Biztonsági folyamatunk

 

Termékellátási lánc

A Lenovo termékellátási lánca az utóbbi három évben felkerült a Gartner 25-ös toplistájára. Kulcsfontosságú szerepe van a termékeink fejlesztésében, gyártásában és leszállításában. Az ellátási lánc a minősített beszállítói bázis kezelésével és felügyeletével kezdődik, ami minősített és biztonságos komponenseket biztosít a fejlesztéshez és gyártáshoz.

A kulcsfontosságú és nagy volumenű komponenseket vonalkódok segítségével követjük, és felügyeljük őket a beszállítók leltárában és összeszerelési folyamata során addig, amíg meg nem érkeznek hozzánk. A gyártás biztonságos, szabályozott környezetben zajlik, amelynek része a fizikai létesítmények és a hálózatok védelme is. A kész termékek csomagolásához hamisítás ellen védő zárakkal rendelkező dobozokat és raklapokat használunk. A szállítmányokat a feladásuktól a kézbesítésükig követjük.

Az alábbi ábra bemutatja a termékek teljes életciklusát. Az ellátási lánc magában foglalja a beszállítókat és a Lenovo gyártási és tesztelési eljárásait is.

Termékbiztonsági követelmények

Példa a biztonsági követelményekre:

  • – BIOS
  • – BIOS-védelem
  • – indítási védelem
  • – biztonságos indítás
  • – biztonságos frissítés (NIST) SP800-147
  • – stb…

* Megbízható hardveralkatrészek

  • – Intel mikroprocesszor
  • – Intel lapkakészlet (Management Engine)
  • – TPM
  • – ujjlenyomat-olvasó
  • – stb…

* Gyártási helyszínek

  • * Szoftver-előtelepítési lehetőségek
  • – Windows operációs rendszerek
  • – ügyfél által biztosított rendszerképek
  • – alapértelmezett titkosítás
  • – stb…
A Lenovo fejlesztései
Beszállítók
A Lenovo gyártása és tesztelése
Ügyfelek
Szolgáltatás

A teljes

kezelési rendszer része

Az Ajánlatfejlesztési Csapat (Offering Development Team, ODT) felügyeli
(lefedi a termék teljes élettartamát)

Példák a folyamatfelügyeletre:

biztonságos épületek (irodák, laboratóriumok)

biztonságos hálózatok

szoftverek felügyelete

BIOS-ok és belső vezérlőprogramok felügyelete

kulcskezelés

megbízható beszállítók listája

ellenőrzési pontok a döntéshozatalban

Az ODT felelőssége:

1) biztosítani minden folyamat betartását

2) az ODT tagjain keresztül erősíteni a biztonsági szabályoknak való megfelelést

Termékbiztonsági követelmények
A Lenovo fejlesztései
Beszállítók
A Lenovo gyártása és tesztelése
Ügyfelek
Szolgáltatás

Példa a biztonsági követelményekre:

  • – BIOS
  • – BIOS-védelem
  • – indítási védelem
  • – biztonságos indítás
  • – biztonságos frissítés (NIST) SP800-147
  • – stb…

* Megbízható hardveralkatrészek

  • – Intel mikroprocesszor
  • – Intel lapkakészlet (Management Engine)
  • – TPM
  • – ujjlenyomat-olvasó
  • – stb…

* Gyártási helyszínek

  • * Szoftver-előtelepítési lehetőségek
  • – Windows operációs rendszerek
  • – ügyfél által biztosított rendszerképek
  • – alapértelmezett titkosítás
  • – stb…
Fejlesztés
Hardver
Szoftver
BIOS
Belső vezérlőprogram
Ellátási lánc
Terjesztés
– közvetlen
– partneren keresztül
Értékesítési eszközök
Visszaküldött termékek
Javítások
Fejlesztések
Kiselejtezés
Szerviz és támogatás

A teljes

kezelési rendszer része

Az Ajánlatfejlesztési Csapat (Offering Development Team, ODT) felügyeli
(lefedi a termék teljes élettartamát)

Példák a folyamatfelügyeletre:

biztonságos épületek (irodák, laboratóriumok)

biztonságos hálózatok

szoftverek felügyelete

BIOS-ok és belső vezérlőprogramok felügyelete

kulcskezelés

megbízható beszállítók listája

ellenőrzési pontok a döntéshozatalban

Az ODT felelőssége:

1) biztosítani minden folyamat betartását

2) az ODT tagjain keresztül erősíteni a biztonsági szabályoknak való megfelelést

Ezenkívül műszaki munkákat is végzünk termékeink támogatására a teljes életciklusuk alatt. A termék kiszállítása után általában szükség van az élettartamuk végét elérő alkatrészek cseréjére, valamint a BIOS vagy belső vezérlőprogram frissítésének biztosítására biztonságos folyamat révén. Ezek a műveletek a termékek teljes életciklusának kezeléséhez és támogatásához tartoznak.

A terméktervezés és -fejlesztés a termék életciklusának sok területét érinti. A tervezési tevékenység a biztonsági követelmények meghatározásával kezdődik már a termék első felvázolásakor, így ki tudjuk egyensúlyozni a biztonságot és az adatok rendelkezésre állását. A termékek tervezési és tesztelési folyamatainak állandó ellenőrzését és tökéletesítését a beépített javítási mechanizmusok biztosítják. A biztonsági követelmények dokumentálása után a Lenovo termékfejlesztési csapatai meghatározzák a terveket a megfelelő funkciók beépítésére az új termékekbe. A fejlesztés szakasza a következő területekhez összpontosít:

  • fejlesztés és minősítés
  • BIOS-ok és belső vezérlőprogramok
  • szoftverek

Beszállítók kezelése és felügyelete

A termékellátási láncban az erős beszállítói bázis – ideértve az ODM-eket, OEM-eket, alkatrészgyártókat, BIOS- és szoftverfejlesztőket – kulcsfontosságú minden műszaki termékeket gyártó vállalat számára. Ennek biztosításához a Lenovo egy külön folyamatot működtet fő beszállítói minősítésére, és negyedévente formálisan is ellenőrzi őket. A Lenovo sok beszállítója már 20 éve áll vele partneri kapcsolatban. Ezeket a kapcsolatokat gondosan kezeljük, és az új beszállítókat alaposan ellenőrizzük.

A beszállítóinkkal való kapcsolatot a Megbízható Beszállítói Program révén erősítjük.  Ennek a programnak a célja az ügyfeleinket érintő kockázatok kezelése az ellátási lánc dokumentált és auditálható biztonsági programja révén, amely a teljes termékbiztonsági folyamatunk része. A Megbízható Beszállítói Program az intelligens komponensek beszállítóira, ODM-ekre, OEM-ekre és javítási szolgáltatásokat nyújtó cégekre összpontosít, amelyek hatással lehetnek az ügyfeleink biztonságára.

Az intelligens komponensek többek között:

  • bármilyen mikroprocesszoron futó szoftver vagy belső vezérlőprogram;
  • maga a mikroprocesszor;
  • bármely félvezető eszköz, amely adatfeldolgozási képességekkel rendelkezik;
  • bármely alkatrész vagy eszköz, amely belső memóriával rendelkezik;
  • bármely alkatrész vagy eszköz, amely bemeneti-kimeneti funkciót futtat.

A Lenovo proaktívan és folyamatosan ellenőrzi az ellátási követelményeit, így biztosítva, hogy követi, sőt megelőzi a technológiai ágazatban felmerülő trendeket és biztonsági réseket.

A Lenovo azon törekvését, hogy garantálja a termékei és ellátási láncának biztonságát, elismerte az Egyesült Államok egyik vezető biztonságtechnikai vállalata, a Chain Security, LLC. Ehhez közel három éven át részletesen tanulmányozták a Lenovo biztonsági folyamatait, vállalatirányítási rendszereit és beszállítói programjait. Ennek eredménye egy 20 oldalas igazoló levél lett, amelyben a Chain Security részletesen leírja a Lenovo tevékenységével kapcsolatos munkáját, valamint a Lenovo által az utóbbi két évben végrehajtott változásokat és fejlesztéseket. A Chain Security arra a következtetésre jutott, hogy a Lenovo „az ágazat élén jár” a biztonsági folyamatok tekintetében.

A teljes levelet itt találja.

Kockázatkezelés

A Lenovo a globális ellátási láncára alapozza olyan technológiai megoldások tervezését, létrehozását és leszállítását, amelyekben ügyfelei megbízhatnak. Az ellátási lánc kezelési stratégiájában öt kulcsfontosságú lépést követünk:

  1. az ellátási láncot érintő potenciális kockázatok azonosítása;
  2. az ellátási lánc védelme különleges intézkedésekkel;
  3. a problémák korai észlelése, ami több időt és lehetőséget biztosít a kezelésükhöz;
  4. minél korábbi reagálás a fenyegetésekre; és
  5. helyreállítás az ügyfelek tevékenységeinek minimális zavarásával.

Ennek a stratégiának a megvalósításához folyamatosan ellenőrizzük, frissítjük és optimalizáljuk ellátási láncunk rendszereit, így kielégítjük az ügyfeleink és az üzletvitelünk igényeit is.

  • Rendszeresen auditáljuk a beszállítóinkat és a fejlesztőinket a megfelelőség, biztonság és pénzügyi állapot tekintetében. A kulcsfontosságú komponensek esetében felmérjük, hogy szükség van-e több beszállítóra (vagy több beszállítói gyártói létesítményre).
  • Ezenkívül szorosan ellenőrizzük a belső folyamatainkat, és rendszeresen teszteljük ellenőrzési mechanizmusaink erősségét.


Figyelünk, elemzünk és kezelünk milyen olyan körülményt, amely befolyásolhatja azon képességünket, hogy kielégítsük ügyfeleink igényeit. A lehetséges problémák korai azonosításával:

  1. megváltoztathatjuk ellátási láncainkat, hogy minimalizáljuk a hatásokat;
  2. együttműködhetünk a beszállítókkal a problémák megoldása érdekében;
  3. lecserélhetünk egy beszállítót, ha általa okozott probléma továbbra is fennáll.

Az ellátási láncot érintő kockázatok minimalizálása kulcsfontosságú mind a Lenovo, mind az ügyfelei számára.

Biztonságos gyártás

A biztonságos gyártói létesítmények követelményei:

  • Fizikai biztonság: a személyzet és a gyár védelmét biztosító megfelelő gyakorlatok és ellenőrzési mechanizmusok. Ez tartalmazza a hozzáférés-vezérlést, valamint a látogatók és a szállítások felügyeletét is.
  • Biztonságos gyártási folyamatok: A gyártási területeken szorosan felügyeljük a termelési folyamatokat és az ellenőrzési mechanizmusokat, és elektronikusan követjük a fontos alkatrészeket és alegységeket. Minden elkészült terméket tesztelünk, hogy megfelel-e a biztonsági, megbízhatósági és működési követelményeinknek.
  • Biztonságos rendszerkép-előállítás és BIOS-terjesztés: Az ügyfelek rendszerképeinek (az ügyfél által választott operációs rendszer és más alkalmazások előtelepítése), valamint a BIOS beállítása a gyártás érzékeny lépései, ezért fokozottan figyelünk arra, hogy ezekhez a folyamatokhoz ne férhessenek hozzá illetéktelenek.

Biztonságos logisztika

Logisztikánk lefedi a csomagolást, a szállítást és a kézbesítést is. A termékek elkészítése és tesztelése után hamisítás ellen védő zárakkal rendelkező anyagokkal csomagoljuk be őket a szállításhoz, így a problémák azonnal és út közben is észlelhetők és kivizsgálhatók. A termékek csomagolás utáni, végfelhasználóknak történő kiszállítását minősített logisztikai szolgáltatókra bízzuk. A szállítási folyamat során a védelmet a biztonságos létesítmények, teherautók és szállítóeszközök, valamint alaposan megszűrt dolgozók, látogatók és járművezetők biztosítják. A szállítmányokat követjük attól kezdve, hogy elhagyják létesítményeinket, addig, amíg megérkeznek az ügyfél címére.

Életciklus-kezelés

A Lenovo elkötelezettsége a biztonság iránt azután is folytatódik, miután az ügyfelek megkapták a termékeket. Gyakran frissítjük az operációs rendszereket, alkalmazásokat, lapkakészleteket, belső vezérlőprogramokat és BIOS-okat, valamint a beszállítók ökoszisztémáját, ideértve a mobiltelefonos beszállítókat is. Ezek a frissítések meghatározott ütemterv szerint érkezhetnek, illetve a PSIRT válaszaként egy biztonsági résre. Bármi legyen a frissítés oka, rendelkezünk a szoftverfrissítések és komponensek biztonságos közvetítéséhez szükséges eljárásokkal a termék teljes életciklusa alatt még olyan esetekben is, amikor a beszállító már nem gyárt egy, az érintett Lenovo rendszerben használt komponenst. Emiatt előfordulhat, hogy olyan új alkatrészeket kell azonosítani, amelyek a javításhoz használhatók. Elkötelezettek vagyunk aziránt, hogy az alkatrészeket a megbízható beszállítóink listáján szereplő gyártóktól szerezzük be.

 
MEGOSZTÁS