Naš varnostni postopek

 

Oskrbovalna veriga izdelkov

Oskrbovalna veriga izdelkov družbe Lenovo je bila v zadnjih treh letih uvrščena na seznam najboljših 25, ki ga pripravlja podjetje Gartner. Igra namreč ključno vlogo pri razvoju, proizvodnji in dobavi naših izdelkov. Oskrbovalna veriga se začne pri bazi usposobljenih dobaviteljev, ki zagotavljajo kvalificirane in varne sestavne dele za uporabo pri razvoju in proizvodnji.

Ključnim sestavnim delom, ki se jih uporablja v velikih količinah, se sledi prek črtne kode ter se jih nato nadzira v zalogi dobavitelja in med postopkom sestavljanja, dokler jih ne prevzame družba Lenovo. Proizvodnja poteka v varnem in nadzorovanem okolju, ki vključuje varno infrastrukturo in varno omrežje. Dokončani izdelki so nato zapakirani v škatle in na palete z varnostnim pečatom. Pošiljkam se sledi od izvorne lokacije do stranke.

Spodnja shema prikazuje celotni življenjski cikel izdelka. Oskrbovalna veriga vključuje področji, označeni kot »dobavitelji« ter »proizvodnja in preskušanje v družbi Lenovo«.

Varnostne zahteve za izdelke

Primeri varnostnih zahtev:

  • – BIOS
  • – BIOS Guard
  • – Boot Guard
  • – Secure Boot
  • – Secure Flash (NIST) SP800-147
  • – itd.

* Zanesljivi sestavni deli strojne opreme

  • – Mikroprocesor Intel
  • – Nabor vezij Intel (mehanizem za upravljanje)
  • – TPM
  • – Bralnik prstnih odtisov
  • – itd.

* Proizvodne lokacije

  • * Možnosti prednaložene programske opreme
  • – Operacijski sistem Windows
  • – Slike, ki jih zagotovi stranka
  • – Šifriranje v mirovanju
  • – itd.
Razvoj v družbi Lenovo
Dobavitelji
Proizvodnja in preskušanje v družbi Lenovo
Stranke
Storitev

Del celote

Sistem za upravljanje

Pod nadzorom ekipe ODT (Offering Development Team)
(zajema celotni življenjski cikel izdelka)

Primer kontrol postopkov:

Varne stavbe (pisarne, laboratoriji, tovarne)

Varna omrežja

Nadzor programske opreme

BIOS/nadzor vdelane programske opreme

Upravljanje ključev

Seznam zanesljivih dobaviteljev

Postopek DCP (Decision Check Point)

Vodja ekipe ODT, zadolžen za:

1) zagotavljanje upoštevanja vseh postopkov;

2) zagotavljanje skladnosti z varnostnimi zahtevami prek članov ekipe ODT.

Varnostne zahteve za izdelke
Razvoj v družbi Lenovo
Dobavitelji
Proizvodnja in preskušanje v družbi Lenovo
Stranke
Storitev

Primeri varnostnih zahtev:

  • – BIOS
  • – BIOS Guard
  • – Boot Guard
  • – Secure Boot
  • – Secure Flash (NIST) SP800-147
  • – itd.

* Zanesljivi sestavni deli strojne opreme

  • – Mikroprocesor Intel
  • – Nabor vezij Intel (mehanizem za upravljanje)
  • – TPM
  • – Bralnik prstnih odtisov
  • – itd.

* Proizvodne lokacije

  • * Možnosti prednaložene programske opreme
  • – Operacijski sistem Windows
  • – Slike, ki jih zagotovi stranka
  • – Šifriranje v mirovanju
  • – itd.
Razvoj
Strojna oprema
Programska oprema
BIOS
Vdelana programska oprema
Oskrbovalna veriga
Distribucija
– Neposredno
– Partnerji
Prodajna orodja
Vračila
Popravila
Nadgradnje
Odstranjevanje
Storitev in podpora

Del celote

Sistem za upravljanje

Pod nadzorom ekipe ODT (Offering Development Team)
(zajema celotni življenjski cikel izdelka)

Primer kontrol postopkov:

Varne stavbe (pisarne, laboratoriji, tovarne)

Varna omrežja

Nadzor programske opreme

BIOS/nadzor vdelane programske opreme

Upravljanje ključev

Seznam zanesljivih dobaviteljev

Postopek DCP (Decision Check Point)

Vodja ekipe ODT, zadolžen za:

1) zagotavljanje upoštevanja vseh postopkov;

2) zagotavljanje skladnosti z varnostnimi zahtevami prek članov ekipe ODT.

Poleg tega so za podporo izdelku v celotnem življenjskem ciklu potrebni tehnični posegi. Ko je izdelek poslan, je običajno treba kvalificirati in zamenjati sestavne dele, ki se jim je iztekla življenjska doba (EOL), ter zagotoviti posodobitve BIOS/vdelane programske opreme z varnim postopkom. To je del splošnega upravljanje in podpore v življenjskem ciklu izdelka.

Postopki načrtovanja in razvoja izdelkov vključujejo številna področja življenjskega cikla izdelka. Postopki načrtovanja se začnejo z določanjem varnostnih zahtev ob začetku zasnove izdelkov, da se lahko uravnoteži potreba po varnosti in razpoložljivosti podatkov. Z nenehnimi pregledi in izboljšavami se stalno nadgrajujejo ključni postopki za varen razvoj, ki se uporabljajo pri oblikovanju in preskušanju izdelkov. Ko so varnostne zahteve zabeležene, ekipe za razvoj izdelkov družbe Lenovo sestavijo načrte za vgradnjo ustreznih funkcij v nove izdelke. V razvojni fazi je poudarek na naslednjem:

  • Razvoj in kvalifikacije
  • BIOS/vdelana programska oprema
  • Programska oprema

Upravljanje in nadzor dobaviteljev

Močna baza dobaviteljev v oskrbovalni verigi izdelkov – od proizvajalcev izvorne zasnove in opreme (ODM, OEM) do proizvajalcev delov ter dobaviteljev opreme BIOS in programske opreme – je ključnega pomena za uspeh vsakega proizvajalca tehnoloških naprav. Družba Lenovo je za zagotavljanje zgoraj omenjenega razvila postopek, s katerim preveri svoje ključne dobavitelje in jih vsako četrtletje oceni. Veliko dobaviteljev z družbo Lenovo sodeluj že več kot 20 let. Družba Lenovo natančno skrbi za te povezave, nove dobavitelje pa skrbno oceni.

Družba Lenovo je okrepila sodelovanje z dobavitelji prek programa zanesljivih dobaviteljev.  Cilj programa je upravljanje tveganj za stranke prek uvedbe varnostnega programa za oskrbovalno verigo, ki ga je mogoče dokumentirati in pregledovati, v celotni varnostni postopek za izdelke.  Program zanesljivih dobaviteljev se osredotoča na dobavitelje pametnih sestavnih delov, proizvajalce ODM in OEM ter ponudnike storitev za popravilo, ki lahko vplivajo na varnost stranke.

Pametni sestavni deli vključujejo:

  • vsak program programske opreme ali vdelane programske opreme na katerem koli mikroprocesorju,
  • mikroprocesor,
  • vsako polprevodno napravo, ki lahko obdeluje podatke,
  • vsak sestavni del ali napravo z vgrajenim pomnilnikom,
  • vsak sestavni del ali napravo, ki izvaja vhodno/izhodno funkcijo.

Družba Lenovo proaktivno in stalno pregleduje zahteve za dobavitelje, da smo lahko v koraku s trendi in ranljivostmi, ko – ali še preden – se pojavijo na tehnološkem tržišču.

Prizadevanja družbe Lenovo za zagotavljanje varnosti izdelkov in oskrbovalne verige je prepoznala družba Chain Security, LLC, ki je ena vodilnih družb za varnost v Združenih državah. Družba je do tega sklepa prišla po skoraj treh letih podrobnega proučevanja varnostnih postopkov, upravljanja družbe in programov dobaviteljev družbe Lenovo. Po tej analizi je družba Chain Security izdala 20-stransko potrdilo, v katerem podrobneje opisuje svoje delo z družbo Lenovo ter spremembe in izboljšave, ki jih je družba Lenovo uvedla v zadnjih dveh letih. Družba Chain Security je s tem sklenila, da je družba Lenovo z vidika teh varnostnih postopkov »najverjetneje vodilna na svojem področju«.

Če želite potrdilo prebrati v celoti, kliknite tukaj.

Upravljanje tveganj

Družba Lenovo se zanaša na globalno oskrbovalno verigo za pomoč pri oblikovanju, izgradnji in zagotavljanju tehnoloških rešitev, ki jim naše stranke lahko zaupajo. S strateškega vidika obstaja 5 ključnih področjih/korakov, ki jih sledimo pri upravljanju tveganj v oskrbovalni verigi:

  1. opredelitev morebitnih tveganj za oskrbovalno verigo;
  2. zaščita oskrbovalne verige družbe Lenovo s posebnimi kontrolami;
  3. zgodnje zaznavanje težav, ki omogoča več časa in možnosti za odziv;
  4. čim hitrejše odzivanje za ublažitev vseh možnih groženj in
  5. zagotavljanje obnove s čim manj motenj za stranke prek zasnove prožne oskrbovalne verige.

Z namenom izpolnjevanja te strategije in izpolnjevanja potreb strank in poslovanja družba Lenovo stalno skrbi za ocenjevanje, posodabljanje in optimizacijo sistemov oskrbovalne verige.

  • Družba Lenovo redno preverja skladnost, varnost in finančno stanje svojih dobaviteljev in prodajalcev. Za ključne sestavne dele bo izvedena ocena potrebe po več dobaviteljih (ali več proizvodnih obratih dobavitelja).
  • Družba Lenovo tudi skrbno nadzoruje notranje postopke in redno preskuša zanesljivost kontrol.


Vse situacije, ki vplivajo na to, da ne moremo izpolniti potreb strank, je treba spremljati, analizirati in upravljati – ter končno tudi ublažiti. Zgodnje odkrivanje težav družbi Lenovo omogoča:

  1. prilagoditev oskrbovalnih verig za zmanjšanje negativnega učinka;
  2. sodelovanje z dobavitelji z namenom razrešitve težave;
  3. zamenjavo dobavitelja v primeru nerazrešenih težav.

Zmanjševanje tveganj na ravni oskrbovalne verige je ključnega pomena tako za družbo Lenovo kot za njene stranke.

Varna proizvodnja

Za varen proizvodni obrat je potrebno naslednje:

  • Fizična varnost: zanesljive prakse in kontrole zagotavljajo varnost osebja in infrastrukture. To vključuje kontrole dostopa in spremljanje obiskovalcev in pošiljk.
  • Varni proizvodni postopki: na območju proizvodnje se skrbno upravlja proizvodne postopke in kontrole, poleg tega pa se elektronsko sledi tudi glavnim sestavnim delom in podsklopom. Končni izdelki so pregledani in preskušeni, s čimer se zagotovi njihova skladnost z zahtevami za varnost, zanesljivost in funkcionalnost.
  • Varno preslikovanje programske opreme in distribucija opreme BIOS: preslikovanje za stranko (tj. vnaprejšnja namestitev operacijskega sistema, ki ga je izbrala stranka, in druge programske opreme) in namestitev opreme BIOS uvrščamo med občutljive korake proizvodnega postopka; družba Lenovo zato še posebej skrbi, da prepreči kakršni koli zunanji poseg.

Varna logistika

Logistika družbe Lenovo zajema pakiranje, pošiljanje in dostavo. Ko so izdelki narejeni in preskušeni, so zapakirani in pripravljeni na pošiljanje v varnostni embalaži, ki že na poti omogoča takojšnje prepoznavanje kakršne koli težave in odziv nanjo. Po pakiranju družba Lenovo sodeluje z usposobljenimi ponudniki logističnih storitev, ki zagotovijo varno dostavo izdelkov končnemu uporabniku. Zaščita v celotnem postopku pošiljanja vključuje varno infrastrukturo, vozila in druge načine prevoza ter natančno preverjanje za zaposlene, obiskovalce in voznike. Pošiljkam se sledi od trenutka, ko zapustijo prostore družbe Lenovo, in do trenutka, ko jih stranka prevzame.

Upravljanje življenjskega cikla

Zaveza družbe Lenovo za zagotavljanje varnosti se nadaljuje tudi, ko stranka prevzame izdelek. Družba Lenovo in njeni partnerski dobavitelji (vključno s telefonskimi operaterji) zagotavljajo pogoste posodobitve operacijskega sistema, programske opreme, nabora vezij, vdelane programske opreme in opreme BIOS.  Te posodobitve so lahko načrtovane ali pa se izvedejo kot odziv na delo ekipe PSIRT za odpravo varnostne ranljivosti. Družba Lenovo ima ne glede na razlog vpeljane postopke za varno uvedbo posodobitev programske opreme in sestavnih delov v celotnem življenjskem ciklu izdelka, tudi če dobavitelji nehajo proizvajati sestavne dele, ki se uporabljajo v sistemih družbe Lenovo. Pri tem se ustvari potreba po kvalifikaciji novih delov, ki jih je mogoče uporabiti pri vzdrževalnih delih. Družba Lenovo je zavezana k dobavi nadomestnih delov od dobaviteljev, ki so na seznamu zanesljivih dobaviteljev.

 
DELI