Felügyelet

 

A Termékbiztonsági Program felügyelete

Termékbiztonsági Programja részeként a Lenovo egy felügyeleti rendszert működtet, amely biztosítékokat tartalmaz arra nézve, hogy szervezete minden részében egységes módon betartsák az előírt folyamatokat és gyakorlatokat. Ebbe a felügyeleti rendszerbe olyan mechanizmusok vannak beépítve, amelyek garantálják, hogy a biztonsági ellenőrzések szerves részei a termékfejlesztési és beszállítói életciklus-folyamatoknak. A felügyeleti rendszer részletes leírását a Lenovo termékbiztonság-felügyeleti dokumentuma tartalmazza, összefoglalása alább látható:

Vállalati termékbiztonsági házirend

(elősegíti a termékbiztonságot, és hitelesíti a CPSO szerepkört)

Termékbiztonsági program dokumentációja

(azonosítja a CPSO-t, és leírja a Termékbiztonsági Irodát és a kezdeményezéseket)

Speciális programok, szabványok és folyamatok

Termékbiztonsági képzési program

Ellátási lánc – Megbízható Beszállítói Program

Szoftverbiztonsági Program

Biztonsági követelmények és szabványok

Fejlesztés felügyelete

(architektúra, tervezés és tesztelés)

Biztonsági ellenőrzések

Termékfejlesztési csapat felügyeleti folyamata

PSIRT folyamat

Vállalati termékbiztonsági házirend

(elősegíti a termékbiztonságot, és hitelesíti a CPSO szerepkört)

Termékbiztonsági program dokumentációja

(azonosítja a CPSO-t, és leírja a Termékbiztonsági Irodát és a kezdeményezéseket)

Speciális programok, szabványok és folyamatok

Termékbiztonsági képzési program

Ellátási lánc – Megbízható Beszállítói Program

Szoftverbiztonsági Program

Biztonsági követelmények és szabványok

Fejlesztés felügyelete

(architektúra, tervezés és tesztelés)

Biztonsági ellenőrzések

Termékfejlesztési csapat felügyeleti folyamata

PSIRT folyamat

A házirend dokumentációja, amelyet a vezérigazgató az aláírásával lát el, minden dolgozó felé hangsúlyozza a termékbiztonság fontosságát. A program dokumentációját a termékbiztonsági vezető (Chief Product Security Officer, CPSO) állítja össze, és leírja benne a termékbiztonsági folyamatokat segítő munkát. Végül a programok, szabványok és folyamatok dokumentációja konkrét leírja a munkákat.

A felügyeleti folyamat hatékonyságának biztosítása érdekében egy képzési tervet állítottunk össze, amely segít a dolgozóknak megismerni és megérteni a Lenovo termékbiztonsági megközelítését. A képzés a termékbiztonság alapvető fogalmainak bemutatásával kezdődik, és három szintet tartalmaz, mindegyik végén egy megszerezhető tanúsítvánnyal: Security Basics (Biztonsági alapok), Software Security Associate (Haladó szoftverbiztonság) és Software Security Professional (Professzionális szoftverbiztonság). A terv az egyes dolgozók igényeire szabható a munkakörük követelményeinek megfelelően. A Security Basics (Biztonsági alapok) szintet bárki elvégezheti, aki alaposan meg szeretné érteni a termékbiztonságot. Az Associate (Haladó) és Professional (Professzionális) szint azokat célozza, akik rendelkeznek a szoftveres alapismeretekkel, és a biztonságos szoftvertervezés speciális témáit ismerteti. A további tanuláshoz kiegészítő tanfolyamok is rendelkezésre állnak.

A Lenovo azon törekvését, hogy garantálja a termékei és ellátási láncának biztonságát, elismerte az Egyesült Államok egyik vezető biztonságtechnikai vállalata, a Chain Security, LLC. Ehhez közel három éven át részletesen tanulmányozták a Lenovo biztonsági folyamatait, vállalatirányítási rendszereit és beszállítói programjait. Ennek eredménye egy 20 oldalas igazoló levél lett, amelyben a Chain Security részletesen leírja a Lenovo tevékenységével kapcsolatos munkáját és a Lenovo által a vizsgálat folyamán végrehajtott változásokat és fejlesztéseket. A Chain Security arra a következtetésre jutott, hogy a Lenovo „az ágazat élén jár” a biztonsági folyamatok tekintetében.

A teljes levelet itt találja.

A folyamatok megvalósításával kapcsolatos kérdéseket a Termékbiztonsági Irodának lehet feltenni.

MEGOSZTÁS