Upravljanje

 

Upravljanje programom sigurnosti proizvoda

Kao potpora svojem Programu sigurnosti proizvoda, Lenovo je uspostavio sustav upravljanja s višestrukim provjerama kako bi zajamčili da se procesi i prakse dosljedno provode u čitavom poslovanju. Ovaj sustav upravljanja postavlja kontrole koje jamče da su sigurnosne provjere dio razvoja proizvoda i procesa životnog ciklusa u lancu nabave. Ovaj je sustav upravljanja prikazan u sklopu Dokumentacije upravljanja sigurnošću Lenovo proizvoda, ilustrirane u nastavku:

Korporativna pravila sigurnosti proizvoda

(Unapređuje sigurnost proizvoda & Ovlašćuje CPSO položaj)

Dokument o programu sigurnosti proizvoda

(Identificira CPSO, uvodi Product Security Office i inicijative)

Pojedini programi, standardi i procesi

Program obuke iz sigurnosti proizvoda

Lanac nabave - Trusted Supplier Program

Program sigurnosti softvera

Sigurnosni zahtjevi i standardi

Razvojno vodstvo

(Arhitektura, dizajn, & test)

Sigurnosne provjere

Proces upravljanja timom proizvoda

PSIRT proces

Korporativna pravila sigurnosti proizvoda

(Unapređuje sigurnost proizvoda & Ovlašćuje CPSO položaj)

Dokument o programu sigurnosti proizvoda

(Identificira CPSO, uvodi Product Security Office i inicijative)

Pojedini programi, standardi i procesi

Program obuke iz sigurnosti proizvoda

Lanac nabave - Trusted Supplier Program

Program sigurnosti softvera

Sigurnosni zahtjevi i standardi

Razvojno vodstvo

(Arhitektura, dizajn, & test)

Sigurnosne provjere

Proces upravljanja timom proizvoda

PSIRT proces

Dokument s Pravilima potpisuje glavni direktor, a u njemu se ističe važnost Sigurnosti proizvoda za sve zaposlenike. Dokument Programa dolazi od Glavnog voditelja za sigurnost proizvoda (CPSO) te predstavlja rad kojim se implementiraju procesi sigurnosti proizvoda. Najzad, dokumenti samog programa, standarda i procesa odnose se na određen rad koji se obavlja.

Kako bi se zajamčila učinkovitost procesa upravljanja, razvijen je program obuke za edukaciju i unapređivanje razumijevanja i znanja zaposlenika na području pristupa Lenova sigurnosti proizvoda. Program započinje upoznavanjem s temeljnim konceptima sigurnosti proizvoda i sastoji se od tri razine, uz izdavanje certifikata po dovršetku svake razine: Security Basics, Software Security Associate i Professional. Program se može prilagođavati potrebama pojedinih zaposlenika u skladu sa zahtjevima njihovog posla. Security Basics su tečajevi koje svatko može pohađati kako bi stekao dobro razumijevanje sigurnosti proizvoda. Razine Associate i Professional namijenjene su stručnjacima za softver i posvećene konceptima naprednog dizajna sigurnog softvera. Uz ove su dostupni i dodatni tečajevi za daljnje učenje.

Rad Lenova na jamčenju sigurnosti svojih proizvoda i lanca nabave prepoznat je od strane Chain Security, LLC, jedne od vodećih tvrtki za sigurnost u Sjedinjenim Državama. Ovaj zaključak je donesen nakon gotovo tri godine pomnog proučavanja sigurnosnih procesa, korporativnog upravljanja i programa za dobavljače tvrtke Lenovo. Rezultat ove analize je Pismo potvrde u kojem Chain Security na 20 stranica iznosi pojedinosti njihovog rada s Lenovom, promjene i poboljšanja koje je Lenovo implementirao za vrijeme trajanja studije te zaključak Chain Securityja kako je Lenovo “vjerojatno ispred ostalih na ovom području” po pitanju tih sigurnosnih procesa.

Želite li pročitati čitavo pismo, kliknite ovdje.

Pitanja vezana uz implementaciju ovih procesa mogu se dostaviti u Product Security Office.

PODIJELI