Procesul nostru de securitate

 

Lanțul de aprovizionare cu produse

Lanțul de aprovizionare al companiei Lenovo a fost recunoscut în ultimii trei ani în Top 25 Gartner. Acesta joacă un rol esențial în dezvoltarea, producția și livrarea produselor noastre. Lanțul de aprovizionare începe cu gestionarea și controlul unei baze de furnizori calificate, care furnizează componente calificate și sigure pentru utilizarea în dezvoltare și producție.

Componentele esențiale, cu volum mare, sunt monitorizate prin intermediul codurilor de bare și sunt controlate la furnizor și în procesul de asamblare până la primirea de către Lenovo. Producția are loc într-un mediu securizat, controlat, care include o facilitate fizică securizată și o rețea securizată. Produsele finalizate sunt apoi ambalate cu sigilii pentru cutii și paleți. Transporturile sunt apoi monitorizate de la origine până la livrarea către client.

Diagrama de mai jos prezintă ciclul de viață complet al produsului. Lanțul de aprovizionare include zonele identificate ca Furnizori și Producție și Testare Lenovo.

Cerințe pentru securitatea produselor

Exemple de cerințe de securitate:

  • - BIOS
  • - BIOS Guard
  • - Boot Guard
  • - Secure Boot
  • - Secure Flash (NIST) SP800-147
  • - etc.

* Componente hardware de încredere

  • - Microprocesor Intel
  • - Chipset Intel (Motor Mgmnt)
  • - TPM
  • - Cititor de amprente
  • - etc.

* Locații de producție

  • * Opțiuni preîncărcare software
  • - Sisteme de operare Windows
  • - Imagini furnizate de clienți
  • - Criptare în repaus
  • - etc.
Dezvoltare Lenovo
Furnizori
Producție și testare Lenovo
Clienți
Service

Parte din total

Sistem de management

Sub controlul Offering Development Team (ODT)
(cuprinde întreaga durată de viață a produsului)

Exemple de mijloace de control al procesului:

Clădiri securizate (birouri, laboratoare, mfg)

Rețele securizate

Control software

Control BIOS/Firmware

Management cheie

Listă de furnizori de încredere

Proces Decision Check Point (DCP)

ODTL responsabilă pentru:

1) Respectarea tuturor proceselor

2) Implementarea conformității de securitate prin membrii ODT

Cerințe pentru securitatea produselor
Dezvoltare Lenovo
Furnizori
Producție și testare Lenovo
Clienți
Service

Exemple de cerințe de securitate:

  • - BIOS
  • - BIOS Guard
  • - Boot Guard
  • - Secure Boot
  • - Secure Flash (NIST) SP800-147
  • - etc.

* Componente hardware de încredere

  • - Microprocesor Intel
  • - Chipset Intel (Motor Mgmnt)
  • - TPM
  • - Cititor de amprente
  • - etc.

* Locații de producție

  • * Opțiuni preîncărcare software
  • - Sisteme de operare Windows
  • - Imagini furnizate de clienți
  • - Criptare în repaus
  • - etc.
Dezvoltare
Hardware
Software
BIOS
Firmware
Lanț de aprovizionare
Distribuție
- Directă
- Parteneri
Instrumente de vânzări
Retururi
Reparații
Upgrade-uri
Eliminare
Service și asistență

Parte din total

Sistem de management

Sub controlul Offering Development Team (ODT)
(cuprinde întreaga durată de viață a produsului)

Exemple de mijloace de control al procesului:

Clădiri securizate (birouri, laboratoare, mfg)

Rețele securizate

Control software

Control BIOS/Firmware

Management cheie

Listă de furnizori de încredere

Proces Decision Check Point (DCP)

ODTL responsabilă pentru:

1) Respectarea tuturor proceselor

2) Implementarea conformității de securitate prin membrii ODT

În plus, sunt necesare lucrări tehnice pentru a sprijini produsul pe toată durata de viață. După ce produsul este expediat, de obicei există o necesitate de a califica componentelor pentru a înlocui piesele la final de ciclu de viață (EOL), precum și de a furniza actualizări de BIOS/firmware printr-un proces securizat. Acestea fac parte din procesul complet de management și asistență în ciclul de viață al produsului.

Planificarea și dezvoltarea produsului implică numeroase aspecte pe durata ciclului de viață al produsului. Planificarea activității începe prin definirea cerințelor de securitate atunci când produsele sunt concepute prima dată pentru a echilibra necesitățile securității și disponibilitatea datelor. Există lucrări în curs de desfășurare, pentru a include evaluarea continuă și îmbunătățirea proceselor esențiale de dezvoltare securizată prin care produsele sunt proiectate și testate. După ce cerințele de securitate sunt documentate, echipele Lenovo de dezvoltare a produselor stabilesc planuri pentru încorporarea caracteristicilor corespunzătoare în noile produse. Faza de dezvoltare se concentrează asupra următoarelor aspecte:

  • Dezvoltare și calificări
  • BIOS/Firmware
  • Software

Managementul și controlul furnizorilor

O bază de furnizori solidă în lanțul de aprovizionare cu produse – inclusiv ODM, OEM, producători de componente, furnizori de BIOS și software – este esențială pentru succesul oricărui producător de dispozitive tehnologice. Pentru a asigura acest lucru, Lenovo are un proces pentru calificarea furnizorilor de bază și pentru evaluarea formală trimestrială a acestora. Numeroși furnizori ai companiei sunt parteneri Lenovo de peste 20 de ani. Aceste relații sunt gestionate cu atenție și furnizorii noi sunt evaluați în detaliu.

Lenovo a îmbunătățit relațiile cu furnizorii prin Trusted Supplier Program.  Obiectivul programului este gestionarea riscurilor clienților prin implementarea unui program de securitate pentru lanțul de aprovizionare, care poate fi documentat și verificat ca o singură parte din procesul total de securitate a produselor.  Trusted Supplier Program se concentrează asupra furnizorilor de componente inteligente, ODM, OEM și furnizorilor de servicii de reparații, care ar putea afecta securitatea clienților.

Printre componentele inteligente se numără:

  • Orice program de software sau firmware de pe orice microprocesor,
  • Microprocesorul în sine,
  • Orice dispozitiv cu semiconductori care are capacitate de procesare a datelor,
  • Orice componentă sau dispozitiv care are memorie internă,
  • Orice componentă sau dispozitiv care are funcție de intrare/ieșire

Lenovo evaluează proactiv și continuu cerințele de aprovizionare pentru a se asigura că este la curent sau cu un pas înaintea tendințelor și vulnerabilităților, pe măsură ce apar pe piața de tehnologie.

Eforturile Lenovo de a asigura securitatea produselor sale și a lanțului de aprovizionare au fost recunoscute de Chain Security, LLC, una dintre cele mai importante firme de securitate din Statele Unite. Această concluzie a fost trasă după aproape trei ani de studiu detaliat al proceselor securitate, administrării corporative și programelor pentru furnizori ale companiei Lenovo. Rezultatul acestei analize este prezentat într-o Scrisoare de atestare de 20 de pagini în care Chain Security descrie colaborarea cu Lenovo, modificările și îmbunătățirile realizate de Lenovo în ultimii doi ani și concluzia Chain Security conform căreia Lenovo “depășește standardele din domeniu” în ceea ce privește de procesele de securitate.

Pentru a citi scrisoarea completă, faceți clic aici.

Managementul riscurilor

Lenovo se bazează pe lanțul său de aprovizionare global pentru a proiecta, crea și livra soluții tehnologice în care clienții noștri pot avea încredere. Din punct de vedere strategic, există cinci aspecte/etape cheie pe care le parcurgem atunci când gestionăm riscurile din lanțul de aprovizionare:

  1. Identificarea riscurilor potențiale pentru lanțul de aprovizionare;
  2. Protejarea lanțului de aprovizionare Lenovo cu mijloace de control speciale;
  3. Detectarea timpurie a problemelor, care oferă mai mult timp și mai multe opțiuni pentru a răspunde;
  4. Răspunsul cât mai rapid pentru contracararea amenințărilor și
  5. Recuperarea cu întreruperi minime pentru clienți prin proiectarea unui lanț de aprovizionare robust.

Pentru a pune această strategie în practică, Lenovo evaluează, actualizează și optimizează constant sistemele din lanțul de aprovizionare, pentru a satisface necesitățile clienților și companiilor.

  • Lenovo auditează în mod regulat furnizorii pentru a evalua conformitatea, securitatea și situația financiară. Pentru componentele esențiale, va fi evaluată nevoia de mai mulți furnizori (sau de mai multe unități de producție ale unui furnizor).
  • Lenovo monitorizează, de asemenea, îndeaproape procesele interne, testând rezistența mijloacelor de control în mod regulat.


Orice circumstanțe care afectează capacitatea noastră de a satisface necesitățile clienților trebuie monitorizate, analizate și gestionate și, eventual, contracarate. Prin identificarea timpurie a problemelor, Lenovo poate:

  1. Să ajusteze lanțurile de aprovizionare pentru a minimiza impactul
  2. Să colaboreze cu furnizorii pentru a rezolva problemele
  3. Să înlocuiască furnizorul dacă problemele rămân nerezolvate

Minimizarea riscurilor pentru Lenovo și clienții săi din lanțul de aprovizionare este esențială.

Producție sigură

O unitate de producție sigură necesită următoarele elemente:

  • Securitate fizică: practici și mijloace de control solide, care gestionează securitatea personalului și a fabricilor. Sunt incluse aici mijloacele de control al accesului și monitorizarea vizitatorilor și livrărilor.
  • Procese de producție sigure: în interiorul zonelor de producție, procesele și mijloacele de control al producției sunt gestionate îndeaproape, în timp ce componentele și subansamblurile majore sunt monitorizate electronic. Produsele finale sunt inspectate, apoi sunt testate pentru a se confirma că îndeplinesc cerințele de securitate, fiabilitate și funcționalitate.
  • Crearea de imagini de software și distribuția de BIOS securizate: crearea de imagini pentru clienți (și anume preinstalarea sistemului de operare selectat de client și a altor programe software) și configurarea BIOS sunt etape importante în procesul de producție; Lenovo își ia măsuri de precauție suplimentare pentru a le proteja de orice acțiuni din exterior.

Logistică sigură

Sistem logistic Lenovo acoperă ambalarea, transportul și livrarea. După ce produsele sunt construite și testate, sunt ambalate și pregătit pentru expediere în materiale sigilate, astfel încât problemele să poată fi observate imediat și incidentul să fie investigat. După ambalare, Lenovo lucrează cu furnizori de logistică calificați pentru a livra în siguranță produsele clienților finali. Protecția în procesul de expediere include unități, camioane și mijloace de transport securizate și angajați, vizitatori și șoferi verificați în detaliu. Transporturile sunt monitorizate din momentul în care părăsesc clădirile Lenovo până când sunt recepționate de clienți.

Managementul ciclului de viață

Dedicarea companiei Lenovo față de securitate continuă mult timp după ce produsele sunt livrate clienților. Sistemele de operare și programele software, chipseturile, firmware-ul și BIOS-ul pot primi actualizări frecvente de la Lenovo, precum și de la furnizorii din ecosistemul nostru, inclusiv furnizorii de telefonie mobilă.  Aceste actualizări pot reprezenta îmbunătățiri planificate sau pot răspunde la eforturile PSIRT de a remedia o vulnerabilitate de securitate. Indiferent de motiv, Lenovo are procese implementate pentru furnizarea securizată de actualizări și componente software pe toată durata de viață a produsului, chiar și în situațiile în care furnizorii au încheiat producția de componente utilizate în sistemele Lenovo. Acest lucru creează necesitatea de a califica noi piese, care pot fi utilizate pentru service. Lenovo este dedicată obținerii de piese de schimb de la furnizorii de pe Lista de furnizori de încredere.

 
DISTRIBUIRE