Η δική μας διαδικασία ασφάλειας

 

Αλυσίδα εφοδιασμού προϊόντων

Η αλυσίδα εφοδιασμού προϊόντων της Lenovo έχει αναγνωριστεί στις κορυφαίες 25 θέσεις κατάταξης της Gartner τα τελευταία τρία χρόνια. Διαδραματίζει σημαντικό ρόλο στην ανάπτυξη, κατασκευή και παράδοση των προϊόντων μας. Η αλυσίδα εφοδιασμού ξεκινά με τη διαχείριση και τον έλεγχο μιας κατάλληλης βάσης προμηθευτών, η οποία παρέχει κατάλληλα και ασφαλή συστατικά στοιχεία για χρήση στην ανάπτυξη και την κατασκευή.

Τα σημαντικά συστατικά στοιχεία μεγάλου όγκου παρακολουθούνται μέσω γραμμωτών κωδίκων και ελέγχονται στη διαδικασία απογραφής και συναρμολόγησης του προμηθευτή’ μέχρι την παραλαβή τους στη Lenovo. Η κατασκευή πραγματοποιείται σε ένα ασφαλές, ελεγχόμενο περιβάλλον, συμπεριλαμβανομένης μιας ασφαλούς φυσικής εγκατάστασης και ενός ασφαλούς δικτύου. Τα ολοκληρωμένα προϊόντα στη συνέχεια συσκευάζονται με σφραγίδες ασφαλείας για κιβώτια και παλέτες. Έπειτα, οι αποστολές παρακολουθούνται από τον τόπο προέλευσης μέχρι την παράδοση στον πελάτη.

Το παρακάτω διάγραμμα δείχνει ολόκληρο τον κύκλο ζωής των προϊόντων. Η αλυσίδα εφοδιασμού περιλαμβάνει τις περιοχές που προσδιορίζονται ως προμηθευτές, καθώς και την κατασκευή και τις δοκιμές της Lenovo.

Απαιτήσεις ασφαλείας των προϊόντων

Παράδειγμα απαιτήσεων ασφαλείας:

  • - BIOS
  • - Προστασία BIOS
  • - Προστασία εκκίνησης
  • - Ασφαλής εκκίνηση
  • - Secure Flash (NIST) SP800-147
  • - κλπ.

* Αξιόπιστα συστατικά στοιχεία υλικού

  • - Μικροεπεξεργαστής Intel
  • - Σύνολο chip της Intel (Μηχανισμός διαχείρισης)
  • - TPM
  • - Μονάδα ανάγνωσης δακτυλικών αποτυπωμάτων
  • - κλπ.

* Τοποθεσίες κατασκευής

  • * Επιλογές προφόρτωσης λογισμικού
  • - Λειτουργικά συστήματα Windows
  • - Εικόνες που παρέχονται από τον πελάτη
  • - Κρυπτογράφηση σε αδράνεια
  • - κλπ.
Ανάπτυξη Lenovo
Προμηθευτές
Κατασκευή και δοκιμές της Lenovo
Πελάτες
Εξυπηρέτηση

Μέρος του συνολικού

Συστήματος διαχείρισης

Υπό τον έλεγχο της Offering Development Team (ODT)
(περιλαμβάνει όλο τον κύκλο ζωής του προϊόντος)

Παράδειγμα ελέγχων διαδικασίας:

Ασφαλή κτίρια (γραφείο, εργαστήρια, κατασκευή)

Ασφαλή δίκτυα

Έλεγχος λογισμικού

Έλεγχος BIOS / υλικολογισμικού

Κύρια διαχείριση

Κατάλογος αξιόπιστων προμηθευτών

Διαδικασία απόφασης σημείου ελέγχου (DCP)

Ευθύνη ODTL ώστε να:

1) Εξασφαλίσει ότι ακολουθούνται όλες οι διαδικασίες

2) Κατευθύνει τη συμμόρφωση ασφαλείας στα μέλη της ODT

Απαιτήσεις ασφαλείας των προϊόντων
Ανάπτυξη Lenovo
Προμηθευτές
Κατασκευή και δοκιμές της Lenovo
Πελάτες
Εξυπηρέτηση

Παράδειγμα απαιτήσεων ασφαλείας:

  • - BIOS
  • - Προστασία BIOS
  • - Προστασία εκκίνησης
  • - Ασφαλής εκκίνηση
  • - Secure Flash (NIST) SP800-147
  • - κλπ.

* Αξιόπιστα συστατικά στοιχεία υλικού

  • - Μικροεπεξεργαστής Intel
  • - Σύνολο chip της Intel (Μηχανισμός διαχείρισης)
  • - TPM
  • - Μονάδα ανάγνωσης δακτυλικών αποτυπωμάτων
  • - κλπ.

* Τοποθεσίες κατασκευής

  • * Επιλογές προφόρτωσης λογισμικού
  • - Λειτουργικά συστήματα Windows
  • - Εικόνες που παρέχονται από τον πελάτη
  • - Κρυπτογράφηση σε αδράνεια
  • - κλπ.
Ανάπτυξη
Υλικό
Λογισμικό
BIOS
Υλικολογισμικό
Αλυσίδα εφοδιασμού
Διανομή
- Άμεσα
- Συνέταιρος
Εργαλεία πωλήσεων
Επιστροφές
Επιδιορθώσεις
Αναβαθμίσεις
Διάθεση
Εξυπηρέτηση & Υποστήριξη

Μέρος του συνολικού

Συστήματος διαχείρισης

Υπό τον έλεγχο της Offering Development Team (ODT)
(περιλαμβάνει όλο τον κύκλο ζωής του προϊόντος)

Παράδειγμα ελέγχων διαδικασίας:

Ασφαλή κτίρια (γραφείο, εργαστήρια, κατασκευή)

Ασφαλή δίκτυα

Έλεγχος λογισμικού

Έλεγχος BIOS / υλικολογισμικού

Κύρια διαχείριση

Κατάλογος αξιόπιστων προμηθευτών

Διαδικασία απόφασης σημείου ελέγχου (DCP)

Ευθύνη ODTL ώστε να:

1) Εξασφαλίσει ότι ακολουθούνται όλες οι διαδικασίες

2) Κατευθύνει τη συμμόρφωση ασφαλείας στα μέλη της ODT

Επιπλέον, απαιτείται τεχνική εργασία για την υποστήριξη του προϊόντος καθόλη τη διάρκεια ζωής του. Μόλις αποστέλλεται το προϊόν, υπάρχει τυπικά η ανάγκη να προσδιορίζονται τα συστατικά στοιχεία για την αντικατάσταση οποιωνδήποτε εξαρτημάτων στο τέλος του κύκλου ζωής τους (EOL), καθώς και η ανάγκη να παρέχονται ενημερώσεις BIOS/υλικολογισμικού μέσω ασφαλούς διαδικασίας. Αυτά αποτελούν μέρος της συνολικής διαχείρισης κύκλου ζωής και υποστήριξης του προϊόντος.

Ο σχεδιασμός και η ανάπτυξη προϊόντων περιλαμβάνουν πολλούς τομείς καθόλη τη διάρκεια του κύκλου ζωής του προϊόντος. Η δραστηριότητα σχεδιασμού αρχίζει με τον καθορισμό των απαιτήσεων ασφαλείας κατά την αρχική σύλληψη των προϊόντων προκειμένου να εξισορροπηθούν οι ανάγκες ασφάλειας και διαθεσιμότητας δεδομένων. Οι βελτιώσεις βρίσκονται υπό επεξεργασία ώστε να περιλαμβάνουν συνεχή έλεγχο και βελτιώσεις σε κρίσιμες ασφαλείς διαδικασίες ανάπτυξης μέσω των οποίων τα προϊόντα σχεδιάζονται και δοκιμάζονται. Μόλις τεκμηριωθούν οι απαιτήσεις ασφαλείας, οι ομάδες ανάπτυξης των προϊόντων Lenovo’ συντάσσουν σχέδια που να περιλαμβάνουν τις κατάλληλες δυνατότητες στα νέα προϊόντα. Η φάση ανάπτυξης εστιάζει στους ακόλουθους τομείς:

  • Ανάπτυξη και ικανότητες
  • BIOS/Υλικολογισμικό
  • Λογισμικό

Διαχείριση & έλεγχος προμηθευτών

Μια ισχυρή βάση προμηθευτών στην αλυσίδα εφοδιασμού προϊόντων, – συμπεριλαμβανομένων των κατασκευαστών πρωτότυπου σχεδιασμού (ODM), των κατασκευαστών πρωτότυπου εξοπλισμού (OEM), των κατασκευαστών συστατικών στοιχείων, των παρόχων BIOS και λογισμικού, είναι σημαντική για την επιτυχία κάθε κατασκευαστή συσκευών τεχνολογίας. Για να διασφαλιστεί αυτό, η Lenovo διαθέτει μια διαδικασία για τον προσδιορισμό των βασικών προμηθευτών της και στη συνέχεια την επίσημη αξιολόγησή τους σε τριμηνιαία βάση. Πολλοί προμηθευτές της Lenovo είναι συνέταιροί της εδώ και πάνω από 20 χρόνια. Η διαχείριση αυτών των σχέσεων γίνεται με προσοχή και οι προμηθευτές αξιολογούνται διεξοδικά.

Η Lenovo έχει βελτιώσει τις σχέσεις προμηθευτών μέσω ενός Trusted Supplier Program.  Στόχος του προγράμματος είναι η διαχείριση του κινδύνου των πελατών μέσω της εφαρμογής ενός τεκμηριωμένου και ελεγμένου προγράμματος ασφάλειας της αλυσίδας εφοδιασμού ως μέρος της συνολικής διαδικασίας ασφάλειας των προϊόντων.  Το Trusted Supplier Program εστιάζει σε προμηθευτές ευφυών συστατικών στοιχείων, σε ODM’, OEM’ και παρόχους υπηρεσιών σέρβις που θα μπορούσαν να επηρεάσουν την ασφάλεια των πελατών.

Τα ευφυή συστατικά στοιχεία περιλαμβάνουν:

  • Τυχόν πρόγραμμα λογισμικού ή υλικολογισμικού σε μικροεπεξεργαστή,
  • Τον ίδιο τον μικροεπεξεργαστή,
  • Τυχόν συσκευή ημιαγωγού που έχει ικανότητα επεξεργασίας δεδομένων,
  • Τυχόν συστατικό στοιχείο ή συσκευή που έχει εσωτερική μνήμη,
  • Τυχόν συστατικό στοιχείο ή συσκευή που εκτελεί λειτουργία εισόδου/εξόδου

Η Lenovo προβαίνει σε προληπτικούς και συνεχείς ελέγχους των απαιτήσεων προμήθειας για να διασφαλίσει ότι θα συνεχίσουμε να ενημερωνόμαστε, και να πρωτοπορούμε, όσον αφορά στις τάσεις και τις ευπάθειες που προκύπτουν στην αγορά τεχνολογίας.

Το έργο της Lenovo’ ώστε να διασφαλίσει την ασφάλεια των προϊόντων και της αλυσίδας εφοδιασμού της έχει αναγνωριστεί από την Chain Security, LLC, μίας από τις κορυφαίες εταιρείες ασφάλειας στις ΗΠΑ. Το συμπέρασμα αυτό προκύπτει μετά από περίπου τρία χρόνια λεπτομερούς έρευνας των διαδικασιών ασφαλείας, της εταιρικής διαχείρισης και των προγραμμάτων προμηθευτών της Lenovo’. Το αποτέλεσμα αυτής της ανάλυσης είναι μια Επιστολή βεβαίωσης 20 σελίδων, στην οποία η Chain Security περιγράφει λεπτομερώς το έργο της με τη Lenovo, τις αλλαγές και βελτιώσεις που έχει πραγματοποιήσει η Lenovo τα τελευταία δύο χρόνια και το συμπέρασμα της Chain Security’ ότι η Lenovo “είναι πιθανόν πρωτοπόρος στον κλάδο” όσον αφορά σε αυτές τις διαδικασίες ασφάλειας.

Για να διαβάσετε ολόκληρη την επιστολή, κάντε κλικ εδώ.

Διαχείριση κινδύνων

Η Lenovo βασίζεται στην παγκόσμια αλυσίδα εφοδιασμού της για να βοηθήσει στον σχεδιασμό, την κατασκευή και την παράδοση λύσεων τεχνολογίας που μπορούν να εμπιστευτούν οι πελάτες μας. Από θέμα στρατηγικής, υπάρχουν πέντε βασικοί τομείς/βήματα που ακολουθούμε στη διαχείριση των κινδύνων για την αλυσίδα εφοδιασμού:

  1. Προσδιορισμός δυνητικών κινδύνων για την αλυσίδα εφοδιασμού,
  2. Προστασία της αλυσίδας εφοδιασμού της Lenovo’ με ειδικούς ελέγχους,
  3. Εντοπισμός προβλημάτων σε πρώιμο στάδιο, δίνοντας περισσότερο χρόνο και επιλογές για απόκριση,
  4. Απόκριση το συντομότερο δυνατό για τον περιορισμό τυχόν απειλών και
  5. Αποκατάσταση με ελάχιστη αναστάτωση για τους πελάτες σχεδιάζοντας μια αλυσίδα εφοδιασμού που είναι ανθεκτική.

Για την εκπλήρωση αυτής της στρατηγικής, η Lenovo διατηρεί συνεχώς τα συστήματα αλυσίδας εφοδιασμού της αξιολογημένα, ενημερωμένα και βελτιστοποιημένα ώστε να ικανοποιούν τις ανάγκες των πελατών και των επιχειρήσεων.

  • Η Lenovo ελέγχει τακτικά τους προμηθευτές και τους πωλητές της για συμμόρφωση, ασφάλεια και οικονομική ευρωστία. Για σημαντικά συστατικά στοιχεία, θα υπάρξει εκτίμηση της ανάγκης για πολλαπλούς προμηθευτές (ή για πολλαπλούς κατασκευαστικούς χώρους προμηθευτών).
  • Η Lenovo παρακολουθεί επίσης στενά τις εσωτερικές διαδικασίες, δοκιμάζοντας τακτικά την ισχύ των ελέγχων μας.


Τυχόν περιστατικά που επηρεάζουν την ικανότητά μας να ικανοποιούμε τις ανάγκες των πελατών’ μας πρέπει να παρακολουθούνται, να αναλύονται, να διαχειρίζονται και τέλος να περιορίζονται. Εφόσον αναγνωρίσει τα προβλήματα σε πρώιμο στάδιο, η Lenovo μπορεί:

  1. Να προσαρμόσει τις αλυσίδες εφοδιασμού ώστε να ελαχιστοποιήσει την επίδραση
  2. Να συνεργαστεί με προμηθευτές για την αντιμετώπιση των προβλημάτων
  3. Να αντικαταστήσει τον προμηθευτή εάν το πρόβλημα παραμείνει ανεπίλυτο

Η ελαχιστοποίηση του κινδύνου τόσο για τη Lenovo όσο και για τους πελάτες της στην αλυσίδα εφοδιασμού είναι ζωτικής σημασίας.

Ασφαλής κατασκευή

Μια ασφαλής τοποθεσία κατασκευής απαιτεί τα εξής:

  • Φυσική ασφάλεια: οι ισχυρές πρακτικές και οι έλεγχοι επιβλέπουν την ασφάλεια του προσωπικού και των φυσικών εγκαταστάσεων. Αυτό περιλαμβάνει ελέγχους πρόσβασης και παρακολούθηση επισκεπτών και παραδόσεων.
  • Διαδικασίες ασφαλούς κατασκευής: μέσα στους χώρους κατασκευής, οι διαδικασίες παραγωγής και οι έλεγχοι ελέγχονται στενά, ενώ τα κύρια συστατικά στοιχεία και τα υποσυγκροτήματα εντοπίζονται ηλεκτρονικά. Τα τελικά προϊόντα επιθεωρούνται και έπειτα υποβάλλονται σε δοκιμές για να επιβεβαιωθεί ότι πληρούν τις απαιτήσεις ασφαλείας, αξιοπιστίας και λειτουργικότητας.
  • Ασφαλής απεικόνιση λογισμικού και διανομή BIOS: η απεικόνιση από τον πελάτη (δηλαδή η προεγκατάσταση του επιλεγμένου από τον πελάτη λειτουργικού συστήματος και άλλου λογισμικού εφαρμογών) και η εγκατάσταση του BIOS είναι ευαίσθητα βήματα στη διαδικασία κατασκευής. Η Lenovo λαμβάνει πρόσθετες προφυλάξεις για να τα προστατεύει από οποιαδήποτε εξωτερική παραβίαση.

Ασφαλής υλικοτεχνική υποστήριξη

Η υλικοτεχνική υποστήριξη της Lenovo καλύπτει τη συσκευασία, την αποστολή και την παράδοση. Αφού κατασκευαστούν και δοκιμαστούν τα προϊόντα, συσκευάζονται και προετοιμάζονται για αποστολή με υλικά με σφραγίδα ασφαλείας, έτσι ώστε να εντοπίζονται οποιαδήποτε προβλήματα αμέσως καθοδόν και το περιστατικό να διερευνάται. Μετά τη συσκευασία, η Lenovo συνεργάζεται με κατάλληλους προμηθευτές υλικοτεχνικής υποστήριξης για την ασφαλή παράδοση προϊόντων στους τελικούς πελάτες. Η προστασία σε όλη τη διαδικασία αποστολής περιλαμβάνει ασφαλείς εγκαταστάσεις, φορτηγά και μεταφορικά μέσα, καθώς και λεπτομερή έλεγχο των εργαζομένων, των επισκεπτών και των οδηγών. Οι αποστολές παρακολουθούνται από τη στιγμή που φεύγουν από τα κτίρια της Lenovo έως ότου παραληφθούν σε μια τοποθεσία πελάτη.

Διαχείριση κύκλου ζωής

Η δέσμευση της Lenovo για την ασφάλεια συνεχίζεται και μετά την παράδοση των προϊόντων στους πελάτες. Το λειτουργικό σύστημα και το λογισμικό εφαρμογών, τα σύνολα chip, το υλικολογισμικό και το BIOS μπορούν να έχουν συχνές ενημερώσεις από τη Lenovo καθώς και από τους προμηθευτές περιβάλλοντος εμπορικής προσαρμογής, συμπεριλαμβανομένων των τηλεφωνικών εταιρειών.  Αυτές οι ενημερώσεις μπορεί να είναι προγραμματισμένες βελτιώσεις ή μπορεί να ανταποκρίνονται στην εργασία που πραγματοποιείται από την PSIRT για τη διόρθωση μιας ευπάθειας ασφαλείας. Όποιος κι εάν είναι ο λόγος, η Lenovo διαθέτει διαδικασίες για την ασφαλή παράδοση ενημερώσεων και εξαρτημάτων λογισμικού καθόλη τη διάρκεια ζωής του προϊόντος, ακόμη και σε περιπτώσεις κατά τις οποίες οι προμηθευτές ενδέχεται να έχουν διακόψει την παραγωγή των εξαρτημάτων που χρησιμοποιούνται στα συστήματα Lenovo. Αυτό δημιουργεί την ανάγκη να προσδιοριστούν νέα εξαρτήματα που μπορούν να χρησιμοποιηθούν για εξυπηρέτηση. Η Lenovo δεσμεύεται να βρίσκει ανταλλακτικά από προμηθευτές στον Κατάλογο αξιόπιστων προμηθευτών.

 
ΚΟΙΝΟΠΟΙΗΣΗ