安全信息通信產(chǎn)品與服務(wù)采購指南

美國東西方研究所

安全信息通信產(chǎn)品與服務(wù)采購指南

美國東西方研究所

美國東西方研究所（EWI）于2016年發(fā)布了由其全球安全I(xiàn)CT產(chǎn)品和服務(wù)可及性與使用突破小組編制的“安全信息通信產(chǎn)品與服務(wù)采購指南”。早在2015年，該小組就明確表示，政府和企業(yè)在ICT市場中扮演著多重角色。政府是政策制定者，有時(shí)也是ICT行業(yè)的監(jiān)管者，而企業(yè)開發(fā)和提供ICT產(chǎn)品和服務(wù)。政府和企業(yè)又都是ICT產(chǎn)品和服務(wù)的采購商。因此，網(wǎng)絡(luò)空間的利益相關(guān)方在提高ICT產(chǎn)品和服務(wù)的安全性方面，負(fù)有不同程度的責(zé)任。

安全信息通信產(chǎn)品與服務(wù)采購；管控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；國際標(biāo)準(zhǔn)和最佳實(shí)踐；對話

1 編制采購指南的必要性

當(dāng)前，世界各地的政府和企業(yè)都依靠ICT產(chǎn)品和服務(wù)來維護(hù)國家和經(jīng)濟(jì)安全，保障社會(huì)治安和執(zhí)法，確保自身和服務(wù)對象的數(shù)據(jù)保密。而ICT的使用者也越來越認(rèn)清并且擔(dān)心網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

在過去的18個(gè)月到24個(gè)月中，安全專家以及企業(yè)高管和董事會(huì)成員都投身到了加強(qiáng)網(wǎng)絡(luò)安全的努力之中，而且增加了對此的投入。普華永道《2016年全球信息安全狀況調(diào)查》顯示，有45%的企業(yè)董事會(huì)成員參與過制定總體安全戰(zhàn)略，而2015年的網(wǎng)絡(luò)安全預(yù)算也增加了24%。[1]

其實(shí)，企業(yè)早就應(yīng)該重視網(wǎng)絡(luò)安全問題了。媒體關(guān)于網(wǎng)絡(luò)攻擊不斷增強(qiáng)的廣泛報(bào)道只是冰山一角。英國的勞埃德保險(xiǎn)公司認(rèn)為，網(wǎng)絡(luò)犯罪每年給企業(yè)造成4000億美元的損失，包括新的各種破壞、股價(jià)下挫、保費(fèi)增加以及分散管理團(tuán)隊(duì)精力等。加大對網(wǎng)絡(luò)安全的關(guān)注與投入確實(shí)意義重大，但這種關(guān)注和投入仍顯不足，而且有很多參與和投入上的努力僅僅局限于管控ICT系統(tǒng)和數(shù)據(jù)的操作風(fēng)險(xiǎn)，并未意識到采購決定對技術(shù)安全性的影響。具體而言，很多ICT采購商并沒有與供應(yīng)商就后者如何開發(fā)技術(shù)產(chǎn)品和服務(wù)、在所處環(huán)境中管控風(fēng)險(xiǎn)以及如何采取其措施等問題進(jìn)行溝通。

技術(shù)的創(chuàng)新和開發(fā)有賴于全球資源——網(wǎng)絡(luò)、實(shí)體和人力資源。全球化的手段能夠降低成本，讓世界各地的個(gè)人和組織都能享受ICT產(chǎn)品和服務(wù)所帶來的好處。但風(fēng)險(xiǎn)也隨之而來，因?yàn)閭€(gè)人、企業(yè)、服務(wù)和零部件千差萬別，產(chǎn)品和服務(wù)本身也高度復(fù)雜。尤其是ICT產(chǎn)品和服務(wù)往往包括脆弱的零部件，因此拓展了網(wǎng)絡(luò)風(fēng)險(xiǎn)敞口，也在產(chǎn)品和服務(wù)的生命周期內(nèi)增加了直接和間接成本。云服務(wù)成本效益高，發(fā)展迅速，往往依靠跨國托管和維護(hù)，這降低了風(fēng)險(xiǎn)的透明度，使得解決這類問題更顯重要。

通過確定采購重點(diǎn)，ICT采購商至少可以在網(wǎng)絡(luò)安全方面發(fā)揮兩個(gè)關(guān)鍵作用：

首先，購買和使用在自身環(huán)境中有足夠安全性和完整性保障的產(chǎn)品和服務(wù)能夠減少風(fēng)險(xiǎn)。

其次，通過將安全納入采購決策中，將激勵(lì)I(lǐng)CT供應(yīng)商開發(fā)和提供更安全的產(chǎn)品和服務(wù)。

購買者若希望獲得更安全的ICT產(chǎn)品和服務(wù)，就應(yīng)該提出詳細(xì)的安全要求，并在采購時(shí)加以利用。包括根據(jù)通行的國際標(biāo)準(zhǔn)和最佳實(shí)踐，在充分了解風(fēng)險(xiǎn)和事實(shí)的基礎(chǔ)之上來確定采購方法。同時(shí)還應(yīng)該建立客觀的一致性體系，既要靈活，也應(yīng)反映風(fēng)險(xiǎn)狀況。向ICT供應(yīng)商提出詳細(xì)的問題和具有商業(yè)合理性的要求，采購商不僅能大幅減少一系列網(wǎng)絡(luò)威脅風(fēng)險(xiǎn)，還能夠降低網(wǎng)絡(luò)空間的整體風(fēng)險(xiǎn)。

在可行的情況下，采購商應(yīng)該聯(lián)合起來，利用自身購買實(shí)力而向市場提出統(tǒng)一的要求。

總的來說，合理的ICT采購應(yīng)該考慮從如下三個(gè)方面著眼：企業(yè)安全治理，產(chǎn)品和服務(wù)的生命周期——從設(shè)計(jì)、維護(hù)到應(yīng)對，建立保障。

2 企業(yè)安全治理

2.1 戰(zhàn)略與控制

組織領(lǐng)導(dǎo)者所承擔(dān)的一項(xiàng)責(zé)任就是緩解可能會(huì)對組織核心使命、運(yùn)行和聲譽(yù)產(chǎn)生負(fù)面影響的風(fēng)險(xiǎn)。如前所述，企業(yè)的董事會(huì)和高管已經(jīng)越來越深刻地認(rèn)識到這類風(fēng)險(xiǎn)可能會(huì)導(dǎo)致網(wǎng)絡(luò)安全問題，所以網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與其他風(fēng)險(xiǎn)一樣需要由董事會(huì)出面負(fù)責(zé)。換句話說，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)必須納入企業(yè)整體風(fēng)險(xiǎn)管控計(jì)劃。因此，董事會(huì)和CEO必須持續(xù)參與，在管控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)上發(fā)揮主導(dǎo)作用。明確了這一責(zé)任，組織就應(yīng)該堅(jiān)定承諾解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，在內(nèi)部建立相關(guān)委員會(huì)或其他機(jī)構(gòu)以應(yīng)對風(fēng)險(xiǎn)（或?qū)⒕W(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控納入現(xiàn)有風(fēng)險(xiǎn)管控機(jī)構(gòu)的工作之中）。由于組織中的有關(guān)機(jī)構(gòu)，如業(yè)務(wù)小組、關(guān)鍵部門、IT、人力資源、法務(wù)和安全等，只負(fù)責(zé)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一個(gè)或幾個(gè)方面（威脅、脆弱性和后果），因此應(yīng)成立一個(gè)高級別委員會(huì)，由各部門主管出任委員，評估和監(jiān)督風(fēng)險(xiǎn)管控，并且向董事會(huì)和高管持續(xù)匯報(bào)（進(jìn)行季度或半年度定期報(bào)告，必要時(shí)增加頻率）。

該委員會(huì)應(yīng)負(fù)責(zé)制定內(nèi)部網(wǎng)絡(luò)安全要求（企業(yè)政策、標(biāo)準(zhǔn)和程序），以指導(dǎo)關(guān)鍵職能部門（包括研發(fā)、生產(chǎn)和服務(wù)提供部門）以及支持和保障等部門（如人力資源、法務(wù)、標(biāo)準(zhǔn)、合規(guī)、審計(jì)部門）的工作。

這些要求不僅應(yīng)納入相關(guān)業(yè)務(wù)小組或部門的績效標(biāo)準(zhǔn)之中，也應(yīng)當(dāng)是直接責(zé)任人應(yīng)該遵守的標(biāo)準(zhǔn)；另外還應(yīng)建立內(nèi)部評估和審計(jì)等機(jī)制，以跟蹤、監(jiān)督組織的自身管理或由第三方供應(yīng)商完成的網(wǎng)絡(luò)安全職能和活動(dòng)。這類問責(zé)機(jī)制能讓承擔(dān)網(wǎng)絡(luò)安全責(zé)任的部門和個(gè)人切實(shí)履行職責(zé)。內(nèi)部監(jiān)督機(jī)構(gòu)則可以了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)如何得到有效管控，并且向董事會(huì)及時(shí)提供重要信息。

與戰(zhàn)略與控制相關(guān)的兩大問題是：供應(yīng)商如何管理信息和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，有否將此納為企業(yè)的戰(zhàn)略與運(yùn)行核心？產(chǎn)品或服務(wù)為解決突發(fā)的安全問題而會(huì)延遲多久上市？

2.2 標(biāo)準(zhǔn)和程序

要確保產(chǎn)品和服務(wù)質(zhì)量穩(wěn)定，企業(yè)員工和供應(yīng)商必須遵守一致、可重復(fù)和可規(guī)?；某绦蚝妥龇ǎ枰ㄟ^培訓(xùn)和工具給予支持。有效管控網(wǎng)絡(luò)風(fēng)險(xiǎn)也是如此。不管是產(chǎn)品質(zhì)量還是網(wǎng)絡(luò)安全，行之有效的程序和做法通常建立在國際通行標(biāo)準(zhǔn)和最佳實(shí)踐的基礎(chǔ)之上。

一個(gè)組織對內(nèi)（向管理人員、員工和承包商）和對外（向供應(yīng)商）都應(yīng)該明確必須遵守哪些合理的標(biāo)準(zhǔn)和程序。其中一項(xiàng)最佳實(shí)踐是“網(wǎng)絡(luò)安全框架”，由國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）與有關(guān)企業(yè)共同制定。[2]該“框架”參照國際標(biāo)準(zhǔn)，提出了分析和管理操作風(fēng)險(xiǎn)的程序及做法。這是一個(gè)組織評估和系統(tǒng)解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要基礎(chǔ)。ICT采購商應(yīng)考慮采納“網(wǎng)絡(luò)安全框架”中提到的各種方法，這不僅能提高自身網(wǎng)絡(luò)安全，還能評估供應(yīng)商的情況。

內(nèi)部監(jiān)督機(jī)構(gòu)還應(yīng)考慮的其他因素包括國家或地區(qū)（如歐盟）的法律法規(guī)，以及特殊客戶或行業(yè)部門的需求。此外，各機(jī)構(gòu)還應(yīng)跟蹤網(wǎng)絡(luò)威脅的新變化和行業(yè)的發(fā)展，同時(shí)不斷評估要求提高所帶來的影響，包括對成本和創(chuàng)新的潛在影響。

與標(biāo)準(zhǔn)和程序相關(guān)的三個(gè)問題是：安全程序和實(shí)踐得到了哪些國際通行標(biāo)準(zhǔn)和最佳實(shí)踐的支持？缺口在哪里？該如何解決？

2.3 人力資源

人力資本是一個(gè)組織的最寶貴資產(chǎn)之一，有效的管理應(yīng)當(dāng)讓員工在創(chuàng)造價(jià)值的同時(shí)，也能為管理和降低風(fēng)險(xiǎn)做出貢獻(xiàn)。一流的組織會(huì)努力建立、維護(hù)和定期改進(jìn)其文化，提高員工素質(zhì)，為實(shí)現(xiàn)組織的目標(biāo)做出貢獻(xiàn)。因此，需要招聘、培訓(xùn)和激勵(lì)員工，讓他們理解相關(guān)目標(biāo)和要求，包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。

這一人力資源目標(biāo)應(yīng)當(dāng)適用于組織的各個(gè)層次，從基層員工到高層經(jīng)理無一例外。所有員工都應(yīng)當(dāng)有相應(yīng)的網(wǎng)絡(luò)安全意識（符合其崗位的具體要求），而且應(yīng)該定期加強(qiáng)和檢測。定期培訓(xùn)應(yīng)當(dāng)包括遵守法律和內(nèi)部政策，同時(shí)通報(bào)違規(guī)案例。所有員工都應(yīng)當(dāng)清楚什么行為是被允許的，什么行為是不受鼓勵(lì)的，什么行為是明令禁止的。另外，還應(yīng)確立一種組織文化，鼓勵(lì)員工舉報(bào)違規(guī)行為，遵守政策，否則將被問責(zé)。

組織還可以考慮進(jìn)行隨機(jī)評估。例如，發(fā)送測試釣魚郵件，發(fā)起測試社會(huì)工程攻擊，對員工進(jìn)行匿名調(diào)查，明確員工有舉報(bào)不當(dāng)行為的責(zé)任。員工應(yīng)該明白，組織重視遵守政策，而且采取了切實(shí)的措施，并在落實(shí)到了組織的各個(gè)層面。

與人力資源相關(guān)問題包括如何審查、選拔、培訓(xùn)、問責(zé)關(guān)鍵員工，確保其值得信賴。

3 產(chǎn)品和服務(wù)的生命周期——從設(shè)計(jì)、維護(hù)到回應(yīng)

由于網(wǎng)絡(luò)威脅在不斷發(fā)展變化，供應(yīng)商應(yīng)重點(diǎn)確保產(chǎn)品和服務(wù)在全生命周期內(nèi)的安全。具體而言，供應(yīng)鏈上的每個(gè)技術(shù)供應(yīng)商，包括軟件開發(fā)商、零部件供應(yīng)商、制造商、批發(fā)商和經(jīng)銷商，都應(yīng)當(dāng)在降低供應(yīng)鏈各環(huán)節(jié)的風(fēng)險(xiǎn)上發(fā)揮作用。應(yīng)利用過程、實(shí)踐、培訓(xùn)和工具來緩解各種潛在風(fēng)險(xiǎn)，包括在軟件代碼編寫過程中減少脆弱性的數(shù)量和嚴(yán)重程度，降低代碼遭惡意破壞的風(fēng)險(xiǎn)，防止假冒的零部件進(jìn)入成品或服務(wù)。

各機(jī)構(gòu)對產(chǎn)品和服務(wù)生命周期的描述都有所不同，但至少都采納以下兩種方式中的一種。一種方式是對供應(yīng)商“內(nèi)部”開發(fā)的產(chǎn)品以及外包后又回收的產(chǎn)品（如硬件的零部件、開放源碼、其他第三方軟件）加以區(qū)分；另一種方式是在描述生命周期時(shí)使用產(chǎn)品和服務(wù)開發(fā)與投放過程中的一系列功能，將每個(gè)功能都視作供應(yīng)鏈的組成部分，因?yàn)樵诋?dāng)前的全球ICT市場，某項(xiàng)活動(dòng)或功能可以而且經(jīng)常外包給第三方。

根據(jù)功能對產(chǎn)品和服務(wù)周期的劃分可見圖1。從網(wǎng)絡(luò)安全和供應(yīng)鏈安全的角度看，采購商和供應(yīng)商都應(yīng)該重視各個(gè)類別的問題。對各類最佳實(shí)踐的簡單介紹，足以讓采購商更多地意識到供應(yīng)商的哪些做法能最有效地幫助其在整個(gè)產(chǎn)品或服務(wù)周期內(nèi)管理安全性和完整性。

圖1 產(chǎn)品與服務(wù)生命周期最佳實(shí)踐

3.1 設(shè)計(jì)與開發(fā)

在設(shè)計(jì)與開發(fā)過程中，采購商與供應(yīng)商應(yīng)關(guān)注兩個(gè)方面：供應(yīng)商如何管理軟件開發(fā)，又在多大程度上使用安全工程做法。

3.1.1 軟件開發(fā)

供應(yīng)商應(yīng)掌握所有產(chǎn)品和服務(wù)的核心過程和做法，管理軟件開發(fā)、運(yùn)行和維護(hù)的基本質(zhì)量與安全。不管是否有額外的安全工程、供應(yīng)鏈風(fēng)險(xiǎn)管理和/或增加安全性和完整性的制造方法，都應(yīng)當(dāng)采取這些做法，解決基本問題，如設(shè)計(jì)；開發(fā)政策和過程；配置和脆弱性管理（召回，并非所有的脆弱性都是安全脆弱性）；產(chǎn)品維護(hù)和處置。

3.1.2 安全的工程做法

供應(yīng)商應(yīng)遵守專門用于減少其產(chǎn)品、服務(wù)或零部件意外脆弱性的數(shù)量和嚴(yán)重程度的做法。其中包括建立威脅模型進(jìn)行分析，采取減緩措施；安全編碼；運(yùn)行保護(hù)技術(shù)；安全脆弱性分析、應(yīng)對和補(bǔ)救；以及持續(xù)改進(jìn)（監(jiān)督和評估威脅情況）。

與設(shè)計(jì)和開發(fā)相關(guān)的問題包括：供應(yīng)商如何管理軟件開發(fā)過程，是否基于行業(yè)標(biāo)準(zhǔn)或最佳實(shí)踐？如是，又遵循了哪些標(biāo)準(zhǔn)和實(shí)踐？供應(yīng)商是否制定生命周期戰(zhàn)略以確保從安全的角度保證產(chǎn)品和服務(wù)的設(shè)計(jì)、開發(fā)和維護(hù)？網(wǎng)絡(luò)安全要求是否貫穿始終？是否基于行業(yè)標(biāo)準(zhǔn)或最佳實(shí)踐？生命周期內(nèi)是否采取了安全的編碼程序？供應(yīng)商如何識別和跟蹤脆弱性，在可能使用脆弱編碼/零部件的產(chǎn)品和服務(wù)中有否重點(diǎn)排查風(fēng)險(xiǎn)？供應(yīng)商如何跟蹤網(wǎng)絡(luò)威脅的發(fā)展變化，并在設(shè)計(jì)、開發(fā)和運(yùn)用階段予以考慮？

3.2 制造

這包括將源代碼文件轉(zhuǎn)化成能在電腦上運(yùn)行的軟件，以及將軟件和硬件組裝成產(chǎn)品和服務(wù)。在生產(chǎn)和組裝之前或之中降低零部件遭攻擊或被假冒的風(fēng)險(xiǎn)十分重要。在此階段，優(yōu)良的產(chǎn)品開發(fā)和安全的工程程序以及供應(yīng)鏈的最佳實(shí)踐將有助于防止產(chǎn)品和服務(wù)的安全和質(zhì)量受到破壞。因此，編碼和零部件質(zhì)量審查至關(guān)重要。

與制造相關(guān)的問題包括：編制過程中使用了哪些安全程序？如何對產(chǎn)品和服務(wù)進(jìn)行持續(xù)檢測以排查安全脆弱性？供應(yīng)商采取了哪些國際標(biāo)準(zhǔn)和檢測做法？

3.3 發(fā)布、實(shí)施和配送

當(dāng)產(chǎn)品和服務(wù)準(zhǔn)備發(fā)貨或交付時(shí)，發(fā)布的方式應(yīng)當(dāng)予以記錄并連貫執(zhí)行。這將保證渠道伙伴在發(fā)布周期內(nèi)遵守最佳實(shí)踐以及有效的安全和供應(yīng)鏈措施，在向客戶配送過程中物理和邏輯獲取也不會(huì)受到影響。

與發(fā)布、實(shí)施和配送相關(guān)的問題包括：供應(yīng)商如何確定和授權(quán)商業(yè)伙伴銷售自己的產(chǎn)品和服務(wù)并確保其履行承諾？如何在客戶最終接受之前保證產(chǎn)品和服務(wù)的安全性與完整性？如何幫助客戶將產(chǎn)品和服務(wù)安全地融入現(xiàn)有基礎(chǔ)設(shè)施？

3.4 維護(hù)和回應(yīng)

這將保證產(chǎn)品或服務(wù)提供給客戶之后，按協(xié)議來管理產(chǎn)品和服務(wù)的維護(hù)問題。采購商應(yīng)該清楚供應(yīng)商在維護(hù)產(chǎn)品功能和安全性、處理事故以及在發(fā)貨后通知和改進(jìn)脆弱性方面的承諾。

與維護(hù)和回應(yīng)相關(guān)的問題包括：如何通過不間斷的維護(hù)、修補(bǔ)、事件處理和升級措施來保持和增強(qiáng)產(chǎn)品與服務(wù)的功能與安全性？

3.5 采購和供應(yīng)鏈

這包括將上述的硬件和軟件的某一功能外包給第三方。采購商應(yīng)該考慮供應(yīng)商、制造商、經(jīng)銷商或分銷商是否可靠。因此，采購商應(yīng)向供應(yīng)商確認(rèn)供應(yīng)鏈和外包商是否自始至終采取相同的最佳實(shí)踐。

在此過程中，還應(yīng)當(dāng)采取以下措施，包括選擇和授權(quán)供應(yīng)商和商業(yè)伙伴，如原始設(shè)備制造商（OEM）、零部件供應(yīng)商、經(jīng)銷商等；保護(hù)供應(yīng)商的環(huán)境（如物理和邏輯進(jìn)入控制）；維護(hù)制造過程的安全性與完整性（如安全傳輸、開放源、減少假冒偽劣產(chǎn)品、發(fā)現(xiàn)惡意軟件）。

與采購和供應(yīng)鏈相關(guān)的問題包括：在選擇之前是否對第三方進(jìn)行評估，在其產(chǎn)品或服務(wù)進(jìn)入供應(yīng)鏈之后是否進(jìn)行追蹤或驗(yàn)證？供應(yīng)商如何對其供貨商進(jìn)行安全管理? 供應(yīng)商是否建立相關(guān)安全標(biāo)準(zhǔn)，并將標(biāo)準(zhǔn)告知它的供貨商？供應(yīng)商如何表述其制造流程以及提供評估上下游，以發(fā)現(xiàn)任何零部件遭破壞或被假冒的細(xì)節(jié)？

4 建立保障

這將指導(dǎo)采購商了解可用于提高增進(jìn)保障的各種措施，包括供應(yīng)商可以采納的不同方式，以證明其程序和做法加強(qiáng)了質(zhì)量保障。

加強(qiáng)和展示質(zhì)量保障有助于建立和不斷增強(qiáng)采購商與供應(yīng)商之間的信任。

強(qiáng)化質(zhì)量保障的方法包括法律法規(guī)、合同、透明度等。有了這些做法，采購商更有可能要求提高ICT產(chǎn)品和服務(wù)的安全性和完整性；供應(yīng)商也將更多地采取有關(guān)質(zhì)量保障的程序和做法。這也會(huì)激發(fā)市場對安全I(xiàn)CT產(chǎn)品和服務(wù)的需求。

展示質(zhì)量保障的方法包括外部證明（通常是經(jīng)認(rèn)證）和自我證明。為此，需要提供具體的證據(jù)或其他信息，以說明供應(yīng)商采納了何種標(biāo)準(zhǔn)、程序和做法。分享這類信息有助于建立、維護(hù)和增進(jìn)信任。當(dāng)然，這也會(huì)產(chǎn)生相關(guān)成本，包括延遲采納更安全的產(chǎn)品和服務(wù)或者阻礙創(chuàng)新。

4.1 強(qiáng)化質(zhì)量保障

政府、供應(yīng)商和采購商可以采取多種措施強(qiáng)化質(zhì)量保障，包括法律法規(guī)、合同、獨(dú)立評估或證明以及透明度等。

4.1.1 法律法規(guī)

政府的政策制定者會(huì)要求其轄區(qū)內(nèi)的公共和私營部門采購商遵守安全、隱私或其他相關(guān)要求。同樣，這類采購商也必須保證其供應(yīng)商也遵守這類規(guī)定。換句話說，采購商必須確保其采購的產(chǎn)品和服務(wù)滿足政府的要求。因此，這方面的法律法規(guī)能加強(qiáng)質(zhì)量保障。例如，歐盟委員會(huì)要求其轄區(qū)內(nèi)的機(jī)構(gòu)遵守各種隱私承諾，為此還制定了示范條款（Model Clauses），亦稱標(biāo)準(zhǔn)合同條款（Standard Contract Clauses）。該條款保證個(gè)人數(shù)據(jù)在轉(zhuǎn)移至歐盟以外時(shí)應(yīng)遵守歐盟的《數(shù)據(jù)保護(hù)指令》。采購商可以參照這一要求評估供應(yīng)商。

4.1.2 合同

采購商與供應(yīng)商通過訂立合同，就安全、隱私、質(zhì)量等相互做出承諾。采購商在合同中可以規(guī)定供應(yīng)商必須遵守特殊的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)或指南，如ISO27000系列、ISO20243或美國國家標(biāo)準(zhǔn)與技術(shù)研究院的《網(wǎng)絡(luò)安全框架》。合同是一種靈活的市場機(jī)制，是增進(jìn)質(zhì)量保障的有力手段。采購商在合同中可以明確提出具體需求和關(guān)切，讓供應(yīng)商采取行之有效的措施。

4.1.3 透明度

除了政府規(guī)定、合同約束等法律機(jī)制，采購商和供應(yīng)商還可以自愿方式提升質(zhì)量保障。供應(yīng)商可以增強(qiáng)透明度，讓客戶更多了解其安全流程和措施、產(chǎn)品和服務(wù)，從而增進(jìn)信任。采購商也可以要求供應(yīng)商提高透明度，告知其為加強(qiáng)安全而采取的措施。如前文所述，自我證明是分享信息、提高透明度的方法。

與提高質(zhì)量保證相關(guān)的問題包括:采購商與供應(yīng)商所在區(qū)域有哪些網(wǎng)絡(luò)安全與隱私保護(hù)的法律和規(guī)定，雙方是如何保證遵守這類法律法規(guī)的？合同中應(yīng)包含哪些承諾？供應(yīng)商如何提高透明度而讓采購商了解其相關(guān)承諾的？供應(yīng)商有否組織與安全相關(guān)的客戶反饋交流會(huì)，與采購商就產(chǎn)品和服務(wù)的安全問題進(jìn)行集體交流？

4.2 展示保障

采購商可以通過列出的問題確定供應(yīng)商采取了哪些措施來提高產(chǎn)品和服務(wù)的安全性。它們應(yīng)該詢問供應(yīng)商是如何在產(chǎn)品和服務(wù)生命周期內(nèi)管理安全性和完整性的，包括是否遵守現(xiàn)有方法或國際標(biāo)準(zhǔn)。

供應(yīng)商也可以通過兩種方式展示其保障產(chǎn)品和服務(wù)質(zhì)量的努力：自我證明和外部證明。外部證明包括依照國際標(biāo)準(zhǔn)進(jìn)行審計(jì)和認(rèn)證。兩種方式都可以增強(qiáng)采購商的信心。

自我證明意味著供應(yīng)商證明并且通常需要提供證據(jù)，表明其遵守安全、隱私或相關(guān)要求。自我證明尤其適用于無法由獨(dú)立第三方評估的內(nèi)容。如果無法進(jìn)行認(rèn)證或者供應(yīng)商尚未獲得認(rèn)證，采購商應(yīng)當(dāng)詢問采用了哪些國際標(biāo)準(zhǔn)。

采購商在決定長期采購之前需要確信供應(yīng)商具備遵守相關(guān)法律法規(guī)或履行合同的能力。為此，采購商需要深入了解產(chǎn)品和服務(wù)，而供應(yīng)商更應(yīng)該進(jìn)行自我證明。采購商需要了解ICT產(chǎn)品和服務(wù)開發(fā)過程中遵守了哪些法律法規(guī)。供應(yīng)商提供這類信息的方式也非常重要。信息披露應(yīng)當(dāng)清晰、完整、及時(shí)，以便采購商決定是否信任對方，還需要哪些額外保證。

對于有特殊安全關(guān)切的采購商，供應(yīng)商還可以提供機(jī)會(huì)，讓其參觀生產(chǎn)車間，更加深入了解廠家采取的網(wǎng)絡(luò)安全措施。例如，華為、微軟等企業(yè)在多地建立中心，讓客戶近距離了解其安全措施。這種方式尤其適用于有特殊安全需求的客戶。

外部證明意味著供應(yīng)商以外的機(jī)構(gòu)評估、證明或認(rèn)證供應(yīng)商遵守了某些安全、隱私或相關(guān)規(guī)定。這類外部機(jī)構(gòu)可以是政府或行業(yè)機(jī)構(gòu)、獨(dú)立實(shí)驗(yàn)室或者采購商。評估可以通過審計(jì)或其他機(jī)制來完成。評估完成后，外部機(jī)構(gòu)將結(jié)果告知采購商，證明或認(rèn)證供應(yīng)商遵守相關(guān)規(guī)定的情況。

有些全球標(biāo)準(zhǔn)和最佳實(shí)踐很便于審計(jì)，如ISO27001（主要的信息安全標(biāo)準(zhǔn)）以及ISO/ IEC20243（產(chǎn)品安全和供應(yīng)鏈安全標(biāo)準(zhǔn)）。對于這些可以審計(jì)的標(biāo)準(zhǔn)，獨(dú)立和專業(yè)評估機(jī)構(gòu)對產(chǎn)品和服務(wù)的架構(gòu)、運(yùn)行、安全控制實(shí)施、開發(fā)和制造等都有明確要求。評估合格后，可以頒發(fā)認(rèn)證證書。

獨(dú)立第三方認(rèn)證不僅能提供更多保障，也能節(jié)省采購商的時(shí)間和資源，不必供應(yīng)商逐一提問核實(shí)。使用現(xiàn)有的國際標(biāo)準(zhǔn)能大幅提高效率和降低成本。

與展示質(zhì)量保證相關(guān)的問題包括：如何利用外部證明，包括關(guān)于全球標(biāo)準(zhǔn)遵守情況的審計(jì)？若現(xiàn)有全球標(biāo)準(zhǔn)不包括采購商的關(guān)切或要求，供應(yīng)商如何進(jìn)行自我證明？

5 結(jié)語

目前，雖然對網(wǎng)絡(luò)安全的關(guān)注和投入不斷在增加，但仍顯不足。人們重視管理ICT系統(tǒng)和數(shù)據(jù)風(fēng)險(xiǎn)，但并沒有充分考慮所購買技術(shù)的安全性或完整性，以及采購決定會(huì)增加還是會(huì)減少網(wǎng)絡(luò)風(fēng)險(xiǎn)敞口。很多技術(shù)產(chǎn)品和服務(wù)采購商并不了解供應(yīng)商是如何管控風(fēng)險(xiǎn)的，又是如何開發(fā)技術(shù)產(chǎn)品和服務(wù)來管控其安全的，以及能否展示在上述領(lǐng)域所采取的措施。

EWI采購指南旨在推動(dòng)采購商與供應(yīng)商之間的對話，其所提出的各項(xiàng)考慮和做法是為了幫助采購商制定和實(shí)施安全采購措施，以降低風(fēng)險(xiǎn)。同時(shí)也為采購商提供相關(guān)機(jī)制，確保供應(yīng)商適當(dāng)管控產(chǎn)品和服務(wù)中的風(fēng)險(xiǎn)。

[1] The Global State of Information Security[EB/OL]. [2016-09-10].http://www.pwc.com/gx/en/issues/ cybersecurity/information-security-survey.html.

[2] David.Cyber Crime Cost Businesses up to $400 Billion a Year[EB/OL].(2015-01-2)[016-09-12].http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf.

Purchasing Secure ICT Products and Services: A Buyers Guide The EastWest Institute

In 2016, the EastWest Institute’s (EWI) published Purchasing Secure ICT Products and Services: A Buyers Guide, compiled by its Breakthrough Group on Increasing the Global Availability and Use of Secure ICT Products and Services. This group came to the conclusion in 2015 that government and industry act in multiple roles as stakeholders in the ICT marketplace. The government acts as a policymaker and sometimes as a regulator of ICT, industry develops and provides ICT products and services, and both the government and industry are buyers of ICT products and services. Accordingly, cyberspace stakeholders have varying responsibilities and capabilities to increase the security of ICT products and services.Created based on surveys, the Guide is intended to help buyers, suppliers, and users of information and communications technologies better understand and address the cybersecurity and privacy risks inherent in ICT products and services. These individuals include senior executives and members of their governing boards and parent organizations, chief information and information security officers, risk management professionals, acquisition officers, insurers, auditors, and other third-party risk evaluators, and design, manufacturing and supply chain professionals. The version 1.0 of the Guide provides three recommendations for ICT buyers and suppliers: 1. Engage in a dialogue about risk management; 2. Use questions in this guide to frame the dialogue; 3. Rely on international standards to increase confidence in the results.

purchasing secure ICT products and services;management of cybersecurity risks;international standards and best practices, dialogue

D99

A

1009-8054(2016)12-0076-08

EWI在調(diào)查基礎(chǔ)上所編制的采購指南意在幫助ICT行業(yè)的采購商、供應(yīng)商和使用者更好地了解和應(yīng)對ICT產(chǎn)品與服務(wù)的內(nèi)在網(wǎng)絡(luò)安全和隱私風(fēng)險(xiǎn)，其所指的目標(biāo)人群則包括企業(yè)高管和董事會(huì)成員、首席信息安全官、風(fēng)險(xiǎn)管控專家、并購官員、保險(xiǎn)商、審計(jì)人員、其他第三方風(fēng)險(xiǎn)評估人員以及設(shè)計(jì)、制造和供應(yīng)鏈專家等。作為1.0版本的指南為ICT采購商和供應(yīng)商提供了三條建議：一是加強(qiáng)風(fēng)險(xiǎn)管控對話；二是按指南中的問題設(shè)計(jì)開展對話；三是參照國際標(biāo)準(zhǔn)，增強(qiáng)對結(jié)果的信心。

東西方研究所是美國一家從事安全研究的知名智庫，近年來研究所在網(wǎng)絡(luò)安全領(lǐng)域發(fā)布了眾多有影響力的研究報(bào)告，并長期舉辦全球網(wǎng)絡(luò)安全峰會(huì)。