DNV分享 | ISO与供应链信息安全管理
1992年,供应链管理专业协会突出贡献奖得主马丁克里斯托弗曾说:“在21世纪,市场竞争将是供应链和供应链的竞争”。通常我们将供应链的延申也称为“组织的生态”。进入21世纪,美英日等国纷纷发布相关文件,目的直指供应链安全,毋庸置疑供应链信息安全占据其中相当的内容和篇幅,甚至指定国家安全部门(如国防部)直接负责相关工作。
我国《网络空间安全战略》和《网络安全审查办法》中也明确提出了加强供应链安全管理,对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性,防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益。其中着重提到了供应链信息安全的相关内容,不难看出供应链信息安全是网络空间安全的重要组成部分。
我们亲密的合作伙伴、供应商和那些广为使用的权威的产品和服务提供商(甚至与安全相关的)为我们提供了持续的帮助,长久以来成为您值得信赖的朋友。他们为组织的生存、发展和成功贡献了非常宝贵、重要和积极的力量。但长期成功的合作和笃信,也许会带来一些其他的负面影响,比如:消极、懈怠、放松警惕等等。这些使得一些组织间本就不成熟、不稳固甚至不安全的过程、产品和服务成为随时爆发的潜在不利因素,一旦被引爆可能是组织难以承受的。最近几年由于供应链导致的各种安全事件层出不穷,甚至出现不幸的人身事故。从惨痛的波音737MAX坠毁事件,到全球500强颇为信赖的安全产品和服务公司Solarwinds补丁事件;从Intel的固件漏洞,到人民银行遭到供应链攻击事件,供应商在整个上述事件中都或多或少地承担了不光彩的角色。更不要说那些隐藏更深的甚至不知名的开源框架、组件和代码包等带来的安全和合规风险。下图便是来自于知名咨询公司通过收集2020年开源风险的相关数据得出的惊人的结果,从中我们不难看出这条隐藏的(供应)链中潜藏的巨大安全风险。
从现在开始,是时候来正视和解决它们(风险)了。DNV一直关注并致力供应链信息安全管理,包括ISO发布ISO/IEC 27036系列标准的发布。国际标准化组织将该标准定义为适用于所有类型和规模的组织管理任何形式的供应商,包括了上面谈到的这些场景。同时,该标准与NIST相关标准不约而同地意识到解决供应链管理的透明度问题对供应链信息安全管理的成败至关重要。从该主旨出发,基于ISO/IEC 27001标准,并在其之上围绕供应链管理特征进行了相应的扩展;并参考ISO/IEC 15288全生命周期模型,覆盖基本的、ICT的和云供应链的信息安全组织管理、项目管理和技术等维度的要求。
ISO/IEC 27036系列标准分为四个部分,分别从基本概念、基本要求、ICT和云四个方面或场景,提出了在前述的生命周期模型下,针对供应链信息安全管理的定义、实施、运营、监控、审查、维护和改善供应商与需方关系的信息安全要求;促进相互了解对方在信息安全方面的过程和对信息安全风险的可接受准则,促使双方在这些方面达成一致并协同进行管理。ISO/IEC 27036不仅关注需方的要求和实践,也从供方角度对如何满足需方的要求及自身的安全要求提出了切实的要求和实践。所以ISO/IEC 27036系列标准不仅适用于需方也适用于供方,其充分考虑了供应链上下游之间供需双方的现实需要,满足了供应链生态在信息安全方面的关切。
作者介绍 刘诗钊 老师
DNV管理服务集团大中国地区ICT供应链信息安全专家刘诗钊先生目前负责ICT行业的部分产品开发(含ICT供应链安全产品)、市场支持和现场审核等业务。加入DNV之前曾担任跨国公司、银行及高科技公司的网络工程师、IT运营管理咨询专家和项目总监等职务。
他具有近20年的IT运营、项目管理、风险管理、解决方案、咨询、培训、评估及审核的专业经验;覆盖政府、能源、互联网、金融、电信、信息科技、电子、生产制造、服务等行业。审核经历:中国电信、中国联通、中车集团、中信集团、顺德银行、腾讯、百度、爱奇艺、亚信科技、文思海辉集团、IBM中国、松下集团、NTTdata、中国平安、泰康人寿、中国人保、一汽大众、上汽通用、蔚来汽车、长城汽车、富士康等。