Διαχείριση

 

Διαχείριση του προγράμματος ασφάλειας των προϊόντων

Υποστηρίζοντας το Πρόγραμμα ασφάλειας των προϊόντων, η Lenovo διαθέτει ένα σύστημα διαχείρισης με ελέγχους και ισορροπίες για να εξασφαλίσει ότι οι διαδικασίες και οι πρακτικές ακολουθούνται με συνέπεια σε ολόκληρη την επιχείρηση. Αυτό το σύστημα διαχείρισης θέτει σε εφαρμογή ελέγχους για να διασφαλίσει ότι οι έλεγχοι ασφάλειας αποτελούν μέρος των διαδικασιών ανάπτυξης του προϊόντος και του κύκλου ζωής της αλυσίδας εφοδιασμού. Αυτό το σύστημα διαχείρισης περιγράφεται στην Τεκμηρίωση διαχείρισης της ασφάλειας των προϊόντων Lenovo που παρουσιάζεται παρακάτω:

Εταιρική πολιτική ασφάλειας των προϊόντων

(Προωθεί την ασφάλεια των προϊόντων & Εγκρίνει τη θέση του CPSO)

Έγγραφο του προγράμματος ασφάλειας των προϊόντων

(Αναγνωρίζει τον CPSO, Εισάγει το Product Security Office and Intiatives)

Συγκεκριμένα προγράμματα, πρότυπα και διαδικασίες

Πρόγραμμα κατάρτισης για την ασφάλεια των προϊόντων

Αλυσίδα εφοδιασμού - Trusted Supplier Program

Πρόγραμμα ασφάλειας λογισμικού

Απαιτήσεις και πρότυπα ασφαλείας

Οδηγίες ανάπτυξης

(Αρχιτεκτονική, Σχεδιασμός, & Δοκιμή)

Έλεγχοι ασφάλειας

Διαδικασία ομαδικής διαχείρισης προϊόντων

Διαδικασία PSIRT

Εταιρική πολιτική ασφάλειας των προϊόντων

(Προωθεί την ασφάλεια των προϊόντων & Εγκρίνει τη θέση του CPSO)

Έγγραφο του προγράμματος ασφάλειας των προϊόντων

(Αναγνωρίζει τον CPSO, Εισάγει το Product Security Office and Intiatives)

Συγκεκριμένα προγράμματα, πρότυπα και διαδικασίες

Πρόγραμμα κατάρτισης για την ασφάλεια των προϊόντων

Αλυσίδα εφοδιασμού - Trusted Supplier Program

Πρόγραμμα ασφάλειας λογισμικού

Απαιτήσεις και πρότυπα ασφαλείας

Οδηγίες ανάπτυξης

(Αρχιτεκτονική, Σχεδιασμός, & Δοκιμή)

Έλεγχοι ασφάλειας

Διαδικασία ομαδικής διαχείρισης προϊόντων

Διαδικασία PSIRT

Το έγγραφο πολιτικής υπογράφεται από τον Διευθύνοντα Σύμβουλο και τονίζει τη σημασία της ασφάλειας των προϊόντων σε όλους τους εργαζομένους. Το έγγραφο του προγράμματος προέρχεται από τον Ανώτερο Υπεύθυνο Ασφάλειας των Προϊόντων (CPSO) και εισάγει το έργο που υλοποιεί τις διαδικασίες ασφάλειας των προϊόντων. Τέλος, τα πραγματικά έγγραφα του Προγράμματος, των Προτύπων και των Διαδικασιών σχετίζονται με το συγκεκριμένο έργο που επιτελείται.

Για να διασφαλιστεί η αποτελεσματικότητα της διαδικασίας διαχείρισης, αναπτύχθηκε πρόγραμμα κατάρτισης για την εκπαίδευση και διεύρυνση της’ κατανόησης και γνώσης των εργαζομένων σχετικά με την προσέγγιση της Lenovo’ σε θέματα ασφάλειας των προϊόντων. Το πρόγραμμα ξεκινά με μια βασική ενημέρωση για τις έννοιες της ασφάλειας των προϊόντων και αποτελείται από τρία επίπεδα, με πιστοποίηση που επιτυγχάνεται κατά την ολοκλήρωση κάθε επιπέδου: Security Basics, Software Security Associate και Professional. Το πρόγραμμα μπορεί να προσαρμοστεί ώστε να ικανοποιεί τις ανάγκες των μεμονωμένων εργαζομένων, ανάλογα με τις απαιτήσεις της θέσης τους. Τα Security Basics είναι μαθήματα που μπορεί να παρακολουθήσει ο καθένας για καλή κατανόηση της ασφάλειας των προϊόντων. Τα επίπεδα Associate και Professional απευθύνονται κυρίως σε όσους έχουν εμπειρία σε θέματα λογισμικού, ενώ οδηγούν σε έννοιες σχεδιασμού ασφαλούς λογισμικού για προχωρημένους. Υπάρχουν επιπλέον μαθήματα πέραν αυτών που είναι διαθέσιμα για περαιτέρω εκμάθηση.

Το έργο της Lenovo’ ώστε να διασφαλίσει την ασφάλεια των προϊόντων και της αλυσίδας εφοδιασμού της έχει αναγνωριστεί από την Chain Security, LLC, μίας από τις κορυφαίες εταιρείες ασφάλειας στις ΗΠΑ. Το συμπέρασμα αυτό προέκυψε μετά από περίπου τρία χρόνια λεπτομερούς έρευνας των διαδικασιών ασφαλείας, της εταιρικής διαχείρισης και των προγραμμάτων προμηθευτών της Lenovo’. Το αποτέλεσμα αυτής της ανάλυσης είναι μια Επιστολή βεβαίωσης 20 σελίδων, στην οποία η Chain Security περιγράφει λεπτομερώς το έργο της με τη Lenovo, τις αλλαγές και βελτιώσεις που έχει πραγματοποιήσει η Lenovo κατά τη διάρκεια της μελέτης και το συμπέρασμα της Chain Security’ ότι η Lenovo “είναι πιθανόν πρωτοπόρος στον κλάδο” όσον αφορά σε αυτές τις διαδικασίες ασφάλειας.

Για να διαβάσετε ολόκληρη την επιστολή, κάντε κλικ εδώ.

Μπορείτε να απευθύνετε ερωτήσεις σχετικά με την εφαρμογή αυτών των διαδικασιών στο Product Security Office.

ΚΟΙΝΟΠΟΙΗΣΗ