互联网企业安全管理体系，GB∕T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》标准解读

【摘 要】2018年10月10日，国家市场监督管理总局和中国国家标准化管理委员会正式发布了国家标准GB/T -2018《信息安全技术 ICT供应链安全风险管理指南》。该标准面向我国信息通信技术（以下简称ICT）供应链安全，旨在提高网络运营者ICT供应链安全管理水平，切实保障我国重要信息系统和关键信息基础设施的ICT供应链安全风险。本文主要从标准现状、标准适用范围和编制思路、标准解读3个方面对该标准进行了阐述，使网络产品和服务的采购方和供应商更好地理解该标准，便于网络运营者开展ICT供应链安全风险管理。

【关键词】ICT供应链 安全风险管理标准

1 引言

随着信息通信技术的普及应用，加强ICT供应链的安全可控保障变得至关重要。目前，世界各国和ICT行业已普遍认识到，相比传统行业，ICT行业供应链更加复杂，存在安全风险的概率更大。加强ICT供应链安全管理，有利于增强客户对ICT供应链以及ICT行业的安全信任。

与传统供应链相比，ICT供应链具有许多不同的特点：一是ICT供应链涵盖ICT产品和服务的全生命周期，不仅包括传统供应链的生产、集成、仓储、交付等供应阶段，也包括产品服务的设计开发阶段和售后运维阶段；二是ICT产品由全球分布的供应商开发、集成或交付，供应链的全球分布性使得客户对供应链的掌握情况和安全风险控制能力在下降；三是传统供应链主要关注如何将产品有效地交付给客户，或者供应链健壮性的强度，而ICT供应链安全更关注是否会有额外的功能注入产品和服务中，交付的产品和服务是否与预期一致等。这些特点使得ICT供应链比传统供应链存在更多的安全风险，加强ICT供应链的安全风险管理刻不容缓。

为加强ICT供应链安全管理，全国信息安全标准化技术委员会（简称信安标委或）启动了国家标准《信息安全技术 ICT供应链安全风险管理指南》（简称《ICT供应链安全风险管理指南》或GB/T -2018）的制定工作。该标准由中国电子技术标准化研究院牵头，中科院软件所、联想、华为、蚂蚁金服、阿里巴巴、京东、浪潮等18家单位参与起草。该标准于2018年10月10日由国家市场监督管理总局和国家标准化管理委员会正式发布，2019年5月1日开始实施。

2 国内外供应链安全标准现状

目前，国际供应链安全标准已渐成体系，而国内供应链安全要求大多分散在多个标准中，GB/T -2018作为我国第一个ICT供应链安全国家标准，标志着我国供应链安全标准正在起步。

2.1 国外主要供应链安全标准

（1）ISO 系列标准

ISO 供应链安全管理体系系列标准，是为满足运输和物流行业对共同安全管理标准的需求而提出的，旨在帮助组织建立一个可认证的供应链安全管理体系，适用于涉及采购、制造、仓储或运输等供应链任一环节的各类组织。该系列标准主要包括：ISO 《供应链安全管理体系规范》、ISO 《供应链安全、评估和计划的最佳实践——需求和指南》、ISO 《供应链恢复能力的开发——要求及使用指南》、ISO 《提供审核和认证功能的实体的需求》、ISO 《实施指南》。

（2）ISO/IEC

ISO/IEC 《供应商关系的信息安全》是第一部针对ICT供应链安全的国际标准，属于ISO/IEC 信息安全管理体系标准，其针对客户和供应商之间的购买与供应关系（即供应商关系），规定了供应商关系信息安全管理的框架，适用于采购方和供应商对供应商关系进行信息安全管理。该标准包括4个部分：ISO/IEC -1《第一部分：概述和概念》、ISO/IEC -2《第二部分：通用要求》、ISO/IEC -3《第三部分：ICT供应链安全指南》、ISO/IEC -4《第四部分：云服务安全指南》。

（3）ISO/IEC

ISO/IEC 《开放可信技术供应商标准——减少被恶意污染和伪冒的产品》，原是国际开放组织（The Open ）联合IBM、惠普、微软、华为、思科等会员企业，共同编制的一项行业联盟标准。该标准针对采购ICT商用现货面临的产品被恶意污染、被伪冒两大威胁，从产品开发工程、安全开发工程、供应链安全3个方面，提出了一个保障产品开发过程安全和供应过程完整性的最佳实践。该标准也可用于对供应商在降低被恶意污染和伪冒产品风险方面进行认证。

（4）NIST -161

NIST -161《联邦信息系统和组织供应链风险管理方法》，用于指导美国联邦政府机构管理ICT供应链的安全风险，旨在指导联邦部门和机构识别、评估和减轻ICT供应链风险。NIST -161分析了联邦机构的ICT供应链结构；基于NIST -39的组织风险管理过程，给出了供应链风险管理的过程和活动；基于NIST -53给出ICT供应链的安全控制措施集合，新增了来源安全控制族，可供组织根据ICT需求定制裁剪。

2.2 国内主要供应链安全标准

GB/T -2016《信息安全技术 信息技术产品供应方行为安全准则》从供应商角度入手，规定了信息技术产品供应方的行为安全准则。其他已发布的网络安全标准，有的含有供应链安全要求，如GB/T -2014《信息安全技术 云计算服务安全能力要求》提出“系统开发与供应链安全”，对云服务商的供应链从采购过程、外部服务提供商、开发商、防篡改、组件真实性、不被支持的系统组件、供应链保护等方面提出了安全要求。新修订的GB/T -2019《信息安全技术 信息系统安全等级保护基本要求》在通用要求里，提出了产品采购与使用、外包软件开发、服务供应商选择等供应链安全要求。GB/T -2012《信息安全技术 政府部门信息安全管理基本要求》在日常信息安全管理中也规定了“采购管理”和“外包管理”要求，用于指导各级政府部门的信息安全管理工作。

在供应链风险管理方面，我国风险管理标准化技术委员会（SAC/TC 310）发布的GB/T -2009《供应链风险管理指南》，给出了供应链风险管理的通用指南和航空工业的风险评估示例，但主要针对传统物流供应链，未全面考虑ICT供应链的网络安全风险。而GB/T -2018《信息安全技术 ICT供应链安全风险管理指南》作为我国第一个ICT供应链安全国家标准，弥补了ICT供应链安全风险管理的空白。

3 标准适用范围和编制思路

《ICT供应链安全风险管理指南》规定了ICT供应链的安全风险管理过程和控制措施，适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链进行安全风险管理，也适用于指导ICT产品和服务的供方和需方加强供应链安全管理，同时还可供第三方测评机构对ICT供应链进行安全风险评估时参考。

该标准编制时成立了包含需方和软件、硬件、服务等多类供方的编制组，通过深入研究国内外供应链安全相关政策和标准，广泛调研国内软件、硬件和服务等不同类型机构的供应链安全风险和管理实践，在多轮意见反馈及企业试用验证后形成报批稿进行发布。编制工作中主要遵循以下原则。

一是以国内外供应链安全相关标准为基础。《ICT供应链安全风险管理指南》以国内供应链安全相关标准要求为基础，充分借鉴国际先进的ICT供应链安全风险管理方法。其中，风险管理过程以国内的供应链管理、信息安全风险管理类标准为基础，如ISO/IEC （GB/T ）、GB/T 等；安全控制措施以国内外供应链相关安全措施为基础，如GB/T 、GB/T 、ISO/IEC 、ISO/IEC 、NIST -161、NIST -53。

二是支持多样的ICT产品和服务供应链。由于ICT产品和服务类型多样，软件、硬件、系统、服务的供应链细节可能存在不同，因此本标准在编制中尽量考虑到多种类型产品和服务，从软件、硬件、服务、数据、客户几个角度梳理供应链的安全风险，安全风险管理过程尽量采用通用、得到认可的过程步骤，供应链安全控制措施则提供了一个控制措施集合，ICT采购方或供应商可根据应用环境和安全需求进行剪裁。

三是考虑可操作性和实用性。为了确保标准的可操作性和实用性，标准编制组广泛吸收了在国内信息通信技术产品和服务市场的主流软件、硬件、服务厂商作为标准编制组成员。

4 标准内容解读

《ICT供应链安全风险管理指南》标准，主要包括术语定义、ICT供应链安全风险管理过程、安全控制措施、ICT供应链概述、ICT供应链安全威胁、ICT供应链安全脆弱性等内容。

4.1 ICT供应链

标准给出了对ICT供应链的界定和理解，包括在术语中定义了ICT供应链、供应关系、ICT供应链生命周期、ICT供应链基础设施等概念，以及在附录A提出了ICT供应链结构、特点、范围和供应商类型等内容。

ICT供应链即网络产品和服务的供应链，是指为满足供应关系通过资源和过程将需方、供方相互连接的网链结构互联网企业安全管理体系，可用于将ICT产品和服务提供给需方。ICT供应链结构如图1所示。

供应链通常包括需方和供应商（供方）两种角色，需方与供应商之间存在供应关系。在供应链中，一个组织可能既是上游组织的需方，也是下游组织的供应方，与其上游、下游均存在供应商关系。

相对于传统领域的实体供应链，ICT供应链具有全球分布性、供应商多样性、产品服务复杂性、全生命周期覆盖性等特点。ICT供应链生命周期是ICT产品和服务从无到有直至废弃的全生命周期涉及的供应链活动，通常以ICT产品和服务的设计为起点，经过开发、生产、集成、仓储、交付等环节将产品和服务交付给需方，并对产品和服务进行运维、售后服务等直至其废弃。

虽然从广义来说，ICT供应链的范围包含产品、系统或服务中所有部件在其生命周期各环节中涉及的所有供应商，但是考虑到组织实践和管理成本，需方可根据组织的业务目标自行划分ICT供应链的管理范围，对其组织范围内的ICT产品、系统或服务的创建、维护、终止等全生命周期过程涉及的供应商关系进行管理。

图1 ICT供应链结构示意图

4.2 ICT供应链安全目标和安全风险

标准第五章给出了ICT供应链安全目标，主要表现在：一是完整性。确保在ICT供应链所有环节中，网络产品和服务不被植入、篡改、替换和伪造；二是保密性。确保ICT供应链上传递的敏感信息不被未授权泄露；三是可用性。确保ICT供应链能够正常供应，甚至在部分失效时仍能保持连续供应；四是可控性。确保采购方和供应商对ICT产品、服务或供应链的控制能力，例如一旦ICT供应链发生问题可进行追溯，保障采购方对供应链信息的透明度等。

目前，ICT供应链已成为网络攻击的重要渠道和对象，可能面临多种安全威胁。标准附录B列出了主要威胁，主要涉及恶意篡改、假冒伪劣、供应中断、信息泄露、违规操作和其他威胁。同时，ICT供应链也可能存在许多安全脆弱性互联网企业安全管理体系，GB∕T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》标准解读，如附录C所示考证书的正规网站，包括设计研发阶段的安全隐患、供应阶段的安全隐患、服务运维阶段的安全隐患、ICT供应链安全管理的安全隐患、ICT供应链信息系统的安全隐患和供应链物理安全隐患。

4.3 ICT供应链安全风险管理过程

标准第六章给出了ICT供应链风险管理过程，具体编制时主要基于GB/T 的信息安全风险管理框架，参考GB/T 《供应链风险管理指南》和NIST SP 800-161《联邦信息系统和组织供应链风险管理方法》等标准，细化了ICT供应链安全风险管理的步骤和实施细则。

组织可针对ICT供应链可能面临的安全风险，建立ICT供应链安全风险管理过程。ICT供应链安全风险管理过程由背景分析、风险评估、风险处置、风险监督和检查、风险沟通和记录5个步骤组成，如图2所示。组织宜按照GB/T -2015的规定建立ICT供应链风险管理过程，也可将ICT供应链安全风险管理分散到对ICT供应链生命周期各环节、ICT供应链基础设施、外部供应商的风险管理活动中。

图2 ICT供应链安全风险管理过程

4.4 ICT供应链安全风险控制措施

标准第七章提供了可用于应对ICT供应链安全风险的安全措施，具体编制时参考了GB/T 2208、NIST -161、ISO/IEC 及现有国家标准中供应链相关安全要求进行编制，给出了ICT供应链安全风险控制措施集合，供ICT采购方或供应方根据自身存在的安全风险和组织特点筛选使用。

组织可根据组织的特点和已识别的安全风险，选择实施相应的技术安全措施和管理安全措施，以降低ICT供应链安全风险，提高组织的ICT供应链安全保障能力。

技术安全措施包括物理与环境安全、系统与通信安全、访问控制、标识与鉴别、供应链完整性保护和可追溯性几个方面；管理安全措施涉及制度和人员管理、供应链生命周期管理、采购外包和供应商管理。

此外，ICT供应链基础设施通常作为ICT供应链安全的主要保护对象，是指由组织内的硬件、软件和制度流程等构成的集合，用于构建产品和服务的设计、开发、生产、集成、仓储、交付、运维、废弃等ICT供应链生命周期的环境。ICT供应链基础设施，主要包括组织内部支撑ICT供应链生命周期的信息系统和物理设施，如供应链管理信息系统、采购管理系统、软件开发环境、零部件生产车间、产品仓库等。

5 结语

ICT供应链安全已成为世界各国重点关注的问题，GB∕T -2018《信息安全技术 ICT供应链安全风险管理指南》国家标准的发布，弥补了我国在ICT供应链安全领域标准缺失的问题，为提高重要信息系统和关键信息基础设施的ICT供应链安全管理水平提供了有力支撑和技术基础。

参考文献

[1] GB/T -2018《信息安全技术 ICT供应链安全风险管理指南》[S].

安全健康环境管理措施，健康、安全与环境管理体系简称为HSE管理体系

健康、安全与环境管理体系简称为HSE管理体系，或简单地用HSE MS（ and )表示。HSE MS是近几年出现的国际石油天然气工业通行的管理体系。它集各国同行管理经验之大成，体现当今石油天然气企业在大城市环境下的规范运作，突出了预防为主、领导承诺、全员参与、持续改进的科学管理思想。

HSE的发展

HSE把健康、安全、环境作为一个整体

由于健康、安全与环境危害的管理在原则和效果上彼此相似，在实际过程中三者又有不可分割的联系考证书的正规网站，因此很自然地把健康（H）、安全（S）与环境（E）作为一个整体来管理。1991年，公司委员会颁布健康、安全与环境(HSE)方针指南。1919年在荷兰海牙召开了第一届油气勘探、开发健康、安全与环境国际会议，HSE这一完整概念逐步伟大家所接受。

HSE体系在企业管理中的作用

HSE管理体系是企业整个管理体系的有机组成部分之一，它将健康、安全和环境三种密切相关的管理体系科学地结合在一起。HSE管理体系为企业实现持续发展提供了一个结构化的运行机制，并为企业提供了一种不断改进HSE表现和实现既定目标的内部管理工具。

HSE管理体系与企业管理的关系

建立HSE管理体系的原由

一、、

我们现有的管理体系难以满足建立现代化企业管理的要求，主要表现：

1、企业虽然有一套现行的有效的管理方式和管理制度，但它们各管一方，健康、安全与环境管理有时各行一套，未形成科学、系统、持续改进的管理体系；

2、在健康、安全与环境管理的思维模式上与国外先进的管理思想存在较大的差距，如普遍缺乏国外的高层承诺和“零事故”思维模式；

3、缺乏现代化企业健康、安全与环境管理管理所要求的系统管理方法和科学管理模式。

二

石油行业是一种高风险的行业，健康、安全和环境风险同时伴生，应同时管理：

1、石油企业的健康、安全与环境事故往往是相互关联的，必须同时加以控制；

2、ISO质量管理体系和ISO 环境管理体系都是先进的管理体系，其中也包括了一些健康、安全要素，但主要分别是针对质量和环境的，未形成一个整体。

三

建立HSE管理体系是企业与国际市场接轨的需要：

1、国际上几乎所有大型石油天然气企业都在推行这一先进的HSE管理模式；

2、良好的HSE管理是进入国际市场的准入证；

3、可保证HSE管理水平的不断提高，提高企业的名声，增加在国际市场上的竞争力

HSE报告进行第三方验证的原因

①增加透明度。

报告提供的HSE表现信息具有透明性，增进公司和持股人之间的相互信任。

②保证完整性。

验证过程通过公认的评价程序对数据收集过程及收集的数据进行严格的评价，保证了报告内容的完整性和准确性，免除了自我吹嘘的嫌疑。

③促进改进。

验证过程可以对HSE数据收集作出严格的评价，不但提高了数据的可信度安全健康环境管理措施，而且可使数据采集过程不断得到改进。

④带来信誉。

许多组织选择验证方时都要考虑验证机构的信誉可给验证报告中的信息带来的信誉，因此验证可看作一种增加信誉的手段，可使读者对报告拥有更多的信任。

HSE认证审核的过程

大体分为两个阶段：

即初始审核和正式审核。

对审核通过的企业，HSE认证中心向其颁发认证证书和认证标志。

具体如下:HSE管理体系认证是依据审核准则，由获得认可资格的认证机构对受审核方的HSE管理体系实施认证及认证评定，确认受审核方的HSE管理体系的符合性及有效性，并颁发认证证书与认证标志的过程。认证审核实施基本过程包括：申请及受理、预审核、认证审核、纠正措施的跟踪、审批发证与证后监督六个方面

认证的申请及受理

1．提出申请

符合HSE管理体系认证基本条件的企业如果需要认证，则应以书面形式向认证机构提出申请。申请HSE管理体系认证的企业应具备下列基本条件：

（1）申请方需要具备独立的管理职能或为独立核算的实体；

（2）已按SY/-1997标准含职业安全卫生管理体系标准建立了HSE/OSH管理体系，实施运行至少三个月，并完成至少两次内部审核和一次管理评审；

（3）当年无特大事故（工业、交通、火灾、污染、职业卫生），近两年内千人死亡率，千人重伤率达到考核标准，其他安全、环保和健康指标达标、符合国家和地方要求。

2．申请组织应提交的文件申请组织应提交的文件申请组织在拟申请认证审核前三个月，应向认证机构提交下列文件资料安全健康环境管理措施，健康、安全与环境管理体系简称为HSE管理体系，以供认证机构评审申请组织是否具备认证审核的条件：

（1）HSE/OSH认证书面申请书，申请认证范围；

（2）申请方同意遵守认证要求，提供评价所需要的信息；

（3）具备独立管理职能或独立核算实体的证明复印件（如：营业执照）及有关人力资源和技术资源；

（4）主要活动、产品和服务的工艺流程图；

（5）HSE/OSH管理手册、程序文件（含作业文件和记录清单）必要时，提交作业文件；

（6）健康、安全与环境初始评价报告（含主要危害和影响场所清单）；

（7）已编制的项目HSE作业计划书、风险评价报告清单；

（8）近两年未发生重大及以上事故的上级主管部门的证明。

3．申请受理

认证机构收到申请材料之日起一个月内作出是否受理申请的决定，并制定审核计划，对申请材料进行审查，判断企业是否符合认证审核的条件。对未通过审查的企业，认证机构通知企业进行补充、纠正；不具备条件的；认证机构签发不受理通知书；认证机构应说明不受理的理由。对于通过审查的组织，签发受理申请通知书。

4．合同评审申请受理后，双方签订HSE管理体系认证合同。认证机构应就申请方提出的条件和要求进行评审，确保：

（1）认证机构的各项要求规定明确，形成文件并得到理解；

（2）认证机构和申请组织在理解上的分歧已被消除；

（3）认证机构有能力在拟认证的范围和活动现场内实施认证并能满足申请方的其他具体要求（如申请组织使用的语言，申请方认证范围内所涉的专业等）。

5．认证各方的职责在认证过程中，应对认证各方的职责加以明确。

凡中石油、中石化行业：天燃气管道生产、安装、石油化工制品生产、销售、设备制造、电工电气、建设施工、建设监理、设计、交通运输、物流、勘探钻井等企业均可实施HSE认证。

企服赋能社为您提供最好的服务