文档介绍:GB/T36637
《信息安全技术ICT供应链安全风险管理指南》浅析
 
 
谢宗晓 甄杰
ISO/IEC 27001:2013与ISO/IEC 27001:2005相比较,一个显著的变化是,在附录A的安全域中加入了““重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链进行安全风险管理,也适用于指导ICT产品和服务的供方和需方加强供应链安全管理”。
2 标准的架构及主要内容
GB/T 36637—2018正文分为7章,并包含了3个附录,主要内容为第5、6、7章。
第5章为概述,实际是描述了ICT供应链的安全要求,包括完整性、保密性、可用性和可控性。
第6章介绍了ICT供应链安全风险管理的过程,其中明确地提出:组织宜按照GB/T 31722—2015《信息技术 安全技术 信息安全风险管理》的规定建立ICT供应链风险管理过程,也可将ICT供应链安全风险管理分散到对ICT生命周期各环节、ICT供应链基础设施、外部供应商的风险管理活动中。也就是说,是否建立单独的ICT供应链风险管理过程是可选项,嵌入或者整合入其他活动中也是可以接受的方法。
与通用的信息安全风险管理标准不同,GB/T 36637—2018第7章还给出了ICT供应链安全风险的控制措施,控制措施的大类则沿用了GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》的架构,分为“技术安全措施”和“管理安全措施”。
GB/T 36637—2018中3个附录均为资料性附录,其中附录A重新解读了ICT供应链,附录B讨论了ICT供应链的安全威胁,附录C则讨论了ICT供应链的安全脆弱性。在附录中给出常见的威胁和脆弱性是常见信息安全风险管理标准的通用惯例,例如,ISO/IEC 27005:2018中附录C和附录D。
3 与通用风险管理的比较
如上所述,GB/T 36637—2018沿用了GB/T 31722—2015(ISO/IEC 27005:2008,IDT)的整体框架,因此与通用信息安全风险管理框架保持了一致。
ISO/IEC 27005的最新版本为ISO/IEC 27005:2018 《信息技术 安全技术 信息安全风险管理》(Information technology — Security techniques — Information security risk management)。最新的2018版是ISO/IEC 27005的第3版,之前分别有2011版和2008版。关于ISO/IEC 27005:2018的详细介绍,请Reference[3]。
如上所述,就GB/T 36637—2018的整个架构而言,与通用的信息安全管理框架相比较,几乎没有区别。ICT供应链安全风险管理的区别,主要体现在具体的细节中。GB/T 36637—2018中ICT供应链安全风险管理的主要过程包括风险评估和风险处置,而风险评估又可以细分为风险识别、风险分析和风险评价,其具体过程如图1所示。
图1 ICT供应链风险管理过程
4 其他参考的相关文献
在国际标准中,已经发布有ISO/IEC 27036,该标准分为4部分,通用标题为供应商关系信息安全(Information security for supplier relati