绍参见本文的参考文献[4]。

NIST（National Institute of Standards and Technology，美国国家标准与技术研究院）于2015年发布了NIST SP800-161《联邦信息系统和组织供应链风险管理实践》，实际在2013年NIST就发布了该标准的草案。NIST SP800-161沿用了NIST SP800-39《管理信息系统风险：组织、任务与信息系统视角》的框架，即分为：组织、任务/业务过程和信息系统不同的3个层次，但是没有和GB/T 36637—2018似的，沿用相应的信息安全风险评估/管理过程，即NIST SP800-30《风险评估实施指南》，其中倒是大量参考了NIST SP800-53《联邦信息系统和组织隐私与安全控制》。关于NIST SP800-161，在本文的参考文献[5]中有较为详细的介绍。

5 小结

GB/T 36637—2018的本质是描述了一个基于ISO/IEC 27005的信息安全风险管理框架在ICT供应链领域的应用，在此基础上，给出了一个适用于该领域的控制措施集，这对于当前国际形势下的ICT供应链安全风险的管理具有重要的意义。

（注：本文仅做学术探讨，与作者所在单位观点无关）

参考文献

[1] 谢宗晓.信息安全管理体系实施指南[M].北京：中国质检出版社/中国标准出版社，2016.

[2] 白云广，谢宗晓.ISO/IEC 27001：2013概述与改版分析[J].中国标准导报，2014（12）：45-48.

[3] 谢宗晓，许定航.ISO/IEC 27005：2018解读及其三次版本演化[J].中国质量与标准导报， 2018（9）：16-18.

[4] 谢宗晓，董坤祥.ICT供应链信息安全标准ISO/IEC 27036-3及体系分析[J].中国标准导报， 2016（3）：16-21.

[5] 董坤祥，谢宗晓.ICT供应链风险管理标准NIST SP800-161探析[J].中国标准导报， 2015（11）：34-37，41.