Naš sigurnosni proces

 

Lanac nabave proizvoda

Lanac nabave Lenovo proizvoda nalazi se na Gartnerovom popisu vodećih 25 tijekom protekle tri godine. Ima ključnu ulogu u razvoju, proizvodnji i isporuci naših proizvoda. Lanac nabave počinje upravljanjem i kontrolom baze kvalificiranih dobavljača, što osigurava kvalitetne i sigurne komponente za uporabu u razvoju i proizvodnji.

Ključne komponente koje se nabavljaju u velikim količinama prate se putem crtičnih kodova i provjeravaju u inventaru dobavljača i postupku sklapanja sve do zaprimanja u Lenovo. Proizvodnja se odvija u sigurnom, kontroliranom okruženju, što uključuje sigurne fizičke lokacije pogona, kao i sigurnu mrežu. Dovršeni se proizvodi zatim pakiraju uz korištenje plombi koje priječe otvaranje kutija i paleta. Pošiljke se zatim prate od ishodišta do isporuke korisniku.

Donja shema prikazuje čitav životni ciklus proizvoda. Lanac nabave uključuje područja definirana kao Dobavljači te Lenovo proizvodnja i testiranje.

Zahtjevi sigurnosti proizvoda

Primjeri sigurnosnih zahtjeva:

  • - BIOS
  • - BIOS Guard
  • - Boot Guard
  • - Secure Boot
  • - Secure Flash (NIST) SP800-147
  • - itd...

* Pouzdane hardverske komponente

  • - Intel mikroprocesor
  • - Intel Chipset (Upravljački modul)
  • - TPM
  • - Čitač otiska prsta
  • - itd...

* Proizvodne lokacije

  • * Opcije predučitavanja softvera
  • - Operacijski sustavi Windows
  • - Slike pribavljene od korisnika
  • - Šifriranje neaktivnih podataka
  • - itd...
Lenovo razvoj
Dobavljači
Lenovo proizvodnja i testiranje
Korisnici
Usluga

Dio cjeline

Sustav upravljanja

Pod kontrolom Tima za razvoj ponude(ODT)
(obuhvaća čitav životni vijek proizvoda)

Primjer kontrola procesa:

Sigurni fizički objekti (uredi, laboratoriji, proizvodnja)

Sigurne mreže

Kontrola softvera

Kontrola BIOS-a / firmvera

Ključno upravljanje

Popis pouzdanih dobavljača

Proces Točke odluke (DCP)

Vođa tima za razvoj ponude (ODTL) odgovoran za:

1) Jamčenje poštivanja svih postupaka

2) Primjenu Sigurnosne sukladnosti preko članova Tima za razvoj ponude

Zahtjevi sigurnosti proizvoda
Lenovo razvoj
Dobavljači
Lenovo proizvodnja i testiranje
Korisnici
Usluga

Primjeri sigurnosnih zahtjeva:

  • - BIOS
  • - BIOS Guard
  • - Boot Guard
  • - Secure Boot
  • - Secure Flash (NIST) SP800-147
  • - itd...

* Pouzdane hardverske komponente

  • - Intel mikroprocesor
  • - Intel Chipset (Upravljački modul)
  • - TPM
  • - Čitač otiska prsta
  • - itd...

* Proizvodne lokacije

  • * Opcije predučitavanja softvera
  • - Operacijski sustavi Windows
  • - Slike pribavljene od korisnika
  • - Šifriranje neaktivnih podataka
  • - itd...
Razvoj
Hardver
Softver
BIOS
Firmver
Lanac nabave
Distribucija
- Izravno
- Partner
Prodajni alati
Povrat
Popravci
Dogradnje
Odlaganje
Podrška & za usluge

Dio cjeline

Sustav upravljanja

Pod kontrolom Tima za razvoj ponude(ODT)
(obuhvaća čitav životni vijek proizvoda)

Primjer kontrola procesa:

Sigurni fizički objekti (uredi, laboratoriji, proizvodnja)

Sigurne mreže

Kontrola softvera

Kontrola BIOS-a / firmvera

Ključno upravljanje

Popis pouzdanih dobavljača

Proces Točke odluke (DCP)

Vođa tima za razvoj ponude (ODTL) odgovoran za:

1) Jamčenje poštivanja svih postupaka

2) Primjenu Sigurnosne sukladnosti preko članova Tima za razvoj ponude

Dodatno, potreban je tehnički rad za podršku proizvoda tijekom njegovog životnog vijeka. Nakon isporuke proizvoda obično postoji potreba za kvalificiranjem komponenti za zamjenu dijelova kojima je istekao vijek trajanja (EOL), kao i potreba pružanja ažuriranja BIOS-a / firmvera sigurnim postupkom. To je dio cjelokupnog Upravljanja i podrške tijekom životnog ciklusa proizvoda.

Planiranje i razvoj proizvoda uključuje niz područja u čitavom životnom ciklusu proizvoda. Aktivnost planiranja započinje definiranjem sigurnosnih zahtjeva pri početnom osmišljavanju proizvoda kako bi se uravnotežile potrebe za sigurnošću i dostupnošću podataka. U postupku su unapređenja kako bi se uključile kontinuirane revizije i poboljšanja ključnih procesa sigurnog razvoja putem kojih se proizvodi dizajniraju i testiraju. Nakon dokumentacije sigurnosnih zahtjeva, Lenovo timovi za razvoj proizvoda uspostavljaju planove za uključivanje odgovarajućih značajki u nove proizvode. Etapa razvoja se usredotočuje na sljedeća područja:

  • Razvoj i kvalifikacije
  • BIOS / firmver
  • Softver

Upravljanje dobavljačima i kontrola

Snažna baza dobavljača u lancu nabave proizvoda – uključujući proizvođače izvornog dizajna i proizvođače izvorne opreme (ODM i OEM), proizvođače komponenti te dobavljače BIOS-a i softvera -- ključna je za uspjeh svakog proizvođača tehnoloških uređaja. Kako bi to osigurao, Lenovo koristi postupak kvalificiranja svojih temeljnih dobavljača, nakon čega prolaze službene evaluacije na kvartalnoj osnovi. Brojni dobavljači su već preko 20 godina partneri Lenova. Tim se odnosima pomno upravlja, a novi se dobavljači temeljito procjenjuju.

Lenovo je unaprijedio odnose s dobavljačima putem PTrusted Supplier Programa.  Cilj je programa upravljanje rizikom korisnika implementacijom dokumentiranog, revidiranju podložnog programa sigurnosti lanca nabave kao jednog od dijelova cjelokupnog procesa sigurnosti proizvoda.  Trusted Supplier Program usredotočen je na dobavljače inteligentnih komponenti, ODM-ove, OEM-ove te pružatelje usluga servisa koji bi mogli utjecati na sigurnost korisnika.

Inteligentne komponente uključuju:

  • Svaki softverski program ili firmver na bilo kojem mikroprocesoru,
  • Sam mikroprocesor,
  • Svaki poluvodički uređaj koji ima sposobnost obrade podataka,
  • Svaku komponentu ili uređaj koji imaju ugrađenu memoriju,
  • Svaku komponentu ili uređaj koji vrše funkciju ulaza / izlaza,

Lenovo proaktivno i kontinuirano revidira svoje zahtjeve nabave kako bismo zajamčili da ostajemo u toku - i to kao vodeći - s trendovima i ranjivostima koji se pojavljuju na tržištu tehnologije.

Rad Lenova na jamčenju sigurnosti svojih proizvoda i lanca nabave prepoznat je od strane Chain Security, LLC, jedne od vodećih tvrtki za sigurnost u Sjedinjenim Državama. Ovaj je zaključak donesen nakon gotovo tri godine pomnog proučavanja sigurnosnih procesa, korporativnog upravljanja i programa za dobavljače tvrtke Lenovo. Rezultat ove analize je Pismo potvrde u kojem Chain Security na 20 stranica iznosi pojedinosti njihovog rada s Lenovom, promjene i poboljšanja koje je Lenovo proveo u posljednje dvije godine te zaključak Chain Securityja kako je Lenovo “vjerojatno ispred ostalih na ovom području” po pitanju tih sigurnosnih procesa.

Želite li pročitati čitavo pismo, kliknite ovdje.

Upravljanje rizikom

Lenovo se oslanja na pomoć svojeg globalnog lanca nabave pri osmišljavanju, izradi i isporuci tehnoloških rješenja kojima naši korisnici mogu vjerovati. Strateški gledano, pet je ključnih područja / koraka koje provodimo u upravljanju rizicima u lancu nabave:

  1. Identifikacija potencijalnih rizika u lancu nabave;
  2. Zaštita Lenovo lanca nabave posebnim kontrolama;
  3. Rano otkrivanje problema, čime se osigurava više vremena i mogućnosti za reakciju;
  4. Najbrža moguća reakcija kako bi se ublažila svaka prijetnja te
  5. Oporavak uz minimalne smetnje za korisnike osmišljavanjem otpornog lanca nabave.

Kako bi ostvario ovu strategiju, Lenovo stalno provodi procjene, ažuriranja i optimizacije svojeg lanca nabave u cilju ispunjavanja potreba korisnika i poslovnih potreba.

  • Lenovo redovito provjerava svoje dobavljače i prodavače, potvrđujući sukladnost, sigurnost i financijsko stanje. Za ključne se komponente provodi procjena potrebe za više dobavljača (ili više proizvodnih lokacija dobavljača).
  • Lenovo također pomno nadzire interne procese, redovito testirajući pouzdanost naših kontrola.


Svaka okolnost koja utječe na našu sposobnost ispunjavanja potreba naših korisnika mora biti nadzirana, analizirana i upravljana - te u konačnici sanirana. Ranom je identifikacijom problema Lenovo u mogućnosti:

  1. Prilagoditi lance nabave radi minimizacije utjecaja
  2. Raditi s dobavljačima na rješavanju problema
  3. Zamijeniti dobavljača ukoliko problemi ostanu neriješeni

Minimizacija rizika za Lenovo i njegove korisnike ključna je u lancu nabave.

Sigurna proizvodnja

Sigurna proizvodna lokacija zahtijeva sljedeće:

  • Fizičku sigurnost: čvrste prakse i kontrole pridonose sigurnosti osoblja i fizičkih pogona. To uključuje kontrole pristupa te nadzor posjetitelja i isporuka.
  • Sigurni proizvodni procesi: u proizvodnim se područjima pomno upravlja proizvodnim procesima i kontrolama, a glavne se komponente i podsklopovi prate elektronički. Finalni proizvodi se pregledavaju i zatim testiraju kako bi se potvrdilo da udovoljavaju zahtjevima sigurnosti, pouzdanosti i funkcionalnosti.
  • Sigurna primjena softverskih slika i distribucija BIOS-a: primjena korisničkih slika (tj. predinstalacija OS-a i drugog aplikacijskog softvera prema odabiru korisnika) te postavljanje BIOS-a osjetljivi su koraci u proizvodnom procesu; Lenovo poduzima dodatne mjere predostrožnosti kako bi onemogućio bilo kakvo vanjsko uplitanje u ovim koracima.

Sigurna logistika

Lenovo logistika uključuje pakiranje, transport i isporuku. Kad su proizvodi izrađeni i testirani, pakiraju se i pripremaju za transport uz primjenu materijala koji jasno otkrivaju otvaranje kako bi se svi problemi zamijetili odmah i u tijeku transporta te provela istraga incidenta. Lenovo nakon pakiranja surađuje s kvalificiranim pružateljima logističkih usluga radi sigurne isporuke proizvoda krajnjim korisnicima. Zaštita u čitavom procesu isporuke uključuje sigurne pogone, kamione i prijevoz te temeljito provjerene zaposlenike, posjetitelje i vozače. Pošiljke se prate od trenutka napuštanja pogona Lenovo do njihovog zaprimanja na lokaciji korisnika.

Upravljanje životnim ciklusom

Posvećenost Lenova sigurnosti nastavlja se još dugo nakon isporuke proizvoda korisnicima. Operacijski sustav i aplikacijski softver, chipseti, firmver te BIOS mogu imati česta ažuriranja od strane Lenova, kao i dobavljača u našem ekosustavu, uključujući teleoperatere.  Ta ažuriranja mogu biti planirana poboljšanja ili reakcije na rad koji obavlja PSIRT u cilju otklanjanja sigurnosne ranjivosti. Neovisno o razlogu, Lenovo ima uspostavljene procese za sigurnu isporuku ažuriranja softvera i komponenti tijekom čitavog životnog vijeka proizvoda, čak i u slučajevima kad su dobavljači možda prekinuli proizvodnju komponenti koje se koriste u Lenovo sustavima. Time se razvija potreba za kvalifikacijom novih dijelova koji se mogu koristiti za servisiranje. Lenovo je usredotočen na nabavu zamjenskih dijelova od dobavljača na Popisu pouzdanih dobavljača.

 
PODIJELI