Upravljanje

 

Upravljanje programom za bezbednost proizvoda

Kompanija Lenovo je implementirala sistem upravljanja koji podržava program za bezbednost proizvoda koji se sastoji od kontrola i upoređivanja kojima se obezbeđuje dosledno praćenje procesa i praksi u celoj kompaniji. Ovaj sistem upravljanja uspostavlja kontrolu da bi se obezbedilo da revizije bezbednosti budu deo procesa razvoja proizvoda i životnog ciklusa lanca snabdevanja. Ovaj sistem je opisan u dokumentaciji o upravljanju bezbednošću proizvoda kompanije Lenovo, navedenoj u nastavku:

Korporativne smernice za bezbednost proizvoda

(Promoviše bezbednost proizvoda i uvodi položaj CPSO)

Dokument o programu za bezbednost proizvoda

(Identifikuje CPSO, uvodi Product Security Office i kancelariju za inicijative)

Specifični programi, standardi i procesi

Program obuke za bezbednost proizvoda

Lanac snabdevanja – program Trusted Supplier

Program za bezbednost softvera

Bezbednosni zahtevi i standardi

Smernice za razvoj

(arhitektura, projektovanje i testiranje)

Revizije bezbednosti

Proces upravljanja proizvodnim timom

PSIRT proces

Korporativne smernice za bezbednost proizvoda

(Promoviše bezbednost proizvoda i uvodi položaj CPSO)

Dokument o programu za bezbednost proizvoda

(Identifikuje CPSO, uvodi Product Security Office i kancelariju za inicijative)

Specifični programi, standardi i procesi

Program obuke za bezbednost proizvoda

Lanac snabdevanja – program Trusted Supplier

Program za bezbednost softvera

Bezbednosni zahtevi i standardi

Smernice za razvoj

(arhitektura, projektovanje i testiranje)

Revizije bezbednosti

Proces upravljanja proizvodnim timom

PSIRT proces

Dokument o smernicama je potpisao generalni direktor i u njemu se naglašava važnost bezbednosti proizvoda za sve zaposlene. Dokument o smernicama je sastavio generalni direktor odeljenja za sigurnost proizvoda (Chief Product Security Officer, CPSO), a u njemu je predstavljen rad na implementaciji procesa za bezbednost proizvoda. Najzad imamo stvarne dokumente o programu, standardima i procesu koji su u vezi sa specifičnim poslom koji se obavlja.

Da bi se obezbedila efikasnost procesa upravljanja, razvijen je nastavni plan obuke za edukaciju i proširivanje razumevanja i znanja zaposlenih o pristupu kompanije Lenovo pitanjima u vezi sa bezbednošću proizvoda. Nastavni plan i program započinje prikazom osnovnih znanja o konceptima bezbednosti proizvoda i sastoji se od tri nivoa, pri čemu se na kraju svakog nivoa znanje o njemu potvrđuje sertifikatom: Security Basics, Software Security Associate i Professional. Ovaj nastavni plan i program se može prilagoditi potrebama svakog zaposlenog, u zavisnosti od njegovog položaja u kompaniji. Security Basics su kursevi koje svako može da pohađa da bi stekao dobro znanje o bezbednosti proizvoda. Nivoi Associate i Professional su namenjeni onima koji poznaju softver i pružaju znanja o naprednim konceptima za projektovanje bezbednih softvera. Pored ovih, dostupni su i dodatni kursevi za dodatno usavršavanje.

Kompanija Chain Security, LLC, jedna od vodećih kompanija za bezbednost u SAD, prepoznala je napore koje kompanija Lenovo ulaže da osigura bezbednost svojih proizvoda i lanca snabdevanja. Ovaj zaključak je donet nakon gotovo tri godine detaljnog proučavanja procesa vezanih za bezbednost u kompaniji Lenovo, korporativnog upravljanja i programa dobavljača. Rezultat ove analize je sertifikat na 20 stranica u kojem kompanija Chain Security iznosi detalje o svom radu sa kompanijom Lenovo, promenama i poboljšanjima koje je kompanija Lenovo implementirala tokom ovog proučavanja i zaključak kompanije Chain Security da je kompanija Lenovo verovatno ispred drugih kompanija u svom sektoru u pogledu ovih bezbednosnih procesa.

Da biste pročitali ceo sertifikat, kliknite ovde.

Pitanja u vezi sa implementacijom ovih procesa možete da uputite kancelariji Product Security Office.

DELI