Tata Kelola

 

Program Tata Kelola Keamanan Produk

Untuk mendukung Program Keamanan Produk, Lenovo memberlakukan sistem tata kelola dengan pemeriksaan dan penyeimbangan untuk memastikan proses dan praktik diikuti secara konsisten di seluruh bisnis. Sistem tata kelola ini memberlakukan kontrol untuk memastikan bahwa tinjauan keamanan merupakan bagian dari proses siklus hidup pengembangan produk dan rantai pasokan. Sistem tata kelola ini diuraikan dalam Dokumentasi Tata Kelola Keamanan Produk Lenovo yang diilustrasikan di bawah ini:

Kebijakan Keamanan Produk Perusahaan

(Mempromosikan Keamanan Produk & Mengesahkan posisi CPSO)

Dokumen Program Keamanan Produk

(Mengidentifikasi CPSO, Memperkenalkan Product Security Office dan Inisiatif)

Program, Standar, dan Proses tertentu

Program Pelatihan Keamanan Produk

Rantai Pasokan - Trusted Supplier Program

Program Keamanan Perangkat Lunak

Persyaratan dan Standar Keamanan

Panduan Pengembangan

(Arsitektur, Desain, & Pengujian)

Tinjauan Keamanan

Proses Tata Kelola Tim Produk

Proses PSIRT

Kebijakan Keamanan Produk Perusahaan

(Mempromosikan Keamanan Produk & Mengesahkan posisi CPSO)

Dokumen Program Keamanan Produk

(Mengidentifikasi CPSO, Memperkenalkan Product Security Office dan Inisiatif)

Program, Standar, dan Proses tertentu

Program Pelatihan Keamanan Produk

Rantai Pasokan - Trusted Supplier Program

Program Keamanan Perangkat Lunak

Persyaratan dan Standar Keamanan

Panduan Pengembangan

(Arsitektur, Desain, & Pengujian)

Tinjauan Keamanan

Proses Tata Kelola Tim Produk

Proses PSIRT

Dokumen Kebijakan ditandatangani oleh CEO, dan menekankan pentingnya Keamanan Produk kepada semua karyawan. Dokumen Program dibuat oleh Chief Product Security Officer (CPSO) dan memperkenalkan tugas yang mengimplementasikan proses Keamanan Produk. Terakhir, dokumen Program, Standar, dan Proses yang sebenarnya terkait dengan pekerjaan spesifik yang sedang dilakukan.

Untuk memastikan efektivitas proses tata kelola, kurikulum pelatihan dikembangkan untuk mengedukasi dan memperluas pemahaman serta pengetahuan karyawan mengenai pendekatan Lenovo terhadap keamanan produk. Kurikulum ini dimulai dengan pengetahuan dasar tentang konsep keamanan produk dan terdiri dari tiga level, dengan perolehan sertifikasi pada penyelesaian setiap level: Security Basics, Software Security Associate, dan Professional. Kurikulum dapat disesuaikan untuk memenuhi kebutuhan masing-masing karyawan, tergantung pada persyaratan pekerjaannya. Security Basics adalah kursus yang dapat diikuti oleh siapa pun untuk memperoleh pemahaman yang baik tentang Keamanan Produk. Level Associate dan Professional diperuntukkan bagi karyawan dengan latar belakang perangkat lunak, dan mengarah pada konsep desain perangkat lunak aman tingkat lanjut. Terdapat kursus tambahan di luar ini yang tersedia untuk pembelajaran lebih lanjut.

Upaya Lenovo untuk memastikan keamanan produk dan rantai pasokannya mendapat pengakuan dari Chain Security, LLC, salah satu perusahaan keamanan terkemuka di Amerika Serikat. Pengakuan tersebut diperoleh setelah hampir tiga tahun dilakukannya studi terperinci atas proses keamanan, tata kelola perusahaan, dan program pemasok Lenovo. Hasil analisis ini adalah Pernyataan Pengesahan sebanyak 20 halaman dari Chain Security yang berisi perincian pekerjaan mereka dengan Lenovo, perubahan dan peningkatan yang diimplementasikan Lenovo selama studi berlangsung, dan kesimpulan Chain Security bahwa Lenovo kemungkinan unggul di industri dalam hal proses keamanan ini.

Untuk membaca pernyataan lengkap, klik di sini.

Pertanyaan mengenai implementasi proses ini dapat diajukan ke Product Security Office.

BAGIKAN