Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27036-1:2021 — 供应商关系 — 概述与概念
供应商关系中信息和系统安全的基础概念
现代组织依赖于广泛的供应商、厂商和服务提供商生态系统。每个关系都会引入
必须理解和管理的信息安全风险。ISO/IEC 27036-1:2021 为供应商关系中的
信息安全管理提供了基础概念和框架,建立了适用于整个供应链的共同语言
和概念模型。
2021 版更新了最初的 2013 版,以应对现代供应链挑战,包括云服务提供商、
托管安全服务、软件供应链攻击以及日益增长的第三方风险管理监管关注。
托管安全服务、软件供应链攻击以及日益增长的第三方风险管理监管关注。
了解供应商关系安全
标准将供应商关系定义为组织从供应商处获取可能影响组织信息或信息系统
安全的产品或服务的任何安排。这包括传统外包、云服务、软件和硬件采购、
专业服务以及任何其他具有安全含义的第三方参与形式。标准强调安全责任
不能转移——即使供应商参与处理或托管,组织仍保留保护其信息和系统的
最终责任。
标准引入的一个关键概念是供应商关系生命周期,
包括从战略规划和供应商选择、合同管理、运营交付到最终终止或过渡的
各个阶段。每个阶段都有独特的安全考虑因素,需要特定的控制措施。
标准强调,安全必须从供应商参与的最早阶段开始考虑,而不是在合同
签署后才追加。
| 生命周期阶段 | 安全活动 | 关键交付物 |
|---|---|---|
| 战略规划 | 风险评估、安全需求定义 | 供应商安全政策、风险登记册 |
| 供应商选择 | 安全评估、尽职调查、资格审核 | 安全评估报告、评估标准 |
| 签约 | 安全条款、服务水平协议定义、审计权 | 合同安全附录、服务水平协议指标 |
| 运营 | 监控、事件管理、访问控制 | 绩效报告、事件日志、审计结果 |
| 终止 | 数据归还/删除、过渡计划 | 退出计划、数据销毁证书 |
实施贯穿整个生命周期的结构化供应商安全计划的组织,第三方事件率平均
降低 55%,并且当事件发生时能更快恢复,这是根据供应链安全成熟度研究
得出的结论。
降低 55%,并且当事件发生时能更快恢复,这是根据供应链安全成熟度研究
得出的结论。
关键概念与供应链风险态势
ISO/IEC 27036-1 确定了供应商关系安全的几个关键概念。
供应链风险包括通过供应商、其下级供应商以及它们之间
的相互连接引入的风险。标准强调现代供应链是复杂的多层次生态系统,
任何层面的漏洞都可能在整个链条中传播——正如高调软件供应链攻击所
证明的那样。依赖性分析对于了解哪些供应商关系对
业务至关重要、一旦受损或中断将造成重大损害至关重要。
标准还引入了安全需求分配的概念——确定哪些安全
控制应由组织实施、哪些应由供应商实施、哪些应共同管理。此分配必须
记录在案并由双方明确理解。标准强调考虑供应商自身供应链的重要性,
因为安全漏洞可能通过更深层次引入。
一个常见的误解是使用大型知名供应商就能消除安全风险。实际上,大型
供应商的规模和复杂性可能引入独特风险,云服务中的”共担责任”模型
在未正确理解和记录时往往留下关键空白。
供应商的规模和复杂性可能引入独特风险,云服务中的”共担责任”模型
在未正确理解和记录时往往留下关键空白。
管理供应商安全的框架
标准提供了一个全面框架,将供应商关系安全整合到组织的整体信息安全管理
体系中。框架包括:治理(供应商安全的政策、角色、职责
和监督)、风险管理(识别、评估和处理供应商相关的信息
安全风险)、运营控制(供应商关系的日常安全管理活动)
和绩效评估(监控、测量、审计和审查供应商安全绩效)。
框架强调相称性原则——安全活动的深度和严格程度应与每个供应商关系带来的
风险相称。提供非关键服务的低风险供应商可能只需要基线控制,而能够访问
敏感数据或关键系统的高风险供应商则需要全面评估、持续监控和强有力的
合同保护。标准推荐将供应商分级分类作为基础实践。
常见问题
问:ISO/IEC 27036-1 与 ISO/IEC 27001 有何关系?
答:ISO/IEC 27036-1 为 ISO/IEC 27001 中的供应商关系控制(特别是
2022 版的 A.5.19-A.5.23)提供了详细的实施指南。使用 27001 作为信息
安全管理体系框架的组织应参考 27036-1 以获取供应商安全治理的最佳实践。
答:ISO/IEC 27036-1 为 ISO/IEC 27001 中的供应商关系控制(特别是
2022 版的 A.5.19-A.5.23)提供了详细的实施指南。使用 27001 作为信息
安全管理体系框架的组织应参考 27036-1 以获取供应商安全治理的最佳实践。
问:该标准是否同等适用于所有供应商?
答:不适用。标准倡导基于风险的分级方法。处理敏感数据、提供关键服务
或能够访问生产系统的供应商需要比低风险商品化产品或服务供应商更严格的
安全管理。
答:不适用。标准倡导基于风险的分级方法。处理敏感数据、提供关键服务
或能够访问生产系统的供应商需要比低风险商品化产品或服务供应商更严格的
安全管理。
问:如何处理次级供应商风险?
答:标准要求组织考虑供应商自身的供应链。这可以通过合同要求、供应商
关于其供应链管理的声明以及在关键次级供应商中扩展审计权来解决。
答:标准要求组织考虑供应商自身的供应链。这可以通过合同要求、供应商
关于其供应链管理的声明以及在关键次级供应商中扩展审计权来解决。
问:2021 版的主要变化有哪些?
答:2021 版增加了关于云服务提供商关系、软件供应链安全、托管安全服务
提供商考虑因素的指南,以及关于供应链韧性和业务连续性整合的扩展指南。
答:2021 版增加了关于云服务提供商关系、软件供应链安全、托管安全服务
提供商考虑因素的指南,以及关于供应链韧性和业务连续性整合的扩展指南。
