GB∕T 36637-2018《信息安全技術 ICT供應鏈安全風險管理指南》標準解讀

【摘   要】2018年10月10日，國家市場監督管理總局和中國國家標準化管理委員會正式發布了國家標準GB/T 36637-2018《信息安全技術 ICT供應鏈安全風險管理指南》。該標準面向我國信息通信技術（以下簡稱ICT）供應鏈安全，旨在提高網絡運營者ICT供應鏈安全管理水平，切實保障我國重要信息系統和關鍵信息基礎設施的ICT供應鏈安全風險。本文主要從標準現狀、標準適用范圍和編制思路、標準解讀3個方面對該標準進行了闡述，使網絡產品和服務的采購方和供應商更好地理解該標準，便于網絡運營者開展ICT供應鏈安全風險管理。

【關鍵詞】ICT供應鏈  安全風險管理  標準

1 引言

隨著信息通信技術的普及應用，加強ICT供應鏈的安全可控保障變得至關重要。目前，世界各國和ICT行業已普遍認識到，相比傳統行業，ICT行業供應鏈更加復雜，存在安全風險的概率更大。加強ICT供應鏈安全管理，有利于增強客戶對ICT供應鏈以及ICT行業的安全信任。

與傳統供應鏈相比，ICT供應鏈具有許多不同的特點：一是ICT供應鏈涵蓋ICT產品和服務的全生命周期，不僅包括傳統供應鏈的生產、集成、倉儲、交付等供應階段，也包括產品服務的設計開發階段和售后運維階段；二是ICT產品由全球分布的供應商開發、集成或交付，供應鏈的全球分布性使得客戶對供應鏈的掌握情況和安全風險控制能力在下降；三是傳統供應鏈主要關注如何將產品有效地交付給客戶，或者供應鏈健壯性的強度，而ICT供應鏈安全更關注是否會有額外的功能注入產品和服務中，交付的產品和服務是否與預期一致等。這些特點使得ICT供應鏈比傳統供應鏈存在更多的安全風險，加強ICT供應鏈的安全風險管理刻不容緩。

為加強ICT供應鏈安全管理，全國信息安全標準化技術委員會（簡稱信安標委或TC260）啟動了國家標準《信息安全技術 ICT供應鏈安全風險管理指南》（簡稱《ICT供應鏈安全風險管理指南》或GB/T 36637-2018）的制定工作。該標準由中國電子技術標準化研究院牽頭，中科院軟件所、聯想、華為、螞蟻金服、阿里巴巴、京東、浪潮等18家單位參與起草。該標準于2018年10月10日由國家市場監督管理總局和國家標準化管理委員會正式發布，2019年5月1日開始實施。

2 國內外供應鏈安全標準現狀

目前，國際供應鏈安全標準已漸成體系，而國內供應鏈安全要求大多分散在多個標準中，GB/T 36637-2018作為我國第一個ICT供應鏈安全國家標準，標志著我國供應鏈安全標準正在起步。

2.1 國外主要供應鏈安全標準

（1）ISO 28000系列標準

ISO 28000供應鏈安全管理體系系列標準，是為滿足運輸和物流行業對共同安全管理標準的需求而提出的，旨在幫助組織建立一個可認證的供應鏈安全管理體系，適用于涉及采購、制造、倉儲或運輸等供應鏈任一環節的各類組織。該系列標準主要包括：ISO 28000《供應鏈安全管理體系規范》、ISO 28001《供應鏈安全、評估和計劃的最佳實踐——需求和指南》、ISO 28002《供應鏈恢復能力的開發——要求及使用指南》、ISO 28003《提供審核和認證功能的實體的需求》、ISO 28004《ISO28000實施指南》。

（2）ISO/IEC 27036

ISO/IEC 27036《供應商關系的信息安全》是第一部針對ICT供應鏈安全的國際標準，屬于ISO/IEC 27000信息安全管理體系標準，其針對客戶和供應商之間的購買與供應關系（即供應商關系），規定了供應商關系信息安全管理的框架，適用于采購方和供應商對供應商關系進行信息安全管理。該標準包括4個部分：ISO/IEC 27036-1《第一部分：概述和概念》、ISO/IEC 27036-2《第二部分：通用要求》、ISO/IEC 27036-3《第三部分：ICT供應鏈安全指南》、ISO/IEC 27036-4《第四部分：云服務安全指南》。

（3）ISO/IEC 22043

ISO/IEC 22043《開放可信技術供應商標準——減少被惡意污染和偽冒的產品》，原是國際開放組織（The Open Group）聯合IBM、惠普、微軟、華為、思科等會員企業，共同編制的一項行業聯盟標準。該標準針對采購ICT商用現貨面臨的產品被惡意污染、被偽冒兩大威脅，從產品開發工程、安全開發工程、供應鏈安全3個方面，提出了一個保障產品開發過程安全和供應過程完整性的最佳實踐。該標準也可用于對供應商在降低被惡意污染和偽冒產品風險方面進行認證。

（4）NIST SP800-161

NIST SP800-161《聯邦信息系統和組織供應鏈風險管理方法》，用于指導美國聯邦政府機構管理ICT供應鏈的安全風險，旨在指導聯邦部門和機構識別、評估和減輕ICT供應鏈風險。NIST SP800-161分析了聯邦機構的ICT供應鏈結構；基于NIST SP800-39的組織風險管理過程，給出了供應鏈風險管理的過程和活動；基于NIST SP800-53給出ICT供應鏈的安全控制措施集合，新增了來源安全控制族，可供組織根據ICT需求定制裁剪。

2.2 國內主要供應鏈安全標準

GB/T 32921-2016《信息安全技術 信息技術產品供應方行為安全準則》從供應商角度入手，規定了信息技術產品供應方的行為安全準則。其他已發布的網絡安全標準，有的含有供應鏈安全要求，如GB/T 31168-2014《信息安全技術 云計算服務安全能力要求》提出“系統開發與供應鏈安全”，對云服務商的供應鏈從采購過程、外部服務提供商、開發商、防篡改、組件真實性、不被支持的系統組件、供應鏈保護等方面提出了安全要求。新修訂的GB/T 22239-2019《信息安全技術 信息系統安全等級保護基本要求》在通用要求里，提出了產品采購與使用、外包軟件開發、服務供應商選擇等供應鏈安全要求。GB/T 29245-2012《信息安全技術 政府部門信息安全管理基本要求》在日常信息安全管理中也規定了“采購管理”和“外包管理”要求，用于指導各級政府部門的信息安全管理工作。

在供應鏈風險管理方面，我國風險管理標準化技術委員會（SAC/TC 310）發布的GB/T 24420-2009《供應鏈風險管理指南》，給出了供應鏈風險管理的通用指南和航空工業的風險評估示例，但主要針對傳統物流供應鏈，未全面考慮ICT供應鏈的網絡安全風險。而GB/T 36637-2018《信息安全技術 ICT供應鏈安全風險管理指南》作為我國第一個ICT供應鏈安全國家標準，彌補了ICT供應鏈安全風險管理的空白。

3 標準適用范圍和編制思路

《ICT供應鏈安全風險管理指南》規定了ICT供應鏈的安全風險管理過程和控制措施，適用于重要信息系統和關鍵信息基礎設施的ICT供方和運營者對ICT供應鏈進行安全風險管理，也適用于指導ICT產品和服務的供方和需方加強供應鏈安全管理，同時還可供第三方測評機構對ICT供應鏈進行安全風險評估時參考。

該標準編制時成立了包含需方和軟件、硬件、服務等多類供方的編制組，通過深入研究國內外供應鏈安全相關政策和標準，廣泛調研國內軟件、硬件和服務等不同類型機構的供應鏈安全風險和管理實踐，在多輪意見反饋及企業試用驗證后形成報批稿進行發布。編制工作中主要遵循以下原則。

一是以國內外供應鏈安全相關標準為基礎�！禝CT供應鏈安全風險管理指南》以國內供應鏈安全相關標準要求為基礎，充分借鑒國際先進的ICT供應鏈安全風險管理方法。其中，風險管理過程以國內的供應鏈管理、信息安全風險管理類標準為基礎，如ISO/IEC 27005（GB/T 31722）、GB/T 24420等；安全控制措施以國內外供應鏈相關安全措施為基礎，如GB/T 22239、GB/T 31168、ISO/IEC 27002、ISO/IEC 27036、NIST SP800-161、NIST SP800-53。

二是支持多樣的ICT產品和服務供應鏈。由于ICT產品和服務類型多樣，軟件、硬件、系統、服務的供應鏈細節可能存在不同，因此本標準在編制中盡量考慮到多種類型產品和服務，從軟件、硬件、服務、數據、客戶幾個角度梳理供應鏈的安全風險，安全風險管理過程盡量采用通用、得到認可的過程步驟，供應鏈安全控制措施則提供了一個控制措施集合，ICT采購方或供應商可根據應用環境和安全需求進行剪裁。

三是考慮可操作性和實用性。為了確保標準的可操作性和實用性，標準編制組廣泛吸收了在國內信息通信技術產品和服務市場的主流軟件、硬件、服務廠商作為標準編制組成員。

4 標準內容解讀

《ICT供應鏈安全風險管理指南》標準，主要包括術語定義、ICT供應鏈安全風險管理過程、安全控制措施、ICT供應鏈概述、ICT供應鏈安全威脅、ICT供應鏈安全脆弱性等內容。

4.1 ICT供應鏈

標準給出了對ICT供應鏈的界定和理解，包括在術語中定義了ICT供應鏈、供應關系、ICT供應鏈生命周期、ICT供應鏈基礎設施等概念，以及在附錄A提出了ICT供應鏈結構、特點、范圍和供應商類型等內容。

ICT供應鏈即網絡產品和服務的供應鏈，是指為滿足供應關系通過資源和過程將需方、供方相互連接的網鏈結構，可用于將ICT產品和服務提供給需方。ICT供應鏈結構如圖1所示。

供應鏈通常包括需方和供應商（供方）兩種角色，需方與供應商之間存在供應關系。在供應鏈中，一個組織可能既是上游組織的需方，也是下游組織的供應方，與其上游、下游均存在供應商關系。

相對于傳統領域的實體供應鏈，ICT供應鏈具有全球分布性、供應商多樣性、產品服務復雜性、全生命周期覆蓋性等特點。ICT供應鏈生命周期是ICT產品和服務從無到有直至廢棄的全生命周期涉及的供應鏈活動，通常以ICT產品和服務的設計為起點，經過開發、生產、集成、倉儲、交付等環節將產品和服務交付給需方，并對產品和服務進行運維、售后服務等直至其廢棄。

雖然從廣義來說，ICT供應鏈的范圍包含產品、系統或服務中所有部件在其生命周期各環節中涉及的所有供應商，但是考慮到組織實踐和管理成本，需方可根據組織的業務目標自行劃分ICT供應鏈的管理范圍，對其組織范圍內的ICT產品、系統或服務的創建、維護、終止等全生命周期過程涉及的供應商關系進行管理。

圖1 ICT供應鏈結構示意圖

4.2 ICT供應鏈安全目標和安全風險

標準第五章給出了ICT供應鏈安全目標，主要表現在：一是完整性。確保在ICT供應鏈所有環節中，網絡產品和服務不被植入、篡改、替換和偽造；二是保密性。確保ICT供應鏈上傳遞的敏感信息不被未授權泄露；三是可用性。確保ICT供應鏈能夠正常供應，甚至在部分失效時仍能保持連續供應；四是可控性。確保采購方和供應商對ICT產品、服務或供應鏈的控制能力，例如一旦ICT供應鏈發生問題可進行追溯，保障采購方對供應鏈信息的透明度等。

目前，ICT供應鏈已成為網絡攻擊的重要渠道和對象，可能面臨多種安全威脅。標準附錄B列出了主要威脅，主要涉及惡意篡改、假冒偽劣、供應中斷、信息泄露、違規操作和其他威脅。同時，ICT供應鏈也可能存在許多安全脆弱性，如附錄C所示，包括設計研發階段的安全隱患、供應階段的安全隱患、服務運維階段的安全隱患、ICT供應鏈安全管理的安全隱患、ICT供應鏈信息系統的安全隱患和供應鏈物理安全隱患。

4.3 ICT供應鏈安全風險管理過程

標準第六章給出了ICT供應鏈風險管理過程，具體編制時主要基于GB/T 31722的信息安全風險管理框架，參考GB/T 24420《供應鏈風險管理指南》和NIST SP 800-161《聯邦信息系統和組織供應鏈風險管理方法》等標準，細化了ICT供應鏈安全風險管理的步驟和實施細則。

組織可針對ICT供應鏈可能面臨的安全風險，建立ICT供應鏈安全風險管理過程。ICT供應鏈安全風險管理過程由背景分析、風險評估、風險處置、風險監督和檢查、風險溝通和記錄5個步驟組成，如圖2所示。組織宜按照GB/T 31722-2015的規定建立ICT供應鏈風險管理過程，也可將ICT供應鏈安全風險管理分散到對ICT供應鏈生命周期各環節、ICT供應鏈基礎設施、外部供應商的風險管理活動中。

圖2 ICT供應鏈安全風險管理過程

4.4 ICT供應鏈安全風險控制措施

標準第七章提供了可用于應對ICT供應鏈安全風險的安全措施，具體編制時參考了GB/T 2208、NIST SP800-161、ISO/IEC 22043及現有國家標準中供應鏈相關安全要求進行編制，給出了ICT供應鏈安全風險控制措施集合，供ICT采購方或供應方根據自身存在的安全風險和組織特點篩選使用。

組織可根據組織的特點和已識別的安全風險，選擇實施相應的技術安全措施和管理安全措施，以降低ICT供應鏈安全風險，提高組織的ICT供應鏈安全保障能力。

技術安全措施包括物理與環境安全、系統與通信安全、訪問控制、標識與鑒別、供應鏈完整性保護和可追溯性幾個方面；管理安全措施涉及制度和人員管理、供應鏈生命周期管理、采購外包和供應商管理。

此外，ICT供應鏈基礎設施通常作為ICT供應鏈安全的主要保護對象，是指由組織內的硬件、軟件和制度流程等構成的集合，用于構建產品和服務的設計、開發、生產、集成、倉儲、交付、運維、廢棄等ICT供應鏈生命周期的環境。ICT供應鏈基礎設施，主要包括組織內部支撐ICT供應鏈生命周期的信息系統和物理設施，如供應鏈管理信息系統、采購管理系統、軟件開發環境、零部件生產車間、產品倉庫等。

5 結語

ICT供應鏈安全已成為世界各國重點關注的問題，GB∕T 36637-2018《信息安全技術 ICT供應鏈安全風險管理指南》國家標準的發布，彌補了我國在ICT供應鏈安全領域標準缺失的問題，為提高重要信息系統和關鍵信息基礎設施的ICT供應鏈安全管理水平提供了有力支撐和技術基礎。

參考文獻

[1] GB/T 36637-2018《信息安全技術 ICT供應鏈安全風險管理指南》[S].