Proses Keamanan Kami

 

Rantai Pasokan Produk

Rantai pasokan produk Lenovo telah mendapat pengakuan dan masuk dalam peringkat Top 25 Gartner selama tiga tahun terakhir. Rantai pasokan ini memegang peran penting dalam pengembangan, manufaktur, dan pengiriman produk. Rantai pasokan dimulai dengan manajemen dan kontrol kumpulan pemasok berkualifikasi, yang menyediakan komponen aman dan memenuhi syarat untuk digunakan dalam pengembangan dan manufaktur.

Komponen penting dalam jumlah besar dilacak melalui barcode, dan dikontrol dalam inventori pemasok dan proses perakitan hingga diterima di Lenovo. Manufaktur dilakukan di lingkungan aman dan terkontrol, termasuk fasilitas fisik yang aman, dan jaringan aman. Produk jadi kemudian dikemas dengan segel tempa untuk kotak dan palet. Pengiriman kemudian dilacak dari tempat asal hingga diantar ke pelanggan.

Diagram di bawah ini menunjukkan siklus hidup produk lengkap. Rantai Pasokan melibatkan area yang teridentifikasi sebagai Pemasok, serta Manufaktur dan Pengujian Lenovo.

Persyaratan Keamanan Produk

Contoh Persyaratan Keamanan:

  • - BIOS
  • - Perlindungan BIOS
  • - Perlindungan Boot
  • - Boot Aman
  • - Flash Aman (NIST) SP800-147
  • - dll...

* Komponen Perangkat Keras Tepercaya

  • - Mikroprosesor Intel
  • - Chipset Intel (Mgmnt Engine)
  • - TPM
  • - Pembaca Sidik Jari
  • - dll...

* Lokasi Manufaktur

  • * Pilihan Pramuat Perangkat Lunak
  • - Sistem Operasi Windows
  • - Profil yang diberikan pelanggan
  • - Enkripsi tidak bergerak
  • - dll...
Pengembangan Lenovo
Pemasok
Manufaktur dan Pengujian Lenovo
Pelanggan
Layanan

Bagian dari keseluruhan

Sistem Manajemen

Dalam kontrol Offering Development Team (ODT)
(meliputi seluruh masa pakai produk)

Contoh Kontrol Proses:

Pembangunan Aman (office, lab, mfg)

Jaringan Aman

Kontrol Perangkat Lunak

Kontrol BIOS/Firmware

Manajemen Kunci

Daftar Pemasok Tepercaya

Proses Decision Check Point (DCP)

ODTL bertanggung jawab untuk:

1) Memastikan semua proses diikuti

2) Meningkatkan kepatuhan Keamanan melalui anggota ODT

Persyaratan Keamanan Produk
Pengembangan Lenovo
Pemasok
Manufaktur dan Pengujian Lenovo
Pelanggan
Layanan

Contoh Persyaratan Keamanan:

  • - BIOS
  • - Perlindungan BIOS
  • - Perlindungan Boot
  • - Boot Aman
  • - Flash Aman (NIST) SP800-147
  • - dll...

* Komponen Perangkat Keras Tepercaya

  • - Mikroprosesor Intel
  • - Chipset Intel (Mgmnt Engine)
  • - TPM
  • - Pembaca Sidik Jari
  • - dll...

* Lokasi Manufaktur

  • * Pilihan Pramuat Perangkat Lunak
  • - Sistem Operasi Windows
  • - Profil yang diberikan pelanggan
  • - Enkripsi tidak bergerak
  • - dll...
Pengembangan
Perangkat Keras
Perangkat Lunak
BIOS
Firmware
Rantai Pasokan
Distribusi
- Langsung
- Mitra
Alat Penjualan
Pengembalian Produk
Perbaikan
Upgrade
Pembuangan
Layanan & Dukungan

Bagian dari keseluruhan

Sistem Manajemen

Dalam kontrol Offering Development Team (ODT)
(meliputi seluruh masa pakai produk)

Contoh Kontrol Proses:

Pembangunan Aman (office, lab, mfg)

Jaringan Aman

Kontrol Perangkat Lunak

Kontrol BIOS/Firmware

Manajemen Kunci

Daftar Pemasok Tepercaya

Proses Decision Check Point (DCP)

ODTL bertanggung jawab untuk:

1) Memastikan semua proses diikuti

2) Meningkatkan kepatuhan Keamanan melalui anggota ODT

Selain itu, terdapat pekerjaan teknis yang diperlukan untuk mendukung produk selama masa pakainya. Setelah produk dikirim, biasanya diperlukan kualifikasi komponen untuk mengganti suku cadang yang telah berakhir masa pakainya (EOL), dan diperlukan penyediaan pembaruan pada BIOS/firmware melalui proses aman. Ini adalah bagian dari keseluruhan Manajemen dan Dukungan Siklus Hidup produk.

Perencanaan dan Pengembangan Produk melibatkan banyak area sepanjang siklus hidup produk. Aktivitas perencanaan dimulai dengan menentukan persyaratan keamanan saat produk pertama kali dikembangkan untuk menyeimbangkan kebutuhan akan keamanan dan ketersediaan data. Penyempurnaan sedang dalam proses untuk mencakup tinjauan yang sedang berlangsung dan peningkatan pada proses pengembangan aman yang penting yang digunakan dalam perancangan dan pengujian produk. Setelah persyaratan keamanan didokumentasikan, tim pengembangan produk Lenovo membuat rencana untuk mengintegrasikan fitur yang sesuai ke produk baru. Tahap Pengembangan berfokus pada area berikut:

  • Pengembangan dan Kualifikasi
  • BIOS/Firmware
  • Perangkat Lunak

Manajemen & Kontrol Pemasok

Kumpulan pemasok yang solid dalam rantai pasokan produk – termasuk ODM, OEM, produsen komponen, penyedia BIOS dan perangkat lunak -- sangat penting bagi keberhasilan produsen perangkat teknologi mana pun. Untuk membantu memastikan hal ini, Lenovo memiliki proses untuk mengualifikasi pemasok intinya, lalu secara formal mengevaluasi mereka setiap kuartal. Sebagian besar pemasok Lenovo telah menjadi mitranya selama lebih dari 20 tahun. Relasi ini dikelola dengan hati-hati dan pemasok baru dikaji secara menyeluruh.

Lenovo telah meningkatkan relasi dengan pemasok melalui Trusted Supplier Program.  Tujuan program ini adalah manajemen risiko pelanggan melalui implementasi program keamanan rantai pasokan terdokumentasi dan dapat diaudit sebagai satu bagian dari keseluruhan proses keamanan produk.  Trusted Supplier Program berfokus pada pemasok komponen cerdas, ODM, OEM, dan penyedia layanan perbaikan yang dapat berdampak pada keamanan pelanggan.

Komponen cerdas mencakup:

  • Semua program perangkat lunak atau firmware pada mikroprosesor apa pun,
  • Mikroprosesor itu sendiri
  • Semua perangkat semikonduktor yang memiliki kemampuan pemrosesan data,
  • Semua komponen atau perangkat yang memiliki memori internal,
  • Semua komponen atau perangkat yang menjalankan fungsi input/output

Lenovo secara proaktif dan berkelanjutan meninjau persyaratan sumbernya untuk memastikan bahwa kami mengikuti, dan mengungguli, tren dan kerentanan saat muncul di marketplace teknologi.

Upaya Lenovo untuk memastikan keamanan produk dan rantai pasokannya mendapat pengakuan dari Chain Security, LLC, salah satu perusahaan keamanan terkemuka di Amerika Serikat. Pengakuan tersebut diperoleh setelah hampir tiga tahun dilakukannya studi terperinci atas proses keamanan, tata kelola perusahaan, dan program pemasok Lenovo. Hasil analisis ini adalah Pernyataan Pengesahan sebanyak 20 halaman dari Chain Security yang berisi perincian pekerjaan mereka dengan Lenovo, perubahan dan peningkatan yang dilakukan Lenovo dalam dua tahun terakhir dan kesimpulan Chain Security bahwa Lenovo kemungkinan unggul di industri dalam hal proses keamanan ini.

Untuk membaca pernyataan lengkap, klik di sini.

Manajemen Risiko

Lenovo mengandalkan rantai pasokan globalnya untuk membantu mendesain, membuat, dan menyampaikan solusi teknologi yang dapat dipercaya pelanggan. Secara strategis, terdapat lima area/langkah penting yang kami ikuti dalam mengelola risiko pada rantai pasokan:

  1. Mengidentifikasi kemungkinan risiko pada rantai pasokan;
  2. Melindungi rantai pasokan Lenovo dengan kontrol khusus;
  3. Mendeteksi masalah sejak dini, memberikan lebih banyak waktu dan pilihan untuk merespons;
  4. Merespons secepat mungkin untuk memitigasi ancaman apa pun; dan
  5. Melakukan pemulihan dengan disrupsi minimal terhadap pelanggan dengan merancang rantai pasokan yang tangguh.

Untuk memenuhi strategi ini, Lenovo terus mengevaluasi, memperbarui, dan mengoptimalkan sistem rantai pasokannya untuk memenuhi kebutuhan pelanggan dan bisnis.

  • Lenovo secara rutin mengaudit kepatuhan, keamanan, dan kesehatan finansial pemasok dan vendor. Untuk komponen sangat penting, akan ada penilaian akan kebutuhan beberapa pemasok (atau beberapa lokasi manufaktur pemasok).
  • Lenovo juga memantau dengan ketat proses internal, menguji kekuatan kontrol kami secara rutin.


Setiap kondisi yang berdampak pada kemampuan kami untuk memenuhi kebutuhan pelanggan harus dipantau, dianalisis, serta dikelola, dan pada akhirnya dimitigasi. Dengan mengidentifikasi masalah sejak dini, Lenovo dapat:

  1. Menyesuaikan rantai pasokan untuk meminimalkan dampak
  2. Bekerja sama dengan pemasok untuk mengatasi masalah
  3. Mengganti pemasok jika masalah tidak teratasi

Meminimalkan risiko sangat penting bagi Lenovo dan pelanggannya dalam rantai pasokan.

Manufakturing Aman

Lokasi manufaktur yang aman memerlukan hal berikut:

  • Keamanan fisik: praktik dan kontrol yang kuat mengelola keamanan personel dan pabrik fisik. Hal ini mencakup kontrol akses, serta pemantauan pengunjung dan pengiriman.
  • Proses manufakturing aman: di dalam area manufakturing, proses dan kontrol produksi dikelola dengan ketat, sedangkan komponen utama dan subrakitan dilacak secara elektronik. Produk akhir diperiksa, lalu diuji untuk memastikannya memenuhi persyaratan keamanan, keandalan, dan fungsionalitas.
  • Profil perangkat lunak dan distribusi BIOS aman: profil pelanggan (yakni prainstal OS pilihan pelanggan dan perangkat lunak aplikasi lainnya) dan pengaturan BIOS merupakan langkah-langkah sensitif dalam proses manufaktur; Lenovo melakukan tindakan pencegahan tambahan untuk menjaga keamanannya dari segala macam gangguan dari luar.

Logistik Aman

Logistik Lenovo mencakup pengemasan, pengiriman, dan pengantaran. Setelah dibuat dan diuji, produk dikemas dan disiapkan untuk dikirim dengan material anti-rusak agar masalah apa pun dapat segera diketahui dan dilaporkan, lalu insiden diselidiki. Setelah dikemas, Lenovo bekerja sama dengan pemasok logistik berkualifikasi untuk mengirim produk secara aman kepada pelanggan akhir. Perlindungan sepanjang proses pengiriman mencakup fasilitas, truk, dan alat pengangkut yang aman, serta karyawan, pengunjung, dan pengemudi yang diseleksi dengan cermat. Pengiriman dilacak sejak saat produk meninggalkan gedung Lenovo hingga diterima di lokasi pelanggan.

Manajemen Siklus Hidup

Komitmen Lenovo terhadap keamanan terus berlanjut setelah produk dikirim ke pelanggan. Sistem operasi dan perangkat lunak aplikasi, chipset, firmware, dan BIOS mungkin memiliki pembaruan rutin dari Lenovo serta pemasok ekosistemnya, termasuk operator seluler.  Pembaruan ini dapat merupakan peningkatan terjadwal, atau sebagai respons terhadap pekerjaan yang dilakukan PSIRT untuk memperbaiki kerentanan keamanan. Apa pun alasannya, Lenovo menjalankan proses untuk pengiriman pembaruan dan komponen perangkat lunak yang aman sepanjang masa pakai produk, meskipun pemasok telah menghentikan produksi komponen yang digunakan dalam sistem Lenovo. Hal ini menciptakan kebutuhan untuk mengualifikasi suku cadang baru yang dapat digunakan untuk layanan. Lenovo berkomitmen untuk menyediakan suku cadang pengganti dari pemasok dalam Daftar Pemasok Tepercaya.

 
BAGIKAN