随着信息与通信技术(ICT)的快速发展及深入应用,各行业对ICT产品及服务的依赖加重。ICT产品服务全球化进程推动形成了ICT供应链全球化格局,基于ICT供应链全球化及复杂性特征,ICT供应链安全管控越来越难。
我国从政策法规标准等方面制定了一系列的要求,但从目前对国内从事ICT产品制造等企业能力评估情况来看,在供应链安全风险管理方面还比较薄弱。
一、供应链与ICT安全风险的概念
ISO 28000:2007《供应链安全管理体系规范》标准中将“供应链”定义为从原材料采购开始直到通过各种运输模式将产品或服务传递给最终使用者的一系列过程和资源构成的网络。
标准提出需要组织对其供应链安全管理过程的要素进行识别和评估,并确认是否采取了足够的安全措施以及是否遵守法律法规和其他要求。
对利益相关方来说,一个完整且安全的供应链管理体系,应确保供应链内上下游不同服务提供商做事方法的一致性,并且应全面进行安全风险识别和评价,以有效控制和降低供应链存在的安全隐患和影响等。
美国国家标准技术研究院(NIST)在2022年发布的SP 800-161r1《系统和组织网络安全供应链风险管理实践》报告的修订版中指出,网络安全供应链风险管理(C-SCRM)是一个系统过程,用于管理整个供应链中的网络安全风险、威胁和漏洞,并制定供应商及其所提供产品、服务和供应链提出的适当响应策略。报告为在各个维度识别、管理和应对供应链的网络安全风险提供了实践指导,对于提升网络安全供应链风险管理能力具有重要意义。
二、ICT供应链视角下的安全风险管理体系
目前,国际供应链安全标准已渐成体系,而国内供应链安全要求大多分散在多个标准中。
GB/T 36637-2018作为我国第一个ICT供应链安全国家标准,标志着我国供应链安全标准正在起步。该标准参考了包括ISO 28000系列、ISO/IEC 27000系列、NIST SP 800-161、GB/T 20984、GB/T 22080、GB/T 22081、GB/T 31509、GB/Z 24364等多份标准文献,从ICT供应链视角出发,形成安全风险管理的指南,规定了ICT供应链安全风险管理过程和控制措施。ICT供应链组织可以依据GB/T 36637-2018标准建立风险管理体系和实施控制措施,结合相关标准来构建安全风险管理体系并实现安全风险管控。
(一)GB/T 36637适用范围和ICT供应链定义
标准适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链进行安全风险管理,也适用于指导ICT产品和服务的供方和需方加强供应链安全管理,同时还可供第三方测评机构对ICT供应链进行安全风险评估时参考。
标准术语中将ICT供应链定义为ICT产品和服务的供应链,是指为满足供应关系,通过资源和过程将需方、供方相互链接的网链结构,可用于将ICT的产品和服务提供给需方。在标准附录A中对ICT供应链结构做了进一步说明(如图1)。
(二)基于GB/T 36637构建ICT供应链安全风险管理体系
GB/T 36637-2018标准主要对风险管理过程和实施控制措施情况进行了规定,但要建立管理体系还应引入管理体系通用的方法,首先建立管理机构,然后定目标、建过程、落实、监督检查并持续改进有效性。
1.确定管理机构及职责
在组织内识别并确定ICT供应链安全风险管理的管理机构及其职责,并配备相应资源等。
2.明确ICT供应链安全风险管理重点目标
ICT供应链是一个全球分布的,具有供应商多样性、产品服务复杂性、全生命周期覆盖性等多维特点的复杂系统。相比传统供应链,ICT供应链面临更多的安全风险,宜加强风险管理。其重点实现目标包括完整性、保密性、可用性、可控性。
另外,建议组织结合自身实际情况,对于经济性、绿色供应链、稳定供应链等做适当考虑。
2.建立ICT供应链安全风险管理过程
ICT供应链安全风险管理过程由背景分析、风险评估、风险处置、风险监督和检查、风险沟通和记录等5个步骤组成(见图2)。组织宜按照GB/T 31722-2015的规定建立ICT供应链风险管理过程,也可将ICT供应链安全风险管理分散到对ICT供应链生命周期各环节、ICT供应链基础设施、外部供应商的风险管理活动中。
供应链安全风险管理是指导和控制组织与供应链安全风险相关问题的协调活动。ICT供应链安全风险管理是组织整体风险管理的组成部分,组织在做背景分析时宜结合实际情况建立ICT供应链安全风险管理的背景,包括基本准则、范围边界和风险约束等。
组织在进行背景分析后可开展风险评估,评估活动包括风险识别、风险分析和风险评价。风险评估可多次迭代直至结果满足要求,建议组织宜至少每年进行一次供应链安全风险评估工作,并保留有关安全风险评估过程的文件化信息。
供应链安全风险是供应链安全威胁利用供应链管理中存在的脆弱性导致供应链安全事件的可能性,及其由此对组织造成的影响。基于此,风险识别包括资产识别、威胁识别和脆弱性识别。
资产识别指识别ITC供应链的关键资产。此类资产对组织的业务功能有直接影响,一旦被禁用或受损,可能导致组织的产品和服务失效或质量下降。
威胁识别包括威胁来源和威胁类型两个方面的识别。其中威胁来源从环境因素、供应链攻击、人为错误等3个维度识别,威胁类型从恶意篡改、假冒伪劣、供应中断、信息泄露、违规操作、其他威胁等6个维度识别。
脆弱性是资产本身的特性,仅在被威胁利用时会产生危害。因此,脆弱性识别应围绕ICT供应链关键资产展开,识别可能被威胁利用的脆弱性,例如能使攻击者获得供应链敏感信息、植入恶意组件、出发系统运行故障、组件脆弱性等。ICT供应链脆弱性包括产品和服务在其生命周期内的脆弱性,也包括ICT供应链基础设施的脆弱性。
供应链生命周期的脆弱性包括了开发阶段脆弱性、供应阶段脆弱性和运维阶段脆弱性。而供应链基础设施的脆弱性包括了供应链管理脆弱性、供应链信息系统脆弱性、ICT上下游脆弱性、供应链物理安全脆弱性。识别脆弱性来源非常重要。缺乏供应链安全管理顶层设计是涉及整个全生命周期的脆弱性来源,包括缺乏供应链安全管理制度和流程,未明确供应商、外包商、制造商、经销商、员工等供应链合作方、参与者等的安全要求,未建立数据安全管理制度和流程,防垄断、可替代能力不足等。因此,组织要充分做好供应链安全管理顶层设计。
针对ICT供应链内部脆弱性和外部威胁的识别,要结合供应链安全的特点,从全生命周期的角度厘清来源,结合供应链生命周期各个阶段的外部安全威胁和内部脆弱性识别。
接下来,从可能性、后果、风险估算等几方面分析风险,然后根据风险分析估算结果、评价准则和接受准则比较等进行风险评价,再根据评估结果选择风险处置策略。而在风险管理整个过程的中,都要设置监督和检查点并及时沟通和记录相关信息。
3.实施控制措施
组织可以根据自身特点(如组织类型、战略、业务目标、客户需求、组织架构和流程、安全策略和安全风险承受能力等)和识别的安全风险,选择、定制和实施供应链安全措施,包括技术安全措施和管理安全措施。
其中,技术安全措施包括物理与环境安全、系统与通信安全、访问控制、标识与鉴别、供应链完整性保护、可追溯性等。管理安全措施包括制度和人员管理、供应链生命周期管理、采购外包与供应商管理等。
4.持续管理和迭代
通常情况下,安全风险管理也需要多次迭代直至结果满足要求。建议组织将ICT供应链安全风险管理工作流程纳入组织常设的管理架构及工作流程中,以利于做到持续管理和迭代,并保留有关安全风险管理过程的相关文件和记录等。
三、与组织已有管理体系融合的思考
ICT供应链安全风险管理是组织整体风险管理的组成部分,组织在建立ICT供应链安全风险管理体系之初,应充分考虑组织已有管理体系建设情况,把供应链安全管理与企业已有管理体系相融合,首先是管理体系架构的融合和协调,其次是运行实施过程的融合和协调。只有坚持体系化运行,进行全面的供应链安全风险识别和系统的供应链安全评估,积极应对供应链安全风险和挑战,才有可能持续提升供应链韧性和安全水平。
组织在与已有管理体系融合的过程中,也可考虑借鉴NIST SP 800-161 r1《系统和组织网络安全供应链风险管理实践》报告中提出的由三层管理框架整合企业所有安全风险管理,即由企业层面、业务层面和操作层面无缝配合和有效沟通,共同解决安全风险(如图3示)。
首先是在企业层面,制定企业网络安全供应链风险管理顶层战略、实施计划,明确治理结构和操作模式,为如何管理风险制定原则,并指导下一层级执行风险管理,其参与者通常为企业的高层领导。
其次是在业务层面,在企业的顶层设计下,根据业务具体情况制定业务层级的网络供应链风险管理(C-SCRM)战略、政策和实施计划,减少新项目的初始漏洞,审查评估业务面临的威胁,管理业务层级的风险,向上一层级报告相关情况,并指导下一层级执行风险管理,其参与者通常为负责项目规划和管理的中层领导。
最后是在操作层面,根据业务层级制定的战略、计划,实施C-SCRM计划,确保业务、功能和技术满足第1层、第2层级制定的要求,其参与者通常为系统架构师、开发人员等具体操作人员。
同时,可考虑运用多种信息化管理手段,建立一套敏捷、高效的供应链安全保障体系,并研究建设一整套科学的供应链安全风险量化指标体系,以全面提升企业供应链安全保障数字化管理水平。
结语
随着大国博弈日益激烈,先进技术产业竞争态势加剧,供应链安全已上升至国家安全战略,有效规范和保护ICT供应链安全已成为网络相关安全的重中之重。本文在分析供应链与ICT安全风险的关系的基础上,提出基于GB/T 36637的ICT供应链视角的安全风险管理体系构建以及与组织现有管理体系融合的思考,为ICT供应链企业更好地开展ICT供应链安全风险管理提供了思路,同时也为深入研究ICT供应链安全管理及评估技术提供了依据。
