Product Security | Process

거버넌스

 

제품 보안 프로그램 거버넌스

제품 보안 프로그램을 뒷받침하자는 취지로 Lenovo는 비즈니스 전반에서 프로세스와 실무 관례가 틀림없이 일관되게 준수되도록 견제와 균형을 고려한 거버넌스 체계를 정비하였습니다. 이 거버넌스 체계는 보안 검토가 제품 개발 및 공급 사슬 수명주기 프로세스의 일부가 되도록 적소에 규제를 둡니다. 이 거버넌스 체계는 아래에 예시한 Lenovo 제품 보안 거버넌스 문서에 약술되었습니다.

법인 제품 보안 정책

(제품 보안 증진 및 CPSO 직위 재가)

제품 보안 프로그램 문서

(CPSO 신원 확인, Product Security Office 도입 및 발의)

구체적인 프로그램, 표준 및 프로세스

제품 보안 교육 프로그램

공급 사슬 - Trusted Supplier Program

소프트웨어 보안 프로그램

보안 요구 사항 및 표준

개발 지침

(아키텍처, 디자인 및 테스트)

보안 검토

제품 팀 거버넌스 프로세스

PSIRT 프로세스

법인 제품 보안 정책

(제품 보안 증진 및 CPSO 직위 재가)

제품 보안 프로그램 문서

(CPSO 신원 확인, Product Security Office 도입 및 발의)

구체적인 프로그램, 표준 및 프로세스

제품 보안 교육 프로그램

공급 사슬 - Trusted Supplier Program

소프트웨어 보안 프로그램

보안 요구 사항 및 표준

개발 지침

(아키텍처, 디자인 및 테스트)

보안 검토

제품 팀 거버넌스 프로세스

PSIRT 프로세스

정책 문서는 CEO가 결재하며 모든 직원에게 제품 보안의 중요성을 강조합니다. 프로그램 문서는 CPSO(Chief Product Security Officer)의 소관이며 제품 보안 프로세스를 구현하는 작업을 소개합니다. 마지막으로 프로그램, 표준, 프로세스 등의 해당 문서는 완료 상태에 있는 해당 작업과 관련됩니다.

제품 보안에 대한 Lenovo의 접근 방식에 관하여 직원 교육을 시행하고 그에 대한 직원들의 이해와 지식의 폭을 넓힘으로써 거버넌스 절차의 효과를 보장하려는 교육 과정이 개발되었습니다. 이 교육 과정은 제품 보안 개념의 기본 인식으로 시작하고 3개 수준으로 구성되며 Security Basics, Software Security Associate, Professional 등 수준별로 이수 시 이수 증명서가 교부됩니다. 이 교육 과정은 직원 개인별로 직무 요구 사항에 따라 필요에 부응하도록 맞춤형으로 구상될 수 있습니다. Security Basics는 제품 보안을 깊이 이해하기 위해서 누구나 수강할 수 있는 과정입니다. Associate 단계와 Professional 단계는 소프트웨어에 소양이나 경력이 있는 사람에게 맞춰서 설계되었으며 소프트웨어 디자인 상급 보안 개념으로 이어집니다. 이러한 과정 외에도 추가 학습에 참여할 수 있는 추가 과정이 있습니다.

자사 제품과 공급 사슬의 보안을 보장하려는 Lenovo의 노력은 미국의 주요 보안 기업 중 한 곳인 Chain Security, LLC의 인증을 받았습니다. 이 최종 결과는 Lenovo의 보안 프로세스, 법인 거버넌스, 공급자 프로그램 등에 대한 근 3년간의 면밀한 조사 끝에 나왔습니다. 이 분석 결과는 Chain Security사의 Lenovo 관련 조사 내용 상술, Lenovo가 조사 기간에 이루어낸 변화와 개선 내용 그리고 이러한 분석 프로세스로 미루어 봤을 때 Lenovo가 “업계에서 유리한 고지를 선점할 가능성이 크다”는 결론이 담긴 20페이지 분량의 증명서입니다.

증명서 전문을 보려면 여기를 클릭하십시오.

이러한 프로세스의 구현은 Product Security Office에 문의하시면 됩니다.

공유
비교하기  ()
x