謝宗曉　甄杰

1 標(biāo)準(zhǔn)架構(gòu)及概述

ISO/IEC 27036通用標(biāo)題為供應(yīng)商關(guān)系信息安全（Information security for supplier relationships），該標(biāo)準(zhǔn)目前發(fā)布有4個部分，各部分標(biāo)題及其發(fā)布時間，如表1所示。

作為ISO/IEC 27000標(biāo)準(zhǔn)族成員，ISO/IEC 27036的標(biāo)題與ISO/IEC 27001：2013描述略有不同，ISO/IEC 27001：2013的描述為“A.15.1 Information security in supplier relationships”（供應(yīng)商關(guān)系中的信息安全）。

2 ISO/IEC 27036-1介紹

ISO/IEC 27036-1：2014主要介紹了相關(guān)的定義，并概述了ISO/IEC 27036的4個部分主要內(nèi)容。該標(biāo)準(zhǔn)規(guī)范性引用了ISO/IEC 270001），但其中定義，更多的來自ISO/IEC 15288： 2008和ISO 28001：2007等標(biāo)準(zhǔn)，相關(guān)標(biāo)準(zhǔn)的信息如表2所示。

ISO/IEC 27036-1：2014正文共有6章，前4章為通用條款，第5章定義了主要問題和概念，第6章介紹了ISO/IEC 27036的架構(gòu)與概述。由于下文中會介紹ISO/IEC 27036-2～4：2014三部分標(biāo)準(zhǔn)，因此第6章在此處不再詳細討論。第5章首先介紹了建立供應(yīng)商關(guān)系管理的動機、供應(yīng)商關(guān)系的類型，之后分析了其中相關(guān)的威脅與信息安全風(fēng)險以及相應(yīng)的風(fēng)險管理，最后討論了一些其他注意事項。注意其中將供應(yīng)商的類型分為產(chǎn)品供應(yīng)商和服務(wù)供應(yīng)商的同時，也定義了供應(yīng)鏈的概念，并且將“云計算”作為單獨一種形態(tài)討論。

3 ISO/IEC 27036-2介紹

ISO/IEC 27036-2：2014定義了供應(yīng)商關(guān)系信息安全的要求，考慮ISO/IEC 27001： 2013為信息安全管理體系要求，就功能而言，這兩個標(biāo)準(zhǔn)存在相似之處，但是ISO/IEC 27001： 2013主要依據(jù)PDCA（Plan—Do—Check—Act）的“戴明環(huán)”架構(gòu)，ISO/IEC 27036-2：2014則主要依據(jù)ISO/IEC 15288： 2008的系統(tǒng)生命周期。ISO/IEC 27036-2：2014正文共有7章，并有3個規(guī)范性附錄。其中前4章為通用條款，第5章介紹了ISO/IEC 27036-2大致的架構(gòu)。

第6章基本沿用了ISO/IEC 15288：2008的架構(gòu)，其中包括：協(xié)議過程組、組織的項目使能過程組、項目管理過程組和技術(shù)過程組。協(xié)議過程組又分為采辦過程和供應(yīng)過程，我們以采辦過程組為例說明其中要素，由于ISO/IEC 15288：2008步驟更清晰，所以表3中給出了對比。

第7章定義了適用于單獨需求方和供應(yīng)商情況下的基本信息安全要求，其中包括如表4所示的生命周期。

附錄A和附錄B將ISO/IEC 27036-2：2014的條款與ISO/IEC 15288： 2008和ISO/IEC 27002： 2013的條款做了映射。附錄C則給出了條款6和條款7的目標(biāo)（objective）。

4 ISO/IEC 27036-3介紹

ISO/IEC 27036-3：2013是專門關(guān)于ICT供應(yīng)鏈風(fēng)險管理的標(biāo)準(zhǔn)，也是真正與ISO/IEC 27001：2013和ISO/IEC 27002： 2013結(jié)合緊密的部分，不僅如此，ICT供應(yīng)鏈風(fēng)險管理與ISO/IEC 27031：2011《信息技術(shù) 安全技術(shù) ICT業(yè)務(wù)連續(xù)性指南》（Information technology—Security techniques—Guidelines for information and communication technology readiness for business continuity）也應(yīng)該結(jié)合考慮。

ISO/IEC 27036-3：2013正文共有6章，前4章為通用章節(jié)，第5章介紹了主要的相關(guān)概念，第6章討論了生命周期過程中的ICT供應(yīng)鏈安全。ISO/IEC 27036-3：2013還包括了2個規(guī)范性附錄，附錄A給出了沿用自ISO/IEC 15288和ISO/IEC 12207的供應(yīng)和采辦過程的摘要，附錄B給出了條款6與ISO/IEC 27002的映射。ISO/IEC 27036-3：2013的介紹，請參考文獻[2]。

5 ISO/IEC 27036-4介紹

如上文所述，在ISO/IEC 27036-1：2014中，將云服務(wù)作為單獨的一類。ISO/IEC 27036-4：2016單獨給出了云服務(wù)的安全指南，該標(biāo)準(zhǔn)也大致沿襲了其他部分的架構(gòu)，正文有7章，附錄包含2個。其中正文的前3章為通用章節(jié)，第4章介紹了該標(biāo)準(zhǔn)的架構(gòu)，第5章介紹了主要的云概念及其安全威脅和風(fēng)險。

第6章為云服務(wù)采辦生命周期中的信息安全控制，第7章為云服務(wù)供應(yīng)商的信息安全控制。兩者為供應(yīng)鏈中的不同角色。第6章中的采辦生命周期基本沿用了ISO/IEC 15288： 2008的架構(gòu)，也就是說，與ISO/IEC 27036-2：2014保持了一致。第7章按照公有云、混合云和私有云的分類討論了供應(yīng)商自身的安全管理，因此其中描述與ISO/IEC 27000標(biāo)準(zhǔn)族聯(lián)系緊密。

附錄A為云供應(yīng)商適用的信息安全標(biāo)準(zhǔn)，附錄B為跟ISO/IEC 27017中控制的映射。其中，ISO/IEC 27017：2015 Information technology—Security techniques —Code of practice for information security controls based on ISO/IEC 27002 for cloud services《信息技術(shù) 安全技術(shù) 基于ISO/IEC 27002的云服務(wù)信息安全控制實用規(guī)則》。

值得注意的是，在ISO/IEC 27000標(biāo)準(zhǔn)族中，還發(fā)布了一個云安全相關(guān)的標(biāo)準(zhǔn)，即ISO/IEC 27018：2014（《信息技術(shù) 安全技術(shù) 公有云中作為處理者的個人識別信息保護實用規(guī)則》）Information technology—Security techniques—Code of practice for protection of personally identifiable information （PII） in public clouds acting as PII processors。

6 小結(jié)

ISO/IEC 27036是ISO/IEC 27000標(biāo)準(zhǔn)族中專門針對供應(yīng)關(guān)系信息安全的標(biāo)準(zhǔn)，對應(yīng)ISO/IEC 27001：2013的A.15.1，但是整個標(biāo)準(zhǔn)并沒有沿用ISO/IEC 27001的架構(gòu)，而是承襲了ISO/IEC 15288和ISO/IEC 12207中系統(tǒng)生命周期和軟件生命周期過程。本質(zhì)而言，ISO/IEC 27036是應(yīng)用系統(tǒng)和軟件工程架構(gòu)的關(guān)于供應(yīng)商關(guān)系管理的信息安全要求和指南標(biāo)準(zhǔn)。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點無關(guān)）

參考文獻

[1] 季小杰，謝宗曉.應(yīng)用“良好實踐”探討銀行業(yè)數(shù)據(jù)安全保護實踐[J].清華金融評論， 2018（9）：32-34.

[2] 謝宗曉，董坤祥.ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036-3及體系分析[J].中國標(biāo)準(zhǔn)導(dǎo)報，2016（3）：16-21.