供应链管理强调通过信息流协调企业间的协作,从而实现供应链管理的目标。因此,供应链企业间的信息系统共享成为管理的必要手段之一。信息共享为供应链企业带来了收益,但是改变了这些企业原有的信息管理方式,例如企业必须把生产计划、产品设计方案等核心机密共享给其他企业。这样一来,供应链的运作在信息安全方面产生了隐患。如果企业还以原有的模式保障信息安全,可能会带来较差的收益,因此需要在供应链的思维下,重新建立信息安全体系。
1 构建供应链信息安全体系的思路
以供应链视角构建信息安全体系,必须遵循一定的构建思路,使构建的过程更为科学化、系统化,有更高的成功概率。
1.1 以ISO 27000 体系为基础
该体系是企业建立信息安全体系的相关国际标准,目前最主要的是ISO 27001 和ISO 27002,中国对应的标准为GB/T22080、GB/T 22081。其中ISO 27001 以PCDA 流程为基础,指导企业对信息安全体系规划、实施、检查、处置, ISO 27002 从11大项39 个类别给出了控制信息安全风险的具体策略,供企业实施。
ISO 27000 体系在中国企业信息安全保障方面应用广泛。通过该标准企业能够成功建立信息安全体系,从技术、人员、制度等多方面保证信息的完整性、保密性和可用性,避免了单纯依靠技术难以保证信息安全的情况发生。因此,在构建供应链信息安全体系的过程中,完全可以以企业十分熟悉的ISO 27000 体系为基础,一方面减少了构建的工作量,另一方面方便了企业,增加构建的可行性。
但是ISO 27000 体系在很大程度上是建立在单一企业的基础上的,所以与供应链并不能完全契合。例如ISO 27002 给出了构建企业信息安全组织的策略,但是由于供应链中企业间的关系十分紧密,各企业的信息安全组织在建立时要考虑与其他企业相关组织的协作,而ISO 27002 并没有给出这方面的建议。又如,在ISO 27001 中以单一企业为着眼点,将与之联系的其他企业视为外部各方加以管理,而在供应链中这些企业应视为一体,都作为内部各方统一管理。因此,在以ISO 27000 标准为基础建立供应链信息安全体系时,应该结合供应链的特点,对该标准加以改进。
1.2 以ISO 28000 体系为借鉴
ISO 28000 体系是关于供应链安全体系建设的国际标准,其主要关注的是保证整条供应链的运行安全,抵御环境、事故等风险带来的影响。该标准充分体现了供应链的思想,在设计、实施和完善安全体系的过程中,以供应链为对象,而不是仅仅以某企业为对象。例如在ISO 28004 中明确规定在制定企业安全方针时,应该考虑供应链其他企业的需求,而不是仅仅考虑本企业的现状。但是,ISO 28000 体系关注的是供应链的综合安全,例如供应商缺货风险等,而不仅仅是供应链信息安全,所以在ISO28000 体系中并没有针对信息安全的可执行策略。由此可见,在供应链信息安全体系建立的过程中,可以以ISO 27000 体系为基础,借鉴ISO 28000 体系中的供应链思维,而不是直接使用ISO28000 中的安全策略。
2 供应链信息安全体系构建过程
建立供应链信息安全体系可以参考ISO 27001 的建议,沿着定义环境、建立信息安全方针、风险识别、风险评估、风险处置的流程进行。
2.1 定义环境
供应链的企业应该分别研究各自企业的具体情况、拥有的内外部资源,定义本企业对信息安全的期望。之后供应链企业共同确定企业间的协作过程,并根据各企业的期望确定供应链信息安全管理的总目标。
2.2 建立信息安全方针
信息安全方针决定了供应链信息安全管理的全过程,因此需要在供应链全范围内明确该方针。供应链的信息安全方针应该综合各个供应链企业的宗旨,尽量满足各企业与信息安全相关的承诺。在制定信息安全方针之后应该形成可视文本,发放给各供应链企业并进行宣传。
2.3 风险识别
风险识别的主要任务是发现能够使供应链产生损失的信息安全威胁,其工作的主要内容是信息资产的识别、威胁识别以及组织自身漏洞的识别。在供应链信息安全风险识别的过程中,应该是企业识别与共同识别相结合。企业对自身所受到的风险进行识别,然后供应链企业将这些风险汇总,找出供应链内部的风险和外部的风险加以区别。例如制造企业会把供应商泄露信息作为一种威胁,但是对于供应链来说,如果双方是战略性合作伙伴关系,则这种风险属于供应链内部的风险。这种分类体现出风险识别的供应链特点,为风险评估打下基础。
2.4 风险评估
风险评估是建立供应链信息安全体系中重要的一环,其主要工作是对已发现的风险进行评价和排序,为风险处置提供服务。风险评估首先要分析各种威胁发生的概率,然后确定威胁利用组织漏洞的可能性,最后给出威胁利用漏洞所带来信息资产损失的大小。在分析信息资产损失时,要注意风险在供应链中造成的间接损失。例如,供应商交货信息不准确可能导致制造商生产线停产。在以企业视角评估风险时,只需要计算制造商的损失,但是供应链信息风险评估时还要计算制造商停产给下游带来的损失。
ISO 27002 结合这3 个因素,利用风险矩阵等方法计算出各种风险的大小并对其排序。但是由于是对供应链风险评估,所以在计算风险大小时还要考虑是否是供应链内部风险这一因素,供应链内部风险的分数应该要远远小于供应链外部风险。
2.5 风险处置
在风险评估之后,供应链管理者应该结合风险的严重性和组织的信息安全方针,针对各风险建立有针对性的安全策略。在信息安全策略的设计过程中,可以参考ISO 27002 中的控制建议,同时针对供应链特点进行修改。
风险处置的目标并不完全是消除风险,因为有的风险是无法消除的。总体来说,在设计风险处置时主要有以下几种思路。第一,规避风险。供应链管理者设计信息安全策略,通过弥补自身漏洞、避免威胁发生、降低漏洞被威胁利用可能性,从根本上消灭供应链所面对的风险。
第二,降低风险。供应链管理者通过实施信息安全策略,降低风险发生的概率或者风险造成的损失。很多时候,完全规避风险十分困难,所以在实施的效果和成本之间作出平衡,追求降低风险而不是完全地消除风险。
第三,分担风险。当供应链企业在面对信息风险时,如果自己规避风险的成本太高,可以考虑利用供应链合作伙伴关系将风险进行分担。由于供应链企业间的利益一致,这种分担的可能性较高。需要注意的是,这种分担风险是供应链企业间的分担,并不是企业信息安全管理中的与第三方企业分担。
第四,转移风险。供应链管理者可以通过第三方的介入,转移供应链所面临的风险。一种常见的形式就是保险,例如将风险转移给保险公司或者通过外包转移风险。
第五,放任风险。如果风险发生的概率和危害性较小,或者为了规避或者转移风险产生的成本远远超出风险可能造成的损失,供应链管理者可以考虑放任风险的发生而不去处理。
3 供应链信息安全体系构建中应注意的问题
由于建立供应链信息安全体系借鉴了ISO 27000 和ISO28000 体系,而这两个体系都不是专门针对供应链信息安全的,所以在实际建立过程中,需要注意以下一些问题。
3.1 多企业信息安全
供应链信息安全体系与一般企业信息安全体系最大的不同就是,该体系同时保护了众多相关联的企业,信息安全管理者在建立体系的过程中,必须时刻考虑这一特点。
第一,由于体系建立的参与者是多个企业,所以需要进行企业间的协调。例如制定信息安全方针时,各个企业都有自己的实际情况和独特要求,如何使方针能够符合各企业的需求,是需要付出较多努力的。又如各供应链企业的实力不同,所以对风险所造成危害的承受能力也不同,在风险评估时必须通过协调,统一企业对风险的评价。
第二,供应链企业间协作紧密,而供应链信息安全体系又是建立在整条供应链基础之上的,所以在该体系中容易出现各企业所承担的风险或者付出的努力不均衡。例如制造企业会向供应商共享新产品的设计图纸,但是保护制造商图纸安全却需要供应商付出代价。因此,在建立信息安全体系时,应该与供应链
合作伙伴关系等相联系,尽量保证供应链内部的公平。
第三,应该更关注供应链的外来威胁,而不是企业的外来威胁。关注企业的外来威胁是建立企业信息安全体系时所关注的,但是如果以供应链视角看待这些威胁,则会发生一些变化。例如,在采购过程中企业之间都会把对方视为信息安全的威胁,所以会努力应对这种威胁,保守己方秘密。但是在供应链管理中,采购已经不是博弈,而是追求共赢的过程。所以,买卖双方都不应该视对方为信息安全的威胁。
第四,由于供应链是由多企业构成,所以在资源使用、管理措施的执行等方面,都与单一企业有很大不同。例如制定信息安全策略之后,如果是在单一企业则能够很快传递到每个员工,而如果是国际供应链,则很难实现这一点。所以,信息安全体系的建立者应该充分考虑这种实际情况,使建立方案更具可行性,以提高成功的概率。
3.2 意识提升
供应链信息安全体系的建立离不开供应链中人员安全意识的提升,因为很多信息安全事故的原因都是人的疏忽造成的。在供应链中,人员分属于不同企业,人员工作之间存在大量衔接,所以比单一企业更容易出现问题。因此构建安全体系的过程中,需要强化人员信息安全意识。
提高供应链人员的安全意识,必须考虑到各企业的情况可能存在较大不同,例如各企业人员的文化水平、可接受的提升方式、现有安全意识水平等。如果各企业结合自身特点分别进行提升,需要注意保持各企业信息安全意识水平处于同等水平,否则将没有任何效果。
3.3 与其他供应链管理环节相衔接
供应链信息安全体系的建立只是供应链管理的一部分,因此要符合供应链管理的总目标,要与其他供应链管理活动相互配合。例如,合作伙伴选择是供应链管理的一项重要内容,在建立信息安全体系时,可以根据供应商信息风险制定相关对策,并在选择合作伙伴过程中应用。又如,供应链管理过程中可能会调整供应链,淘汰一些成员和吸收一些新成员,这会对已有的信息安全体系造成影响,所以信息安全体系建立之初就应该将其列为风险并制定相应对策。
3.4 处理好供应链内部威胁
各供应链企业通过伙伴关系构成了一个整体,就像是一个庞大的虚拟企业,所以企业间的信息安全风险水平大幅下降。但是,这些企业并不能像企业内部的机构那样安全。例如,在非供应链管理环境下,零售商对制造商来说是一个重要的信息安全威胁;在供应链环境下,由于伙伴关系的存在,零售商与制造商就像是企业内的生产车间与销售部门,所以威胁会大大降低。但是零售商与制造商毕竟是两个企业,从信息安全的角度无法等同于生产车间与销售部门。所以,信息安全管理者在建立信息安全体系时,要处理好这种内部威胁,既不能在其身上投入太多资源,也不能完全忽略。
4 结语
从企业竞争进入到供应链竞争之后,原有的信息安全体系也应该相应地变化,以适应新的需求。在建立供应链信息安全体系的过程中,以原有的思路为基础,融合供应链的思想,是一种成本较低、更易被接受、成功率较高的方式。因此,利用应用较为广泛的ISO 27000 体系以及体现供应链特点的ISO 28000 体系,建立涵盖供应链的信息安全体系,具有较高的实践意义。
文 / 秦浩
网址引用: 思谋案例组. 如何构建供应链信息安全体系. 思谋网. https://www.scmor.com/view/1636.