GB∕T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)解讀

【摘   要】2018年10月10日，國(guó)家市場(chǎng)監(jiān)督管理總局和中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布了國(guó)家標(biāo)準(zhǔn)GB/T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》。該標(biāo)準(zhǔn)面向我國(guó)信息通信技術(shù)（以下簡(jiǎn)稱ICT）供應(yīng)鏈安全，旨在提高網(wǎng)絡(luò)運(yùn)營(yíng)者ICT供應(yīng)鏈安全管理水平，切實(shí)保障我國(guó)重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供應(yīng)鏈安全風(fēng)險(xiǎn)。本文主要從標(biāo)準(zhǔn)現(xiàn)狀、標(biāo)準(zhǔn)適用范圍和編制思路、標(biāo)準(zhǔn)解讀3個(gè)方面對(duì)該標(biāo)準(zhǔn)進(jìn)行了闡述，使網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購(gòu)方和供應(yīng)商更好地理解該標(biāo)準(zhǔn)，便于網(wǎng)絡(luò)運(yùn)營(yíng)者開展ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理。

【關(guān)鍵詞】ICT供應(yīng)鏈  安全風(fēng)險(xiǎn)管理  標(biāo)準(zhǔn)

1 引言

隨著信息通信技術(shù)的普及應(yīng)用，加強(qiáng)ICT供應(yīng)鏈的安全可控保障變得至關(guān)重要。目前，世界各國(guó)和ICT行業(yè)已普遍認(rèn)識(shí)到，相比傳統(tǒng)行業(yè)，ICT行業(yè)供應(yīng)鏈更加復(fù)雜，存在安全風(fēng)險(xiǎn)的概率更大。加強(qiáng)ICT供應(yīng)鏈安全管理，有利于增強(qiáng)客戶對(duì)ICT供應(yīng)鏈以及ICT行業(yè)的安全信任。

與傳統(tǒng)供應(yīng)鏈相比，ICT供應(yīng)鏈具有許多不同的特點(diǎn)：一是ICT供應(yīng)鏈涵蓋ICT產(chǎn)品和服務(wù)的全生命周期，不僅包括傳統(tǒng)供應(yīng)鏈的生產(chǎn)、集成、倉(cāng)儲(chǔ)、交付等供應(yīng)階段，也包括產(chǎn)品服務(wù)的設(shè)計(jì)開發(fā)階段和售后運(yùn)維階段；二是ICT產(chǎn)品由全球分布的供應(yīng)商開發(fā)、集成或交付，供應(yīng)鏈的全球分布性使得客戶對(duì)供應(yīng)鏈的掌握情況和安全風(fēng)險(xiǎn)控制能力在下降；三是傳統(tǒng)供應(yīng)鏈主要關(guān)注如何將產(chǎn)品有效地交付給客戶，或者供應(yīng)鏈健壯性的強(qiáng)度，而ICT供應(yīng)鏈安全更關(guān)注是否會(huì)有額外的功能注入產(chǎn)品和服務(wù)中，交付的產(chǎn)品和服務(wù)是否與預(yù)期一致等。這些特點(diǎn)使得ICT供應(yīng)鏈比傳統(tǒng)供應(yīng)鏈存在更多的安全風(fēng)險(xiǎn)，加強(qiáng)ICT供應(yīng)鏈的安全風(fēng)險(xiǎn)管理刻不容緩。

為加強(qiáng)ICT供應(yīng)鏈安全管理，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱信安標(biāo)委或TC260）啟動(dòng)了國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》（簡(jiǎn)稱《ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》或GB/T 36637-2018）的制定工作。該標(biāo)準(zhǔn)由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭，中科院軟件所、聯(lián)想、華為、螞蟻金服、阿里巴巴、京東、浪潮等18家單位參與起草。該標(biāo)準(zhǔn)于2018年10月10日由國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布，2019年5月1日開始實(shí)施。

2 國(guó)內(nèi)外供應(yīng)鏈安全標(biāo)準(zhǔn)現(xiàn)狀

目前，國(guó)際供應(yīng)鏈安全標(biāo)準(zhǔn)已漸成體系，而國(guó)內(nèi)供應(yīng)鏈安全要求大多分散在多個(gè)標(biāo)準(zhǔn)中，GB/T 36637-2018作為我國(guó)第一個(gè)ICT供應(yīng)鏈安全國(guó)家標(biāo)準(zhǔn)，標(biāo)志著我國(guó)供應(yīng)鏈安全標(biāo)準(zhǔn)正在起步。

2.1 國(guó)外主要供應(yīng)鏈安全標(biāo)準(zhǔn)

（1）ISO 28000系列標(biāo)準(zhǔn)

ISO 28000供應(yīng)鏈安全管理體系系列標(biāo)準(zhǔn)，是為滿足運(yùn)輸和物流行業(yè)對(duì)共同安全管理標(biāo)準(zhǔn)的需求而提出的，旨在幫助組織建立一個(gè)可認(rèn)證的供應(yīng)鏈安全管理體系，適用于涉及采購(gòu)、制造、倉(cāng)儲(chǔ)或運(yùn)輸?shù)裙��?yīng)鏈任一環(huán)節(jié)的各類組織。該系列標(biāo)準(zhǔn)主要包括：ISO 28000《供應(yīng)鏈安全管理體系規(guī)范》、ISO 28001《供應(yīng)鏈安全、評(píng)估和計(jì)劃的最佳實(shí)踐——需求和指南》、ISO 28002《供應(yīng)鏈恢復(fù)能力的開發(fā)——要求及使用指南》、ISO 28003《提供審核和認(rèn)證功能的實(shí)體的需求》、ISO 28004《ISO28000實(shí)施指南》。

（2）ISO/IEC 27036

ISO/IEC 27036《供應(yīng)商關(guān)系的信息安全》是第一部針對(duì)ICT供應(yīng)鏈安全的國(guó)際標(biāo)準(zhǔn)，屬于ISO/IEC 27000信息安全管理體系標(biāo)準(zhǔn)，其針對(duì)客戶和供應(yīng)商之間的購(gòu)買與供應(yīng)關(guān)系（即供應(yīng)商關(guān)系），規(guī)定了供應(yīng)商關(guān)系信息安全管理的框架，適用于采購(gòu)方和供應(yīng)商對(duì)供應(yīng)商關(guān)系進(jìn)行信息安全管理。該標(biāo)準(zhǔn)包括4個(gè)部分：ISO/IEC 27036-1《第一部分：概述和概念》、ISO/IEC 27036-2《第二部分：通用要求》、ISO/IEC 27036-3《第三部分：ICT供應(yīng)鏈安全指南》、ISO/IEC 27036-4《第四部分：云服務(wù)安全指南》。

（3）ISO/IEC 22043

ISO/IEC 22043《開放可信技術(shù)供應(yīng)商標(biāo)準(zhǔn)——減少被惡意污染和偽冒的產(chǎn)品》，原是國(guó)際開放組織（The Open Group）聯(lián)合IBM、惠普、微軟、華為、思科等會(huì)員企業(yè)，共同編制的一項(xiàng)行業(yè)聯(lián)盟標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)針對(duì)采購(gòu)ICT商用現(xiàn)貨面臨的產(chǎn)品被惡意污染、被偽冒兩大威脅，從產(chǎn)品開發(fā)工程、安全開發(fā)工程、供應(yīng)鏈安全3個(gè)方面，提出了一個(gè)保障產(chǎn)品開發(fā)過程安全和供應(yīng)過程完整性的最佳實(shí)踐。該標(biāo)準(zhǔn)也可用于對(duì)供應(yīng)商在降低被惡意污染和偽冒產(chǎn)品風(fēng)險(xiǎn)方面進(jìn)行認(rèn)證。

（4）NIST SP800-161

NIST SP800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險(xiǎn)管理方法》，用于指導(dǎo)美國(guó)聯(lián)邦政府機(jī)構(gòu)管理ICT供應(yīng)鏈的安全風(fēng)險(xiǎn)，旨在指導(dǎo)聯(lián)邦部門和機(jī)構(gòu)識(shí)別、評(píng)估和減輕ICT供應(yīng)鏈風(fēng)險(xiǎn)。NIST SP800-161分析了聯(lián)邦機(jī)構(gòu)的ICT供應(yīng)鏈結(jié)構(gòu)；基于NIST SP800-39的組織風(fēng)險(xiǎn)管理過程，給出了供應(yīng)鏈風(fēng)險(xiǎn)管理的過程和活動(dòng)；基于NIST SP800-53給出ICT供應(yīng)鏈的安全控制措施集合，新增了來源安全控制族，可供組織根據(jù)ICT需求定制裁剪。

2.2 國(guó)內(nèi)主要供應(yīng)鏈安全標(biāo)準(zhǔn)

GB/T 32921-2016《信息安全技術(shù) 信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》從供應(yīng)商角度入手，規(guī)定了信息技術(shù)產(chǎn)品供應(yīng)方的行為安全準(zhǔn)則。其他已發(fā)布的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，有的含有供應(yīng)鏈安全要求，如GB/T 31168-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》提出“系統(tǒng)開發(fā)與供應(yīng)鏈安全”，對(duì)云服務(wù)商的供應(yīng)鏈從采購(gòu)過程、外部服務(wù)提供商、開發(fā)商、防篡改、組件真實(shí)性、不被支持的系統(tǒng)組件、供應(yīng)鏈保護(hù)等方面提出了安全要求。新修訂的GB/T 22239-2019《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在通用要求里，提出了產(chǎn)品采購(gòu)與使用、外包軟件開發(fā)、服務(wù)供應(yīng)商選擇等供應(yīng)鏈安全要求。GB/T 29245-2012《信息安全技術(shù) 政府部門信息安全管理基本要求》在日常信息安全管理中也規(guī)定了“采購(gòu)管理”和“外包管理”要求，用于指導(dǎo)各級(jí)政府部門的信息安全管理工作。

在供應(yīng)鏈風(fēng)險(xiǎn)管理方面，我國(guó)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC 310）發(fā)布的GB/T 24420-2009《供應(yīng)鏈風(fēng)險(xiǎn)管理指南》，給出了供應(yīng)鏈風(fēng)險(xiǎn)管理的通用指南和航空工業(yè)的風(fēng)險(xiǎn)評(píng)估示例，但主要針對(duì)傳統(tǒng)物流供應(yīng)鏈，未全面考慮ICT供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。而GB/T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》作為我國(guó)第一個(gè)ICT供應(yīng)鏈安全國(guó)家標(biāo)準(zhǔn)，彌補(bǔ)了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的空白。

3 標(biāo)準(zhǔn)適用范圍和編制思路

《ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》規(guī)定了ICT供應(yīng)鏈的安全風(fēng)險(xiǎn)管理過程和控制措施，適用于重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供方和運(yùn)營(yíng)者對(duì)ICT供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)管理，也適用于指導(dǎo)ICT產(chǎn)品和服務(wù)的供方和需方加強(qiáng)供應(yīng)鏈安全管理，同時(shí)還可供第三方測(cè)評(píng)機(jī)構(gòu)對(duì)ICT供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí)參考。

該標(biāo)準(zhǔn)編制時(shí)成立了包含需方和軟件、硬件、服務(wù)等多類供方的編制組，通過深入研究國(guó)內(nèi)外供應(yīng)鏈安全相關(guān)政策和標(biāo)準(zhǔn)，廣泛調(diào)研國(guó)內(nèi)軟件、硬件和服務(wù)等不同類型機(jī)構(gòu)的供應(yīng)鏈安全風(fēng)險(xiǎn)和管理實(shí)踐，在多輪意見反饋及企業(yè)試用驗(yàn)證后形成報(bào)批稿進(jìn)行發(fā)布。編制工作中主要遵循以下原則。

一是以國(guó)內(nèi)外供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)為基礎(chǔ)�！禝CT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》以國(guó)內(nèi)供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)要求為基礎(chǔ)，充分借鑒國(guó)際先進(jìn)的ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理方法。其中，風(fēng)險(xiǎn)管理過程以國(guó)內(nèi)的供應(yīng)鏈管理、信息安全風(fēng)險(xiǎn)管理類標(biāo)準(zhǔn)為基礎(chǔ)，如ISO/IEC 27005（GB/T 31722）、GB/T 24420等；安全控制措施以國(guó)內(nèi)外供應(yīng)鏈相關(guān)安全措施為基礎(chǔ)，如GB/T 22239、GB/T 31168、ISO/IEC 27002、ISO/IEC 27036、NIST SP800-161、NIST SP800-53。

二是支持多樣的ICT產(chǎn)品和服務(wù)供應(yīng)鏈。由于ICT產(chǎn)品和服務(wù)類型多樣，軟件、硬件、系統(tǒng)、服務(wù)的供應(yīng)鏈細(xì)節(jié)可能存在不同，因此本標(biāo)準(zhǔn)在編制中盡量考慮到多種類型產(chǎn)品和服務(wù)，從軟件、硬件、服務(wù)、數(shù)據(jù)、客戶幾個(gè)角度梳理供應(yīng)鏈的安全風(fēng)險(xiǎn)，安全風(fēng)險(xiǎn)管理過程盡量采用通用、得到認(rèn)可的過程步驟，供應(yīng)鏈安全控制措施則提供了一個(gè)控制措施集合，ICT采購(gòu)方或供應(yīng)商可根據(jù)應(yīng)用環(huán)境和安全需求進(jìn)行剪裁。

三是考慮可操作性和實(shí)用性。為了確保標(biāo)準(zhǔn)的可操作性和實(shí)用性，標(biāo)準(zhǔn)編制組廣泛吸收了在國(guó)內(nèi)信息通信技術(shù)產(chǎn)品和服務(wù)市場(chǎng)的主流軟件、硬件、服務(wù)廠商作為標(biāo)準(zhǔn)編制組成員。

4 標(biāo)準(zhǔn)內(nèi)容解讀

《ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)，主要包括術(shù)語(yǔ)定義、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過程、安全控制措施、ICT供應(yīng)鏈概述、ICT供應(yīng)鏈安全威脅、ICT供應(yīng)鏈安全脆弱性等內(nèi)容。

4.1 ICT供應(yīng)鏈

標(biāo)準(zhǔn)給出了對(duì)ICT供應(yīng)鏈的界定和理解，包括在術(shù)語(yǔ)中定義了ICT供應(yīng)鏈、供應(yīng)關(guān)系、ICT供應(yīng)鏈生命周期、ICT供應(yīng)鏈基礎(chǔ)設(shè)施等概念，以及在附錄A提出了ICT供應(yīng)鏈結(jié)構(gòu)、特點(diǎn)、范圍和供應(yīng)商類型等內(nèi)容。

ICT供應(yīng)鏈即網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈，是指為滿足供應(yīng)關(guān)系通過資源和過程將需方、供方相互連接的網(wǎng)鏈結(jié)構(gòu)，可用于將ICT產(chǎn)品和服務(wù)提供給需方。ICT供應(yīng)鏈結(jié)構(gòu)如圖1所示。

供應(yīng)鏈通常包括需方和供應(yīng)商（供方）兩種角色，需方與供應(yīng)商之間存在供應(yīng)關(guān)系。在供應(yīng)鏈中，一個(gè)組織可能既是上游組織的需方，也是下游組織的供應(yīng)方，與其上游、下游均存在供應(yīng)商關(guān)系。

相對(duì)于傳統(tǒng)領(lǐng)域的實(shí)體供應(yīng)鏈，ICT供應(yīng)鏈具有全球分布性、供應(yīng)商多樣性、產(chǎn)品服務(wù)復(fù)雜性、全生命周期覆蓋性等特點(diǎn)。ICT供應(yīng)鏈生命周期是ICT產(chǎn)品和服務(wù)從無(wú)到有直至廢棄的全生命周期涉及的供應(yīng)鏈活動(dòng)，通常以ICT產(chǎn)品和服務(wù)的設(shè)計(jì)為起點(diǎn)，經(jīng)過開發(fā)、生產(chǎn)、集成、倉(cāng)儲(chǔ)、交付等環(huán)節(jié)將產(chǎn)品和服務(wù)交付給需方，并對(duì)產(chǎn)品和服務(wù)進(jìn)行運(yùn)維、售后服務(wù)等直至其廢棄。

雖然從廣義來說，ICT供應(yīng)鏈的范圍包含產(chǎn)品、系統(tǒng)或服務(wù)中所有部件在其生命周期各環(huán)節(jié)中涉及的所有供應(yīng)商，但是考慮到組織實(shí)踐和管理成本，需方可根據(jù)組織的業(yè)務(wù)目標(biāo)自行劃分ICT供應(yīng)鏈的管理范圍，對(duì)其組織范圍內(nèi)的ICT產(chǎn)品、系統(tǒng)或服務(wù)的創(chuàng)建、維護(hù)、終止等全生命周期過程涉及的供應(yīng)商關(guān)系進(jìn)行管理。

圖1 ICT供應(yīng)鏈結(jié)構(gòu)示意圖

4.2 ICT供應(yīng)鏈安全目標(biāo)和安全風(fēng)險(xiǎn)

標(biāo)準(zhǔn)第五章給出了ICT供應(yīng)鏈安全目標(biāo)，主要表現(xiàn)在：一是完整性。確保在ICT供應(yīng)鏈所有環(huán)節(jié)中，網(wǎng)絡(luò)產(chǎn)品和服務(wù)不被植入、篡改、替換和偽造；二是保密性。確保ICT供應(yīng)鏈上傳遞的敏感信息不被未授權(quán)泄露；三是可用性。確保ICT供應(yīng)鏈能夠正常供應(yīng)，甚至在部分失效時(shí)仍能保持連續(xù)供應(yīng)；四是可控性。確保采購(gòu)方和供應(yīng)商對(duì)ICT產(chǎn)品、服務(wù)或供應(yīng)鏈的控制能力，例如一旦ICT供應(yīng)鏈發(fā)生問題可進(jìn)行追溯，保障采購(gòu)方對(duì)供應(yīng)鏈信息的透明度等。

目前，ICT供應(yīng)鏈已成為網(wǎng)絡(luò)攻擊的重要渠道和對(duì)象，可能面臨多種安全威脅。標(biāo)準(zhǔn)附錄B列出了主要威脅，主要涉及惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露、違規(guī)操作和其他威脅。同時(shí)，ICT供應(yīng)鏈也可能存在許多安全脆弱性，如附錄C所示，包括設(shè)計(jì)研發(fā)階段的安全隱患、供應(yīng)階段的安全隱患、服務(wù)運(yùn)維階段的安全隱患、ICT供應(yīng)鏈安全管理的安全隱患、ICT供應(yīng)鏈信息系統(tǒng)的安全隱患和供應(yīng)鏈物理安全隱患。

4.3 ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過程

標(biāo)準(zhǔn)第六章給出了ICT供應(yīng)鏈風(fēng)險(xiǎn)管理過程，具體編制時(shí)主要基于GB/T 31722的信息安全風(fēng)險(xiǎn)管理框架，參考GB/T 24420《供應(yīng)鏈風(fēng)險(xiǎn)管理指南》和NIST SP 800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險(xiǎn)管理方法》等標(biāo)準(zhǔn)，細(xì)化了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的步驟和實(shí)施細(xì)則。

組織可針對(duì)ICT供應(yīng)鏈可能面臨的安全風(fēng)險(xiǎn)，建立ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過程。ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過程由背景分析、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)督和檢查、風(fēng)險(xiǎn)溝通和記錄5個(gè)步驟組成，如圖2所示。組織宜按照GB/T 31722-2015的規(guī)定建立ICT供應(yīng)鏈風(fēng)險(xiǎn)管理過程，也可將ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理分散到對(duì)ICT供應(yīng)鏈生命周期各環(huán)節(jié)、ICT供應(yīng)鏈基礎(chǔ)設(shè)施、外部供應(yīng)商的風(fēng)險(xiǎn)管理活動(dòng)中。

 

圖2 ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過程

4.4 ICT供應(yīng)鏈安全風(fēng)險(xiǎn)控制措施

標(biāo)準(zhǔn)第七章提供了可用于應(yīng)對(duì)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)的安全措施，具體編制時(shí)參考了GB/T 2208、NIST SP800-161、ISO/IEC 22043及現(xiàn)有國(guó)家標(biāo)準(zhǔn)中供應(yīng)鏈相關(guān)安全要求進(jìn)行編制，給出了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)控制措施集合，供ICT采購(gòu)方或供應(yīng)方根據(jù)自身存在的安全風(fēng)險(xiǎn)和組織特點(diǎn)篩選使用。

組織可根據(jù)組織的特點(diǎn)和已識(shí)別的安全風(fēng)險(xiǎn)，選擇實(shí)施相應(yīng)的技術(shù)安全措施和管理安全措施，以降低ICT供應(yīng)鏈安全風(fēng)險(xiǎn)，提高組織的ICT供應(yīng)鏈安全保障能力。

技術(shù)安全措施包括物理與環(huán)境安全、系統(tǒng)與通信安全、訪問控制、標(biāo)識(shí)與鑒別、供應(yīng)鏈完整性保護(hù)和可追溯性幾個(gè)方面；管理安全措施涉及制度和人員管理、供應(yīng)鏈生命周期管理、采購(gòu)?fù)獍�和供�?yīng)商管理。

此外，ICT供應(yīng)鏈基礎(chǔ)設(shè)施通常作為ICT供應(yīng)鏈安全的主要保護(hù)對(duì)象，是指由組織內(nèi)的硬件、軟件和制度流程等構(gòu)成的集合，用于構(gòu)建產(chǎn)品和服務(wù)的設(shè)計(jì)、開發(fā)、生產(chǎn)、集成、倉(cāng)儲(chǔ)、交付、運(yùn)維、廢棄等ICT供應(yīng)鏈生命周期的環(huán)境。ICT供應(yīng)鏈基礎(chǔ)設(shè)施，主要包括組織內(nèi)部支撐ICT供應(yīng)鏈生命周期的信息系統(tǒng)和物理設(shè)施，如供應(yīng)鏈管理信息系統(tǒng)、采購(gòu)管理系統(tǒng)、軟件開發(fā)環(huán)境、零部件生產(chǎn)車間、產(chǎn)品倉(cāng)庫(kù)等。

5 結(jié)語(yǔ)

ICT供應(yīng)鏈安全已成為世界各國(guó)重點(diǎn)關(guān)注的問題，GB∕T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》國(guó)家標(biāo)準(zhǔn)的發(fā)布，彌補(bǔ)了我國(guó)在ICT供應(yīng)鏈安全領(lǐng)域標(biāo)準(zhǔn)缺失的問題，為提高重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供應(yīng)鏈安全管理水平提供了有力支撐和技術(shù)基礎(chǔ)。

參考文獻(xiàn)

[1] GB/T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》[S].