謝宗曉　甄杰

1 標(biāo)準(zhǔn)架構(gòu)及概述

ISO/IEC 27036通用標(biāo)題為供應(yīng)商關(guān)系信息安全（Information security for supplier relationships），該標(biāo)準(zhǔn)目前發(fā)布有4個(gè)部分，各部分標(biāo)題及其發(fā)布時(shí)間，如表1所示。

作為ISO/IEC 27000標(biāo)準(zhǔn)族成員，ISO/IEC 27036的標(biāo)題與ISO/IEC 27001：2013描述略有不同，ISO/IEC 27001：2013的描述為“A.15.1 Information security in supplier relationships”（供應(yīng)商關(guān)系中的信息安全）。

2 ISO/IEC 27036-1介紹

ISO/IEC 27036-1：2014主要介紹了相關(guān)的定義，并概述了ISO/IEC 27036的4個(gè)部分主要內(nèi)容。該標(biāo)準(zhǔn)規(guī)范性引用了ISO/IEC 270001），但其中定義，更多的來(lái)自ISO/IEC 15288： 2008和ISO 28001：2007等標(biāo)準(zhǔn)，相關(guān)標(biāo)準(zhǔn)的信息如表2所示。

ISO/IEC 27036-1：2014正文共有6章，前4章為通用條款，第5章定義了主要問(wèn)題和概念，第6章介紹了ISO/IEC 27036的架構(gòu)與概述。由于下文中會(huì)介紹ISO/IEC 27036-2～4：2014三部分標(biāo)準(zhǔn)，因此第6章在此處不再詳細(xì)討論。第5章首先介紹了建立供應(yīng)商關(guān)系管理的動(dòng)機(jī)、供應(yīng)商關(guān)系的類(lèi)型，之后分析了其中相關(guān)的威脅與信息安全風(fēng)險(xiǎn)以及相應(yīng)的風(fēng)險(xiǎn)管理，最后討論了一些其他注意事項(xiàng)。注意其中將供應(yīng)商的類(lèi)型分為產(chǎn)品供應(yīng)商和服務(wù)供應(yīng)商的同時(shí)，也定義了供應(yīng)鏈的概念，并且將“云計(jì)算”作為單獨(dú)一種形態(tài)討論。

3 ISO/IEC 27036-2介紹

ISO/IEC 27036-2：2014定義了供應(yīng)商關(guān)系信息安全的要求，考慮ISO/IEC 27001： 2013為信息安全管理體系要求，就功能而言，這兩個(gè)標(biāo)準(zhǔn)存在相似之處，但是ISO/IEC 27001： 2013主要依據(jù)PDCA（Plan—Do—Check—Act）的“戴明環(huán)”架構(gòu)，ISO/IEC 27036-2：2014則主要依據(jù)ISO/IEC 15288： 2008的系統(tǒng)生命周期。ISO/IEC 27036-2：2014正文共有7章，并有3個(gè)規(guī)范性附錄。其中前4章為通用條款，第5章介紹了ISO/IEC 27036-2大致的架構(gòu)。

第6章基本沿用了ISO/IEC 15288：2008的架構(gòu)，其中包括：協(xié)議過(guò)程組、組織的項(xiàng)目使能過(guò)程組、項(xiàng)目管理過(guò)程組和技術(shù)過(guò)程組。協(xié)議過(guò)程組又分為采辦過(guò)程和供應(yīng)過(guò)程，我們以采辦過(guò)程組為例說(shuō)明其中要素，由于ISO/IEC 15288：2008步驟更清晰，所以表3中給出了對(duì)比。

第7章定義了適用于單獨(dú)需求方和供應(yīng)商情況下的基本信息安全要求，其中包括如表4所示的生命周期。

附錄A和附錄B將ISO/IEC 27036-2：2014的條款與ISO/IEC 15288： 2008和ISO/IEC 27002： 2013的條款做了映射。附錄C則給出了條款6和條款7的目標(biāo)（objective）。

4 ISO/IEC 27036-3介紹

ISO/IEC 27036-3：2013是專(zhuān)門(mén)關(guān)于ICT供應(yīng)鏈風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)，也是真正與ISO/IEC 27001：2013和ISO/IEC 27002： 2013結(jié)合緊密的部分，不僅如此，ICT供應(yīng)鏈風(fēng)險(xiǎn)管理與ISO/IEC 27031：2011《信息技術(shù) 安全技術(shù) ICT業(yè)務(wù)連續(xù)性指南》（Information technology—Security techniques—Guidelines for information and communication technology readiness for business continuity）也應(yīng)該結(jié)合考慮。

ISO/IEC 27036-3：2013正文共有6章，前4章為通用章節(jié)，第5章介紹了主要的相關(guān)概念，第6章討論了生命周期過(guò)程中的ICT供應(yīng)鏈安全。ISO/IEC 27036-3：2013還包括了2個(gè)規(guī)范性附錄，附錄A給出了沿用自ISO/IEC 15288和ISO/IEC 12207的供應(yīng)和采辦過(guò)程的摘要，附錄B給出了條款6與ISO/IEC 27002的映射。ISO/IEC 27036-3：2013的介紹，請(qǐng)參考文獻(xiàn)[2]。

5 ISO/IEC 27036-4介紹

如上文所述，在ISO/IEC 27036-1：2014中，將云服務(wù)作為單獨(dú)的一類(lèi)。ISO/IEC 27036-4：2016單獨(dú)給出了云服務(wù)的安全指南，該標(biāo)準(zhǔn)也大致沿襲了其他部分的架構(gòu)，正文有7章，附錄包含2個(gè)。其中正文的前3章為通用章節(jié)，第4章介紹了該標(biāo)準(zhǔn)的架構(gòu)，第5章介紹了主要的云概念及其安全威脅和風(fēng)險(xiǎn)。

第6章為云服務(wù)采辦生命周期中的信息安全控制，第7章為云服務(wù)供應(yīng)商的信息安全控制。兩者為供應(yīng)鏈中的不同角色。第6章中的采辦生命周期基本沿用了ISO/IEC 15288： 2008的架構(gòu)，也就是說(shuō)，與ISO/IEC 27036-2：2014保持了一致。第7章按照公有云、混合云和私有云的分類(lèi)討論了供應(yīng)商自身的安全管理，因此其中描述與ISO/IEC 27000標(biāo)準(zhǔn)族聯(lián)系緊密。

附錄A為云供應(yīng)商適用的信息安全標(biāo)準(zhǔn)，附錄B為跟ISO/IEC 27017中控制的映射。其中，ISO/IEC 27017：2015 Information technology—Security techniques —Code of practice for information security controls based on ISO/IEC 27002 for cloud services《信息技術(shù) 安全技術(shù) 基于ISO/IEC 27002的云服務(wù)信息安全控制實(shí)用規(guī)則》。

值得注意的是，在ISO/IEC 27000標(biāo)準(zhǔn)族中，還發(fā)布了一個(gè)云安全相關(guān)的標(biāo)準(zhǔn)，即ISO/IEC 27018：2014（《信息技術(shù) 安全技術(shù) 公有云中作為處理者的個(gè)人識(shí)別信息保護(hù)實(shí)用規(guī)則》）Information technology—Security techniques—Code of practice for protection of personally identifiable information （PII） in public clouds acting as PII processors。

6 小結(jié)

ISO/IEC 27036是ISO/IEC 27000標(biāo)準(zhǔn)族中專(zhuān)門(mén)針對(duì)供應(yīng)關(guān)系信息安全的標(biāo)準(zhǔn)，對(duì)應(yīng)ISO/IEC 27001：2013的A.15.1，但是整個(gè)標(biāo)準(zhǔn)并沒(méi)有沿用ISO/IEC 27001的架構(gòu)，而是承襲了ISO/IEC 15288和ISO/IEC 12207中系統(tǒng)生命周期和軟件生命周期過(guò)程。本質(zhì)而言，ISO/IEC 27036是應(yīng)用系統(tǒng)和軟件工程架構(gòu)的關(guān)于供應(yīng)商關(guān)系管理的信息安全要求和指南標(biāo)準(zhǔn)。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無(wú)關(guān)）

參考文獻(xiàn)

[1] 季小杰，謝宗曉.應(yīng)用“良好實(shí)踐”探討銀行業(yè)數(shù)據(jù)安全保護(hù)實(shí)踐[J].清華金融評(píng)論， 2018（9）：32-34.

[2] 謝宗曉，董坤祥.ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036-3及體系分析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（3）：16-21.