供应链信息安全现状及体系框架研究

供应链信息安全现状及体系框架研究

李剑锋，钮 亮1，段林茂1，魏 军 2

【摘 要】本文研究了我国供应链目前普遍存在的信息安全问题，如：企业员工的信息安全意识淡薄；信息安全管理有章不循现象普遍；缺乏统一的信息安全战略规划和防范机制；合作企业间存在逆向选择风险和各种败德行为等。针对上述问题，参考众多企业积累的经验，吸取了供应链信息安全领域的最新理论研究成果，提出了供应链信息安全体系框架。该框架由信息安全治理、信息安全管理、基础安全服务和架构、第三方信息安全服务与认证机构和供应链信息安全技术标准体系五个部分构成。在具体运用中从供应链整体业务需求出发，参照供应链信息安全体系框架，通过评估和风险分析等方法，定义供应链及其节点企业安全需求，并最终确定供应链信息安全建设的内容和方向。

【期刊名称】江苏商论

【年(卷),期】2013(000)003

【总页数】3

【关键词】供应链；信息安全；体系；框架

一、导言

供应链是以完成从供应商采购原材料、产品或服务，到制成中间产品或最终产品，然后将最终产品交付用户为功能，由一系列设施和分布选择形成的网络。［1］由于涉及的环节众多、地域跨度大、参与主体多样化等，供应链非常容易受到各种来自内部以及外部环境的安全威胁，如网络黑客、木马、病毒、恶意代码、物理故障、人为破坏等，供应链信息安全问题日益突出。［2］

目前，国内外学者对供应链安全风险做了较多研究，一些经典的定量方法已经被引入到供应链风险领域。供应链信息安全风险作为供应链风险中一个重要领域，相关论文和研究成果较少。目前国内普遍的观点是将企业信息安全分为物理安全、运行安全、内容安全、数据安全和管理安全五个领域。IBM将企业信息安全框架分为三个层次，分别是战略层、管理层和技术层。相比而言，IBM的观点更具可操作性。在参照前两种观点的基础上，分析我国供应链信息安全存在的问题，结合供应链信息安全的特点，提出供应链信息安全体系框架，为供应链提供一个全面的安全模型，帮助供应链及其节点企业开展信息安全架构设计。

二、供应链信息安全的特点

现代供应链中无论是企业内部的生产、销售订单、合作企业的生产进度，还是企业间的资金转帐、招投标信息，都是需要高度保密的敏感信息，这些信息的准确性、机密性将直接影响到供应链企业的生产和经营决策。［3］在供应链中，由于信息在节点企业间共享，对信息安全提出了新的要求