Нашиот процес за безбедност

 

Синџир за достава на производи

Синџирот на добавување производи на Lenovo е признаен во Најдобрите 25 рангирања на Gartner во изминатите три години. Тој игра важна улога во развојот, производството и доставата на нашите производи. Синџирот на добавување започнува со управување и контрола на основата на квалификуваниот добавувач, што дава квалификувани и безбедни компоненти за користење во развој и производство.

Клучните компоненти што се набавуваат на големо се следат преку баркодови и се контролираат во инвентарот на добавувачот и процесот на составување, па сѐ до приемот во Lenovo. Производството се одвива во безбедна, контролирана средина, вклучувајќи безбедна физичка установа и безбедна мрежа. Завршените производи потоа се пакуваат со печати на кутиите и палетите против неовластено отворање. Испораките се следат од почетокот до доставувањето кај потрошувачот.

Дијаграмот долу го покажува целосниот животен циклус на производот. Синџирот на достава ги опфаќа областите што се идентификувани како Доставувачи и Отсекот за производство и тестирање на Lenovo.

Услови за Безбедност на производи

Примери за Безбедност на производи:

  • - BIOS
  • - Заштита на BIOS
  • - Заштита за подигање на компјутерот
  • - Безбедно подигање
  • - Безбеден Flash (NIST) SP800-147
  • - и др...

* Доверливи хардверски компоненти

  • - Микропроцесор Intel
  • - Чипсет на Intel (Mgmnt Engine)
  • - TPM
  • - Читач на отпечатоци
  • - и др...

* Локации за производство

  • * Опции за однапред вчитан софтвер
  • - Оперативни системи на Windows
  • - Слики на потрошувачите
  • - Шифрирање неактивни податоци
  • - и др...
Отсек за развој на Lenovo
Добавувачи
Отсек за производство и тестирање на Lenovo
Потрошувачи
Услуга

Дел од целиот

Систем за управување

Под контролата за Тимот за развој на понудата (ODT)
(го вклучува целиот животен век на производот)

Пример за контроли на процесот:

Безбедни згради (канцеларија, лаборатории, производство)

Безбедни мрежи

Софтверска контрола

Контрола на BIOS/фирмвер

Клучно управување

Список со доверливи добавувачи

Процес на контролна точка за одлука (DCP)

ODTL е одговорен за:

1) Да обезбеди дека се следат сите процеси

2) Да ја помине усогласеноста со безбедноста за членовите на ODT

Услови за Безбедност на производи
Отсек за развој на Lenovo
Добавувачи
Отсек за производство и тестирање на Lenovo
Потрошувачи
Услуга

Примери за Безбедност на производи:

  • - BIOS
  • - Заштита на BIOS
  • - Заштита за подигање на компјутерот
  • - Безбедно подигање
  • - Безбеден Flash (NIST) SP800-147
  • - и др...

* Доверливи хардверски компоненти

  • - Микропроцесор Intel
  • - Чипсет на Intel (Mgmnt Engine)
  • - TPM
  • - Читач на отпечатоци
  • - и др...

* Локации за производство

  • * Опции за однапред вчитан софтвер
  • - Оперативни системи на Windows
  • - Слики на потрошувачите
  • - Шифрирање неактивни податоци
  • - и др...
Отсек за развој
Хардвер
Софтвер
BIOS
Фирмвер
Синџир за достава
Дистрибуција
- Директно
- Партнер
Алатки за продажба
Враќања
Поправки
Надградби
Фрлање
Услуга и поддршка

Дел од целиот

Систем за управување

Под контролата за Тимот за развој на понудата (ODT)
(го вклучува целиот животен век на производот)

Пример за контроли на процесот:

Безбедни згради (канцеларија, лаборатории, производство)

Безбедни мрежи

Софтверска контрола

Контрола на BIOS/фирмвер

Клучно управување

Список со доверливи добавувачи

Процес на контролна точка за одлука (DCP)

ODTL е одговорен за:

1) Да обезбеди дека се следат сите процеси

2) Да ја помине усогласеноста со безбедноста за членовите на ODT

Освен тоа, потребна е техничка работа за да се поддржи производот во неговиот животен век. Откако ќе се испорача производот, обично има потреба да се идентификуваат компоненти за замена на изабените делови, како и потреба да се обезбедат ажурирања за BIOS/фирмверот преку безбеден процес. Ова се делови од целокупното Управување со животниот циклус и поддршка на производот.

Планирањето и развојот на производите опфаќа многу области низ животниот циклус на производот. Планирањето започнува со дефинирање на потребите за безбедност при првото смислување на производите, со цел да се балансираат потребите за безбедност и достапност на податоци. Подобрувањата се во тек за да се вклучат тековните рецензии и подобрувања на клучните процеси за развој на безбедноста преку кои производите се дизајнираат и тестираат. Откако ќе се документираат безбедносните потреби, тимовите за развој на производи на Lenovo создаваат планови за инкорпорирање соодветни функции во новите производи. Фазата на развој се фокусира на следниве области:

  • Развој и квалификации
  • BIOS/фирмвер
  • Софтвер

Управување и контрола на добавувачи

Силна основа на добавувачот во синџирот за достава на производи – вклучувајќи ODM, OEM, производители на компоненти, даватели на BIOS и софтвер – е клучна за успехот на производителите на која било технологија. За да се обезбеди ова, Lenovo има процес за квалификација на клучните добавувачи, а потоа формално ги оценува на тромесечна основа. Многу од добавувачите на Lenovo се негови партнери повеќе од 20 години. Со овие односи се управува внимателно, а новите добавувачи се проценуваат темелно.

Lenovo го подобри нашиот однос со добавувачите преку Програмата за доверливи добавувачи.  Целта на програмата е управување со ризикот на потрошувачите преку имплементација на документирана и подложна на ревизија програма за безбедност на синџирот на достава како еден дел од вкупниот процес за безбедност на производите.  Програмата за доверливи добавувачи се фокусира на добавувачи на интелигентни компоненти, ODM, OEM и даватели на услуги за поправки што би можеле да влијаат врз безбедноста на потрошувачите.

Интелигентните компоненти вклучуваат:

  • Која било софтверска или фирмверска програма на кој било микропроцесор,
  • Самиот микропроцесор,
  • Кој било полупроводнички уред што има способност за обработка на податоци,
  • Која било компонента или уред што има внатрешна меморија,
  • Која било компонента или уред што извршува функција на влез/излез.

Lenovo проактивно и континуирано ги прегледува сопствените потреби за набавка за да се осигуриме дека ги следиме, како и дека сме пред трендовите и слабостите што се појавуваат на пазарот за технологија.

Напорот на Lenovo да ја овозможи безбедноста на своите производи и синџирот на добавување е признаен од Chain Security, LLC, една од водечките фирми за безбедност во Соединетите Американски Држави. Овој заклучок е донесен по речиси три години детално испитување на безбедносните процеси, корпоративното ракување и програмите за доставување на Lenovo. Резултатот од оваа анализа е Потврда на 20 страници во којашто Chain Security ги прикажува деталите на нивната работа со Lenovo, промените и подобрувањата што ги направил Lenovo во последните две години и нивниот заклучокот е дека Lenovo „веројатно е напреден во индустријата“ во поглед на овие безбедносни процеси.

За да ја прочитате целата потврда, кликнете тука.

Управување со ризик

Lenovo се потпира на сопствениот глобален синџир за добавување за да помогне да се дизајнираат, изградат и достават технолошки решенија на коишто нашите потрошувачи може да им веруваат. Стратешки гледано, има пет клучни области/чекори што ги следиме при управувањето со ризиците на синџирот за добавување:

  1. Идентификација на потенцијални ризици на синџирот за добавување;
  2. Заштита на синџирот за добавување на Lenovo со посебни контроли;
  3. Рано откривање на проблемите, оставајќи повеќе време и опции за нивно решавање;
  4. Што е можно побрза реакција за ублажување на заканите; и
  5. Оправање со минимален попречување на потрошувачите со создавање синџир на добавување што е издржлив.

За да ја исполни оваа стратегија, Lenovo постојано ги проценува, ажурира и оптимизира сопствените синџири за добавување за да ги исполни потребите на потрошувачите и деловниот сектор.

  • Lenovo редовно врши ревизија на нашите добавувачи и продавачи за усогласеност, безбедност и финансиска добросостојба. За клучните компоненти, ќе се направи процена на потребата од повеќе добавувачи (или повеќе локации за добавувачите за производство).
  • Lenovo исто така внимателно и редовно ги следи внатрешните процеси, тестирањето и силата на нашите контроли.


Секоја околност што влијае врз нашата способност да се исполнат потребите на нашите потрошувачи мора да се следи, анализира и управува, па евентуално и да се ублажи. Со рана идентификација на проблемите, Lenovo може:

  1. Да ги приспособи синџирите на добавување за да се минимизира влијанието
  2. Да соработува со добавувачите за да се решат проблемите
  3. Да го замени добавувачот ако проблемот не може да се реши

Минимизирањето на ризикот за Lenovo и за неговите потрошувачи во синџирот на добавување е клучно.

Безбедно производство

За да се обезбеди локација за безбедно производство, потребно е следново:

  • Физичка безбедност: силните пракси и контролите управуваат со безбедноста на персоналот и физичките фабрики. Ова ги вклучува контролите за пристап и следењето на посетителите и доставите.
  • Процеси на безбедно производство: во областите за производство, процесите и контролите на производство се управуваат внимателно, додека големите компоненти и составените полупроизводи се следат електронски. Се врши инспекција на крајните производи, а потоа се тестираат за да се потврди дека ги исполнуваат барањата за безбедност, веродостојност и функционалност.
  • Безбедни слики од софтвер и дистрибуција на BIOS: слики за потрошувачите (т.е. претходна инсталација на ОС што го избрал потрошувачот и друг апликациски софтвер) и поставување на BIOS се чувствителни чекори во производствениот процес; Lenovo презема дополнителни мерки на претпазливост за нивна заштита од секаков вид надворешно влијание.

Безбедна логистика

Логистиката на Lenovo покрива пакување, испорака и достава. Откако ќе се изградат и тестираат нашите производи, тие се пакуваат и се подготвуваат за испорака со материјали против неовластено отворање, така што ќе може веднаш да се забележат какви било проблеми во рутата и веднаш да се истражат. По пакувањето, Lenovo соработува со квалификувани добавувачи на логистика за да ги достави безбедно производите до крајните потрошувачи. Заштитата во текот на процесот на испорака опфаќа безбедни установи, камиони и превози, како и темелно проверени вработени, посетители и возачи. Испораките се следат од моментот кога ги напуштаат зградите на Lenovo, па сѐ додека не ги прими потрошувачот.

Управување со животен циклус

Посветеност на Lenovo на безбедноста продолжува и по доставувањето на производите до потрошувачите. Оперативните системи и софтверот, чипсетовите, фирмверот и BIOS на апликациите може да имаат чести ажурирања од Lenovo, како и од неговите добавувачи на екосистем, вклучувајќи ги телефонските оператори.  Овие ажурирања може да бидат закажани подобрувања или може да се одговор на работата извршена од PSIRT за да се поправи слабост во безбедноста. без разлика на причината, Lenovo има воспоставено процеси за безбедно доставување на софтверски ажурирања и компоненти во текот на целиот животен век на производот, дури и во случаи кога добавувачите го прекинале производството на компонентите што се користат во системите на Lenovo. Ова ја создава потребата да се квалификуваат новите делови што може да се користат за сервис. Lenovo е посветен на наоѓање резервни делови од добавувачи во Списокот со доверливи добавувачи.

 
СПОДЕЛИ