陶麗雯 趙改俠 謝宗曉

摘要：信息通信技術(shù)（ICT）的提供方和運(yùn)營(yíng)者，其ICT供應(yīng)鏈具有的風(fēng)險(xiǎn)和脆弱性事關(guān)國(guó)家的網(wǎng)絡(luò)安全。文章對(duì)國(guó)內(nèi)外ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理監(jiān)管政策進(jìn)行了分析，同時(shí)跟蹤探討了當(dāng)前主流技術(shù)標(biāo)準(zhǔn)的發(fā)展情況，針對(duì)目前在金融行業(yè)的實(shí)踐，嘗試提出了一些建議，為今后深入研究金融行業(yè)ICT供應(yīng)鏈風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估技術(shù)提供了依據(jù)。

關(guān)鍵詞：ICT供應(yīng)鏈;風(fēng)險(xiǎn)管理;綜述

中圖分類號(hào)：TP309????????? 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

在ICT采購(gòu)全球化的趨勢(shì)下，信息通信技術(shù)（Information and Communications Technology，ICT）供應(yīng)鏈安全是一個(gè)影響范圍極大的全球性問(wèn)題。ICT供應(yīng)鏈安全與國(guó)家安全間的關(guān)系愈發(fā)密切，在全球范圍內(nèi)，美國(guó)、歐盟、中國(guó)等國(guó)家先后將ICT供應(yīng)鏈安全置于國(guó)家安全戰(zhàn)略層面來(lái)研究[1]。

然而，ICT供應(yīng)鏈的安全性需要綜合考慮供應(yīng)商多樣性、產(chǎn)品服務(wù)復(fù)雜性、全生命周期覆蓋性三個(gè)維度的特性。任何一個(gè)維度的任一環(huán)節(jié)出現(xiàn)問(wèn)題，都可能造成ICT產(chǎn)品、系統(tǒng)或服務(wù)不安全，進(jìn)而導(dǎo)致ICT供應(yīng)鏈安全風(fēng)險(xiǎn)。因此，與傳統(tǒng)領(lǐng)域的實(shí)體供應(yīng)鏈相比，ICT供應(yīng)鏈面臨的安全風(fēng)險(xiǎn)更為復(fù)雜多變，更為多樣化[2]。

歐美發(fā)達(dá)國(guó)家在ICT供應(yīng)鏈領(lǐng)域起步早。例如，美國(guó)政府問(wèn)責(zé)局（Government Accountability Office，GAO）2012年發(fā)布報(bào)告對(duì)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)及其脆弱性進(jìn)行了定義。報(bào)告認(rèn)為，通過(guò)ICT供應(yīng)鏈實(shí)施網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)具有自身的脆弱性，包括經(jīng)由獨(dú)立的分銷商、經(jīng)紀(jì)人或灰色市場(chǎng)進(jìn)行信息技術(shù)產(chǎn)品或組件的采購(gòu)，ICT供應(yīng)鏈缺乏充分的軟件更新和補(bǔ)丁測(cè)試，供應(yīng)商信息不完整，使用不安全的供應(yīng)和存儲(chǔ)機(jī)制等[3]。

我國(guó)近年來(lái)高度重視網(wǎng)絡(luò)安全，陸續(xù)發(fā)布了針對(duì)關(guān)鍵基礎(chǔ)設(shè)施安全，以及ICT供應(yīng)鏈安全的相關(guān)政策法規(guī)和技術(shù)標(biāo)準(zhǔn)。各國(guó)技術(shù)專家充分重視到ICT供應(yīng)鏈安全對(duì)關(guān)鍵基礎(chǔ)設(shè)施的影響，積極開(kāi)發(fā)技術(shù)管理規(guī)范和標(biāo)準(zhǔn)。本文跟蹤了各國(guó)在該領(lǐng)域的標(biāo)準(zhǔn)化發(fā)展形勢(shì)，并針對(duì)目前ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)化的現(xiàn)狀進(jìn)行了分析和綜述。從技術(shù)角度分析，目前ICT供應(yīng)鏈標(biāo)準(zhǔn)的發(fā)展，有助于識(shí)別組織ICT供應(yīng)鏈條上的廠商及消費(fèi)者對(duì)產(chǎn)品和服務(wù)的安全性技術(shù)差距，推動(dòng)建立安全可信的ICT供應(yīng)鏈體系有著非常重要的意義。

2 國(guó)內(nèi)外ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理政策分析

2.1 美國(guó)

從2000年起，為保障供應(yīng)鏈的安全，美國(guó)國(guó)家安全系統(tǒng)委員會(huì)發(fā)布《國(guó)家信息安全保障采購(gòu)政策》;布什政府于2002年起草國(guó)家信息安全戰(zhàn)略，開(kāi)始重視供應(yīng)鏈與信息安全風(fēng)險(xiǎn)的關(guān)系;2006年，美國(guó)國(guó)家科技委員會(huì)發(fā)布了《聯(lián)邦網(wǎng)絡(luò)安全和信息保障研究計(jì)劃》;2008年，美國(guó)發(fā)布國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI），強(qiáng)調(diào)建立全方位措施以進(jìn)行全球供應(yīng)鏈風(fēng)險(xiǎn)管理，將ICT供應(yīng)鏈安全問(wèn)題上升到國(guó)家威脅和國(guó)家對(duì)抗的層面;2009年，奧巴馬政府時(shí)期發(fā)布《美國(guó)網(wǎng)絡(luò)安全空間安全政策評(píng)估報(bào)告》，將ICT供應(yīng)鏈安全納入國(guó)家安全范疇;2016年，奧巴馬總統(tǒng)直屬的美國(guó)國(guó)家網(wǎng)絡(luò)安全促進(jìn)委員會(huì)發(fā)布了《加強(qiáng)國(guó)家網(wǎng)絡(luò)安全——促進(jìn)數(shù)字經(jīng)濟(jì)的安全與發(fā)展》報(bào)告，第9條強(qiáng)調(diào)了供應(yīng)鏈安全的重要性;2017年，美國(guó)國(guó)土安全部提出了新供應(yīng)鏈風(fēng)險(xiǎn)管理計(jì)劃持續(xù)診斷與緩解項(xiàng)目CDM，該項(xiàng)目重視物理安全，且旨在通過(guò)產(chǎn)品、服務(wù)等認(rèn)證認(rèn)可的方式強(qiáng)化供應(yīng)鏈安全[2]。

2.2 歐盟

歐盟委員會(huì)（European Commission）在2005年提出了在信息通信和服務(wù)工作中，要特別重視供應(yīng)鏈中各利益相關(guān)方對(duì)可信、可靠的保密的要求。歐盟內(nèi)部通過(guò)制定通用的供應(yīng)鏈產(chǎn)品和服務(wù)安全要求的方式，加強(qiáng)供應(yīng)鏈安全管理，強(qiáng)化市場(chǎng)手段和企業(yè)力量的利用。2012年，歐盟出臺(tái)了《云計(jì)算合同安全服務(wù)水平監(jiān)測(cè)指南》，針對(duì)云計(jì)算服務(wù)這一新技術(shù)新應(yīng)用，通過(guò)檢測(cè)、核查等技術(shù)手段加強(qiáng)云計(jì)算合同的安全管理。歐洲ENISA在2015年發(fā)布了關(guān)于ICT供應(yīng)鏈完整性的報(bào)告《綜述ICT供應(yīng)鏈的風(fēng)險(xiǎn)、挑戰(zhàn)及未來(lái)展望》[4]，ICT 供應(yīng)鏈完整性是國(guó)家經(jīng)濟(jì)發(fā)展的關(guān)鍵因素，提高供應(yīng)鏈完整度對(duì)公共和私營(yíng)部門意義重大。

歐洲議會(huì)2016 年通過(guò)了《網(wǎng)絡(luò)與信息安全指令》[5]，提出了供應(yīng)鏈安全管理方面統(tǒng)一的安全保障要求，指令旨在監(jiān)督成員國(guó)在歐盟范圍內(nèi)建立有效的信息共享和統(tǒng)一的網(wǎng)絡(luò)安全協(xié)作機(jī)制，增強(qiáng)抵御網(wǎng)絡(luò)攻擊的能力，維護(hù)網(wǎng)絡(luò)空間的穩(wěn)定性，保障和提升消費(fèi)者對(duì)網(wǎng)絡(luò)服務(wù)的信心及信任。

2.3 中國(guó)

與發(fā)達(dá)國(guó)家相比，我國(guó)面臨的互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，ICT供應(yīng)鏈安全形勢(shì)十分嚴(yán)峻。一方面，來(lái)自國(guó)外的互聯(lián)網(wǎng)攻擊與日俱增;另一方面，我們國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施比較落后，自主可控的安全保障能力不足。2016年12月27日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》，其中提到“保護(hù)關(guān)鍵基礎(chǔ)設(shè)施建立實(shí)施網(wǎng)絡(luò)安全審查制度，加強(qiáng)供應(yīng)鏈安全管理”，為實(shí)施我國(guó)ICT供應(yīng)鏈安全管理奠定了政策基礎(chǔ)。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，明確了包括網(wǎng)絡(luò)產(chǎn)品和服務(wù)在內(nèi)的ICT產(chǎn)業(yè)應(yīng)朝著安全可信的方向發(fā)展。同時(shí)，為保障國(guó)家安全，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)在采購(gòu)等環(huán)節(jié)落實(shí)國(guó)家網(wǎng)絡(luò)安全審查政策，將供應(yīng)鏈的安全性和可控性作為采購(gòu)環(huán)節(jié)的重要參考點(diǎn)，滿足網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可信的需求，提高信息通信產(chǎn)業(yè)安全可控水平。

另外，值得一提的是，國(guó)內(nèi)知名安全廠商，如華為，每年發(fā)布網(wǎng)絡(luò)安全白皮書(shū)，2016年提出“在全球ICT供應(yīng)鏈中強(qiáng)化信任”[6]。通過(guò)推動(dòng)建設(shè)全球供應(yīng)鏈網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)，傳遞信任，構(gòu)建從端到端、可信賴的全球網(wǎng)絡(luò)安全保障體系。

3 國(guó)內(nèi)外ICT供應(yīng)鏈標(biāo)準(zhǔn)化的研究分析

3.1 NIST美國(guó)標(biāo)準(zhǔn)技術(shù)研究院

（1）NISTIR 7622[7]

NISTIR 7622為美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐指南。NIST的Jon Boyens等人分別于2010年和2012年出版了兩個(gè)版本的NISTIR 7622，旨在為聯(lián)邦政府和機(jī)構(gòu)提供一套可重復(fù)的、商業(yè)上合理的供應(yīng)鏈保證方法和實(shí)踐，提供一種在當(dāng)時(shí)整個(gè)信息通信技術(shù)供應(yīng)鏈中獲得更高層次的理解、可見(jiàn)性、可追溯性和控制的方法;旨在提高在整個(gè)ICT系統(tǒng)、產(chǎn)品和服務(wù)的生命周期中戰(zhàn)略性地管理相關(guān)信息和通信技術(shù)（ICT）供應(yīng)鏈風(fēng)險(xiǎn)的能力。

NISTIR 7622屬于擬定的機(jī)構(gòu)間的報(bào)告（IR），具有一定的實(shí)踐意義，但它并不提供具體的合同語(yǔ)言、威脅評(píng)估、完整的供應(yīng)鏈安全保障方法或技術(shù)來(lái)降低供應(yīng)鏈風(fēng)險(xiǎn)，而是可執(zhí)行的實(shí)例。建議將這些實(shí)踐用于（FIPS）199[8]高影響級(jí)別的信息系統(tǒng)，ICT供應(yīng)鏈風(fēng)險(xiǎn)管理應(yīng)該明確嵌入到采購(gòu)進(jìn)程中來(lái)分析潛在的供應(yīng)鏈風(fēng)險(xiǎn)、實(shí)施額外的安全控制和供應(yīng)鏈管理實(shí)踐。其基本思想是，重要信息系統(tǒng)及其組件將面臨攻擊者帶來(lái)的越來(lái)越大的供應(yīng)鏈攻擊風(fēng)險(xiǎn)。這是因?yàn)榧夹g(shù)更加復(fù)雜，而信息系統(tǒng)基礎(chǔ)設(shè)施、供應(yīng)商和攻擊者的快速全球化，加大了這種風(fēng)險(xiǎn)。該標(biāo)準(zhǔn)支持了NIST SP 800-53修訂版4中擴(kuò)大的ICT SCRM實(shí)踐集。

（2）NIST SP800-161[9]

在NISTIR 7622工作的基礎(chǔ)上， NIST于2013年發(fā)布《聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐指導(dǎo)草案》，美國(guó)標(biāo)準(zhǔn)技術(shù)研究院于2015年正式發(fā)布了NIST SP800-161《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐標(biāo)準(zhǔn)》，為聯(lián)邦機(jī)構(gòu)提供關(guān)于識(shí)別、評(píng)估、選擇和實(shí)施風(fēng)險(xiǎn)管理流程的指導(dǎo)，并在其整個(gè)組織中減輕控制，以幫助管理ICT供應(yīng)鏈風(fēng)險(xiǎn)。

NIST SP800-161標(biāo)準(zhǔn)也就是常說(shuō)的ICT SCRM標(biāo)準(zhǔn)，ICT SCRM包括系統(tǒng)開(kāi)發(fā)生命周期中的研究和開(kāi)發(fā)活動(dòng)，包括組織的ICT產(chǎn)品（軟硬件）和服務(wù)的設(shè)計(jì)、制造、采購(gòu)、交付、集成、運(yùn)營(yíng)和處置，關(guān)注ICT SCRM的四大支柱—安全性、完整性、彈性和質(zhì)量的相關(guān)重疊部分來(lái)實(shí)施風(fēng)險(xiǎn)管理?；谝延械娘L(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和成功經(jīng)驗(yàn)，既包括國(guó)際標(biāo)準(zhǔn)，還包括質(zhì)量管理、可靠性計(jì)劃以及供應(yīng)商管理等全面的控制流程，主要實(shí)踐如表1所示。

3.2 ISO國(guó)際標(biāo)準(zhǔn)化組織

（1）ISO 28000系列標(biāo)準(zhǔn)

2007年，ISO28000供應(yīng)鏈安全管理體系系列標(biāo)準(zhǔn)由公開(kāi)提供的規(guī)格升級(jí)為完善的國(guó)際標(biāo)準(zhǔn)，有助于減低供應(yīng)鏈內(nèi)人員及貨物的風(fēng)險(xiǎn)。這些標(biāo)準(zhǔn)解決了供應(yīng)過(guò)程中所有階段的潛在安全問(wèn)題，從而針對(duì)恐怖主義、欺詐和海盜等威脅。ISO 28000是一個(gè)通用的管理規(guī)范，用于配合維護(hù)國(guó)際貿(mào)易安全暢通的各種國(guó)際倡議，包括安全風(fēng)險(xiǎn)評(píng)估和計(jì)劃、有效實(shí)施和運(yùn)行、檢查和糾正措施及管理評(píng)審。同ISO 9001和ISO14001類似，即要求組織機(jī)構(gòu)在識(shí)別環(huán)境風(fēng)險(xiǎn)后，制定相應(yīng)的目標(biāo)、指標(biāo)和計(jì)劃，把其運(yùn)作帶來(lái)的環(huán)境影響最小化[10]。除了ISO28000標(biāo)準(zhǔn)外，還有配套實(shí)施系列標(biāo)準(zhǔn)，如表2所示。

（2）ISO/IEC 27005標(biāo)準(zhǔn)

ISO/IEC27005 是ISO/IEC 27000 標(biāo)準(zhǔn)族中非常重要的信息安全風(fēng)險(xiǎn)管理方法論的標(biāo)準(zhǔn)。在ISO/IEC 27000 標(biāo)準(zhǔn)族中，ISO/IEC 27001 和ISO/IEC 27002 也對(duì)其進(jìn)行了引用。例如，ISO/IEC 27002：2013 的 0.2 中指出，ISO/IEC 27005 提供了信息安全風(fēng)險(xiǎn)管理指南。此外，ISO/IEC 27034-1、ISO/IEC27034-3、ISO/IEC 27033-1 和ISO/IEC 27040 等標(biāo)準(zhǔn)中都引用了ISO/IEC 27005 來(lái)規(guī)范信息安全風(fēng)險(xiǎn)管理的過(guò)程[11]。

（3）ISO/IEC 27036標(biāo)準(zhǔn)體系

ISO/IEC27036是ISO/IE27000標(biāo)準(zhǔn)族中專門關(guān)注供應(yīng)關(guān)系信息安全的標(biāo)準(zhǔn)，本質(zhì)是應(yīng)用系統(tǒng)和軟件工程架構(gòu)的關(guān)于供應(yīng)商關(guān)系管理的信息安全要求和指南[12]。

ISO/IEC 27036 標(biāo)準(zhǔn)體系由多個(gè)標(biāo)準(zhǔn)集合而成，用于評(píng)價(jià)和處理供應(yīng)商在提供服務(wù)或產(chǎn)品過(guò)程中可能面臨的信息安全風(fēng)險(xiǎn)，如表3所示。

（4）ISO/IEC 20243

ISO/IEC 20243-2015信息技術(shù) 開(kāi)放可信技術(shù)供應(yīng)商標(biāo)準(zhǔn)（O-TTPS） 減輕惡意污染和假冒產(chǎn)品標(biāo)準(zhǔn)（以下簡(jiǎn)稱ISO/IEC 20243），是2015年國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委（IEC）聯(lián)合發(fā)布的。這個(gè)標(biāo)準(zhǔn)的重要性在于提出保障商用現(xiàn)貨（COTS）信息通信技術(shù)（ICT）產(chǎn)品在生命周期內(nèi)完整性、安全性的最佳實(shí)踐和技術(shù)要求，是針對(duì)ICT軟硬件產(chǎn)品供應(yīng)商在技術(shù)研發(fā)及供應(yīng)鏈過(guò)程安全的第一項(xiàng)國(guó)際標(biāo)準(zhǔn)。2018年進(jìn)行了修訂，最大的變化是由原來(lái)的一個(gè)標(biāo)準(zhǔn)派生出了兩個(gè)標(biāo)準(zhǔn)，具體如表4所示。

3.3 國(guó)內(nèi)標(biāo)準(zhǔn)化委員會(huì)相關(guān)工作研究

2012年的國(guó)家標(biāo)準(zhǔn)編制項(xiàng)目，名為“信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南”正式立項(xiàng)，依據(jù)GB/T 31722《信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理》的指導(dǎo)，調(diào)研了國(guó)內(nèi)外技術(shù)標(biāo)準(zhǔn)的成果，針對(duì)ICT供應(yīng)鏈的特點(diǎn)，細(xì)化ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的過(guò)程和控制措施。2018年10月GB/T 36637-2018 《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》正式發(fā)布，適用于重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供方和運(yùn)營(yíng)者對(duì)ICT供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)管理，也適用于指導(dǎo)ICT產(chǎn)品和服務(wù)的供方和需方加強(qiáng)供應(yīng)鏈安全管理，同時(shí)還供第三方測(cè)評(píng)機(jī)構(gòu)對(duì)ICT供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí)參考[13]。

3.4 其他可參考的標(biāo)準(zhǔn)

標(biāo)準(zhǔn)可以傳遞信任和公平，推動(dòng)ICT供應(yīng)鏈上產(chǎn)品和服務(wù)的控制，還有幾個(gè)值得關(guān)注的標(biāo)準(zhǔn)。

（1）ISO/IEC 15026標(biāo)準(zhǔn)：為了應(yīng)對(duì)軟件和系統(tǒng)的缺口風(fēng)險(xiǎn)，提供了一系列術(shù)語(yǔ)、確保案例和軟件完整性、生命周期確保，標(biāo)準(zhǔn)共分為四個(gè)部分。

（2）ISO/IEC/IEEE 15288標(biāo)準(zhǔn)：建立了一個(gè)通用的過(guò)程描述框架，用于描述創(chuàng)建的系統(tǒng)的生命周期。它從工程的角度定義了一組過(guò)程和相關(guān)術(shù)語(yǔ)。這些過(guò)程可以應(yīng)用于系統(tǒng)結(jié)構(gòu)層次結(jié)構(gòu)中的任何級(jí)別。這些過(guò)程的選定集可以應(yīng)用于整個(gè)生命周期，用于管理和執(zhí)行系統(tǒng)生命周期的各個(gè)階段。

3.5 比較與分析

世界各國(guó)范圍內(nèi)對(duì)于ICT供應(yīng)鏈風(fēng)險(xiǎn)管理的研究如火如荼。對(duì)標(biāo)準(zhǔn)研究而言，目前主要分為通用型與行業(yè)應(yīng)用型。通用型標(biāo)準(zhǔn)解決的是事物普遍廣泛遵循的原則;行業(yè)或技術(shù)應(yīng)用型標(biāo)準(zhǔn)解決的是行業(yè)或技術(shù)領(lǐng)域特有的問(wèn)題和方法，在一定范圍內(nèi)達(dá)成共識(shí)或解決一部分問(wèn)題。本文對(duì)國(guó)內(nèi)外主要ICT供應(yīng)鏈管理標(biāo)準(zhǔn)進(jìn)行了梳理，并對(duì)主要特點(diǎn)、適用范圍、解決問(wèn)題等方面進(jìn)行了比較分析，具體如表5所示。

綜上，我國(guó)在ICT供應(yīng)鏈安全的標(biāo)準(zhǔn)研究方面比國(guó)外稍晚，由于方方面面的原因，我國(guó)暫未建立較為完善的供應(yīng)商、ICT產(chǎn)品和服務(wù)、供應(yīng)鏈管理審查體系。一方面，國(guó)家需要先解決關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的ICT供應(yīng)鏈管理問(wèn)題;另一方面，各行業(yè)面臨的ICT供應(yīng)鏈的特點(diǎn)不一樣，ICT產(chǎn)品和服務(wù)不一樣，面臨的風(fēng)險(xiǎn)問(wèn)題也不一樣，需要逐步識(shí)別和改善。

4 ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理在金融機(jī)構(gòu)的應(yīng)用建議

信息和通信技術(shù)（ICT）風(fēng)險(xiǎn)的復(fù)雜性日益增加，與ICT相關(guān)的事件（包括網(wǎng)絡(luò)安全事件）發(fā)生頻率不斷上升，并可能對(duì)金融機(jī)構(gòu)的運(yùn)營(yíng)產(chǎn)生重大不利影響。此外，由于金融機(jī)構(gòu)之間的相互聯(lián)系，信息通信技術(shù)相關(guān)事件有可能造成潛在的系統(tǒng)性影響。金融行業(yè)作為我國(guó)的關(guān)鍵基礎(chǔ)設(shè)施，除了關(guān)注投資人良好的系統(tǒng)風(fēng)險(xiǎn)和回報(bào)的平衡，還需要關(guān)注整體自身面臨的整體系統(tǒng)風(fēng)險(xiǎn)和非系統(tǒng)風(fēng)險(xiǎn)。同時(shí)，因?yàn)橐邮車?yán)格監(jiān)管，世界上所有的政府都希望本國(guó)金融機(jī)構(gòu)穩(wěn)健，因此也同樣需要應(yīng)對(duì)來(lái)自金融行業(yè)的ICT供應(yīng)鏈的威脅和脆弱性。基于目前的研究進(jìn)展，嘗試提出我國(guó)金融機(jī)構(gòu)應(yīng)對(duì)ICT供應(yīng)鏈風(fēng)險(xiǎn)管理的建議。

4.1 加強(qiáng)行業(yè)監(jiān)管政策研究

國(guó)際上，2016年10月，歐洲銀行管理局（EBA）在監(jiān)督審查和評(píng)估流程（SREP）下發(fā)布了關(guān)于信息通信技術(shù)（ICT）風(fēng)險(xiǎn)管理指南文件[14]。 準(zhǔn)則草案針對(duì)主管當(dāng)局，旨在促進(jìn)評(píng)估ICT風(fēng)險(xiǎn)的共同程序和方法。

美國(guó)貨幣監(jiān)督署（OCC）對(duì)國(guó)家銀行和聯(lián)邦儲(chǔ)蓄協(xié)會(huì)（FSA）進(jìn)行特許、監(jiān)管和監(jiān)督，對(duì)外國(guó)銀行的聯(lián)邦分支機(jī)構(gòu)進(jìn)行執(zhí)照和監(jiān)督，該機(jī)構(gòu)還監(jiān)督某些第三方提供的服務(wù)。OCC監(jiān)督聯(lián)邦銀行系統(tǒng)的組織和結(jié)構(gòu)，并維持一個(gè)監(jiān)督框架，鼓勵(lì)銀行負(fù)責(zé)任地創(chuàng)新和適應(yīng)全國(guó)消費(fèi)者、企業(yè)和社區(qū)不斷變化的金融需求。該機(jī)構(gòu)發(fā)布法規(guī)以實(shí)施聯(lián)邦銀行法，它還采用了一種基于風(fēng)險(xiǎn)的監(jiān)管程序，重點(diǎn)是評(píng)估銀行風(fēng)險(xiǎn)，識(shí)別重大問(wèn)題和新出現(xiàn)的問(wèn)題，并要求銀行在必要時(shí)采取糾正措施。2013年發(fā)布《第三方關(guān)系：風(fēng)險(xiǎn)管理指導(dǎo)》[15]和2018年發(fā)布的《第三方關(guān)系風(fēng)險(xiǎn)管理補(bǔ)充審查程序》，提出要在整個(gè)組織范圍內(nèi)承諾應(yīng)對(duì)信息安全和網(wǎng)絡(luò)事件，包含第三方提供的產(chǎn)品和服務(wù)的審查進(jìn)行風(fēng)險(xiǎn)管理。補(bǔ)充程序促進(jìn)了審查國(guó)家銀行和聯(lián)邦儲(chǔ)蓄協(xié)會(huì)第三方關(guān)系風(fēng)險(xiǎn)管理的一致性[16]。

在我國(guó)，2009年銀監(jiān)會(huì)發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》中，第十六條、第十八條、第三十七條、第五十八條規(guī)定了商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評(píng)估流程，確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）;建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測(cè)機(jī)制，其中應(yīng)包括安排供應(yīng)商和業(yè)務(wù)部門對(duì)服務(wù)水平協(xié)議的完成情況進(jìn)行定期審查;人員安全及外包服務(wù)的基本安全要求。至今，政策法規(guī)偏于滯后，缺少對(duì)當(dāng)前金融行業(yè)復(fù)雜的ICT供應(yīng)鏈生態(tài)進(jìn)行監(jiān)管的實(shí)踐經(jīng)驗(yàn)。

4.2 風(fēng)險(xiǎn)管理和新技術(shù)與時(shí)俱進(jìn)

金融機(jī)構(gòu)數(shù)字化轉(zhuǎn)型導(dǎo)致ICT供應(yīng)鏈風(fēng)險(xiǎn)的復(fù)雜化，金融機(jī)構(gòu)之間高度的相互聯(lián)系可能導(dǎo)致迅速的傳染效應(yīng)。對(duì)于金融機(jī)構(gòu)來(lái)說(shuō)，由于供應(yīng)鏈之間的高度互聯(lián)，對(duì)部分網(wǎng)絡(luò)的成功攻擊可能會(huì)迅速蔓延到其他公司。例如，在2017年6月，針對(duì)烏克蘭的一項(xiàng)贖金導(dǎo)致與烏克蘭公司相關(guān)的跨部門（運(yùn)輸、建筑或食品）的跨國(guó)公司損失至少13億美元。對(duì)于金融機(jī)構(gòu)來(lái)說(shuō)，一家大型銀行的崩潰，使其無(wú)法處理交易和支出保證金，可能會(huì)迅速蔓延至其交易對(duì)手方和金融市場(chǎng)基礎(chǔ)設(shè)施，導(dǎo)致流動(dòng)性和償付能力風(fēng)險(xiǎn)上升[17]。

新的風(fēng)險(xiǎn)技術(shù)會(huì)帶來(lái)新的問(wèn)題，這也需要銀行加以管理。銀行要重新設(shè)計(jì)業(yè)務(wù)流程和溝通方式，消除決策中的偏見(jiàn)。隨著金融風(fēng)險(xiǎn)管理變得更加自動(dòng)化，關(guān)注焦點(diǎn)將轉(zhuǎn)移到合規(guī)和操作風(fēng)險(xiǎn)。就操作風(fēng)險(xiǎn)而言，銀行還應(yīng)該關(guān)注新型第三方科技公司，例如一些科技公司利用多種非傳統(tǒng)的數(shù)據(jù)技術(shù)跟蹤 POS 終端的數(shù)據(jù)違規(guī)和欺詐行為[18]。

5 結(jié)束語(yǔ)

本文從國(guó)內(nèi)外法律法規(guī)、技術(shù)標(biāo)準(zhǔn)的角度，分析研究了當(dāng)前重要ICT供應(yīng)鏈安全的風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估的技術(shù)標(biāo)準(zhǔn)和內(nèi)容。基于目前的研究進(jìn)展，嘗試著提出了國(guó)內(nèi)金融機(jī)構(gòu)應(yīng)對(duì)ICT供應(yīng)鏈風(fēng)險(xiǎn)管理的建議，為后繼研究金融ICT供應(yīng)鏈安全模型建立、安全標(biāo)準(zhǔn)的編制提供了參考。

參考文獻(xiàn)

[1] ?王國(guó)文.從華為案例看如何建立一個(gè)穩(wěn)健、安全的全球供應(yīng)體系[EB/OL]. http：//baijiahao.baidu.com/s？id=1601175738088269835&wfr=spider&for=pc，2018.10.

[2] ?李祥兵，王光林. ICT供應(yīng)鏈安全評(píng)價(jià)技術(shù)研究綜述[J]. 信息安全與通信保密，2018（10）：57-64.

[3] ?GAO. ICT Supply Chain National Security-Related Agencies Need to Better Address Risks[R].USA， 2012.

[4] ?ENISA Supply Chain Integrity： An overview of the ICT supply chain risks and challenges ， and vision for the way forward[R]. September 11， 2015.

[5] ?DIRECTIVE （EU） 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL- Concerning measures for a high common level of security of network and information systems across the Union[Z] July，2016.

[6] ?安迪·珀迪.全球網(wǎng)絡(luò)安全挑戰(zhàn)—解決供應(yīng)鏈風(fēng)險(xiǎn)，正當(dāng)其時(shí)[J].華為網(wǎng)絡(luò)安全白皮書(shū)，2016.

[7] ?NISTIR 7622 Notional Supply Chain Risk Management Practices for Federal Information Systems [S]. October 16， 2012.

[8] ?FIPS 199 Standards for Security Categorization of Federal Information and Information Systems《聯(lián)邦信息和信息系統(tǒng)安全分類》[S].2003.12

[9] ?NIST SP800-161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations [S]. April 8， 2015.

[10] ?PeterBoyce，張有運(yùn).ISO 28000：2007供應(yīng)鏈安全管理體系概述[J]. 中國(guó)采購(gòu)發(fā)展報(bào)告， 2008（11）.

[11] ?謝宗曉， 許定航. ISO/IEC 27005：2018解讀及其三次版本演化[J].中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2018（9）：16-18.

[12] ?謝宗曉，董坤祥.ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036-3及體系分析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)， 2016（3）：16-21

[13]?GB/T36637-2018 信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南[S]. 2018.

[14]?EBA-CP-2016-14， Consultation Paper on Guidelines on ICT Risk Assessment under the SREP[Z].2016.

[15]?OCC Bulletin 2013-29， “Third-Party Relationships： Risk Management Guidance，” including appendixes A and B[Z].2013.

[16]?OCC Bulletin 2017-7， “Third-Party Relationships： Description： Supplemental Examination Procedures”[Z].2017.

[17]?Antoine Bouveret. WP/18/143 Cyber Risk for the Financial Sector： A Framework for Quantitative Assessment. IMF working paper [Z].2018.

[18]?倪以理， 曲向軍.全球數(shù)字化銀行的戰(zhàn)略實(shí)踐與啟[EB/OL].https：//www.mckinsey.com.cn/， 2018.12.