Управление

 

Управление на програмата за сигурност на продуктите

Подсилвайки своята програма Product Security Program за сигурност на продуктите, Lenovo използва система за управление с проверки и баланси, за да гарантира, че процесите и практиките се спазват непрекъснато в рамките на целия бизнес. Тази система за управление използва контролни мерки, за да гарантира, че прегледите на сигурността са част от цялостните процеси на разработване на продукти и на веригата за доставки. Системата за управление е описана в документацията за управление на сигурността на продуктите на Lenovo, илюстрирана по-долу:

Корпоративна политика за сигурността на продуктите

(представя сигурността на продуктите и оторизира позицията на главен директор по сигурността на продуктите (CPSO))

Документ на програмата Product Security Program за сигурност на продуктите

(идентифицира главния директор по сигурността на продуктите (CPSO), представя отдела за сигурност на продуктите Product Security Office и инициативите)

Специфични програми, стандарти и процеси

Програма за обучение по сигурността на продуктите Product Security Training Program

Верига за доставки – Програма за доверени доставчици Trusted Supplier Program

Програма за сигурността на софтуера Software Security Program

Стандарти и изисквания за сигурността

Указания за разработване

(архитектура, дизайн и тестване)

Прегледи на сигурността

Процес на управление на екипа за продукти

Процес на PSIRT

Корпоративна политика за сигурността на продуктите

(представя сигурността на продуктите и оторизира позицията на главен директор по сигурността на продуктите (CPSO))

Документ на програмата Product Security Program за сигурност на продуктите

(идентифицира главния директор по сигурността на продуктите (CPSO), представя отдела за сигурност на продуктите Product Security Office и инициативите)

Специфични програми, стандарти и процеси

Програма за обучение по сигурността на продуктите Product Security Training Program

Верига за доставки – Програма за доверени доставчици Trusted Supplier Program

Програма за сигурността на софтуера Software Security Program

Стандарти и изисквания за сигурността

Указания за разработване

(архитектура, дизайн и тестване)

Прегледи на сигурността

Процес на управление на екипа за продукти

Процес на PSIRT

Документът за политиката е подписан от главния изпълнителен директор и изтъква важността на сигурността на продуктите за всички служители. Документът за програмата е от главния директор по сигурността на продуктите (CPSO) и представя работата, която внедрява процесите за сигурността на продуктите. Накрая, конкретните документи за програмата, стандартите и процесите засягат специфичната работа, която се извършва.

За да се осигури ефективност на процеса на управление, е разработен учебен план, за да обучи служителите и да подобри разбирането и познанията им относно подхода на Lenovo към сигурността на продуктите. Учебният план започва с основна информация за принципите на сигурността на продуктите и се състои от три нива, като при завършването на всяко ниво се дава сертификат: Security Basics, Software Security Associate и Professional. Учебният план може да бъде адаптиран към нуждите на конкретните служители в зависимост от изискванията на техните длъжности. Ниво Security Basics представлява курсове, които могат да бъдат завършени от всеки, за да получи добри познания за сигурността на продуктите. Нивата Associate и Professional са насочени към тези, които имат умения в областта на софтуера, и обхващат по-сложни принципи за проектиране на сигурен софтуер. Освен това са достъпни и допълнителни курсове за по-нататъшно обучение.

Работата на Lenovo за осигуряване на защита на своите продукти и верига за доставки е получила признание от Chain Security, LLC, една от водещите компании в областта на сигурността в САЩ. Това заключение идва след почти три години детайлно проучване на процесите за сигурност, корпоративното управление и програмите за доставчици на Lenovo. Резултатът от този анализ е 20 страници писмо за атестация, в което Chain Security описва своята работа с Lenovo, промените и подобренията, които Lenovo е въвела по време на проучването, и заключението на Chain Security, че Lenovo “вероятно изпреварва тенденциите в сектора” по отношение на тези процеси за сигурност.

За да прочетете цялото писмо, кликнете тук.

Въпроси относно внедряването на тези процеси могат да се отправят към отдела за сигурност на продуктите Product Security Office.

СПОДЕЛЯНЕ