การกำกับดูแล

 

การกำกับดูแลโปรแกรมความปลอดภัยของผลิตภัณฑ์

เพื่อเป็นการสนับสนุนโปรแกรมความปลอดภัยของผลิตภัณฑ์ Lenovo ได้นำระบบการกำกับดูแลมาปรับใช้โดยยึดหลักถ่วงดุลอำนาจ (Checks and Balances) เพื่อให้แน่ใจว่า ทุกฝ่ายที่เกี่ยวข้องในธุรกิจได้ทำตามกระบวนการและแนวทางปฏิบัติอย่างสอดคล้องกัน ระบบการกำกับดูแลนี้ช่วยให้แน่ใจว่าจะมีการประเมินความปลอดภัยในกระบวนการพัฒนาผลิตภัณฑ์และวงจรชีวิตซัพพลายเชน คุณสามารถดูรายชื่อระบบการกำกับดูแลที่ใช้ได้ในเอกสารการกำกับดูแลความปลอดภัยของผลิตภัณฑ์ Lenovo ดังที่แสดงด้านล่าง

นโยบายความปลอดภัยของผลิตภัณฑ์ของบริษัท

(ส่งเสริมความปลอดภัยของผลิตภัณฑ์และให้สิทธิ์แก่เจ้าหน้าที่ CPSO)

เอกสารโปรแกรมความปลอดภัยของผลิตภัณฑ์

(ระบุตัว CPSO, แนะนำให้รู้จักกับฝ่าย Product Security Office และแนวคิดในการดำเนินงาน)

โปรแกรม มาตรฐาน และกระบวนการเฉพาะ

โปรแกรมการฝึกอบรมเรื่องความปลอดภัยของผลิตภัณฑ์

ซัพพลายเชน - Trusted Supplier Program

โปรแกรมความปลอดภัยของซอฟต์แวร์

ข้อกำหนดและมาตรฐานด้านความปลอดภัย

แนวทางการพัฒนาผลิตภัณฑ์

(สถาปัตยกรรม การออกแบบ และการทดสอบ)

การประเมินความปลอดภัย

กระบวนการกำกับดูแลทีมผลิตภัณฑ์

กระบวนการ PSIRT

นโยบายความปลอดภัยของผลิตภัณฑ์ของบริษัท

(ส่งเสริมความปลอดภัยของผลิตภัณฑ์และให้สิทธิ์แก่เจ้าหน้าที่ CPSO)

เอกสารโปรแกรมความปลอดภัยของผลิตภัณฑ์

(ระบุตัว CPSO, แนะนำให้รู้จักกับฝ่าย Product Security Office และแนวคิดในการดำเนินงาน)

โปรแกรม มาตรฐาน และกระบวนการเฉพาะ

โปรแกรมการฝึกอบรมเรื่องความปลอดภัยของผลิตภัณฑ์

ซัพพลายเชน - Trusted Supplier Program

โปรแกรมความปลอดภัยของซอฟต์แวร์

ข้อกำหนดและมาตรฐานด้านความปลอดภัย

แนวทางการพัฒนาผลิตภัณฑ์

(สถาปัตยกรรม การออกแบบ และการทดสอบ)

การประเมินความปลอดภัย

กระบวนการกำกับดูแลทีมผลิตภัณฑ์

กระบวนการ PSIRT

เอกสารนโยบายได้รับการลงนามโดยซีอีโอ โดยเน้นย้ำความสำคัญในความปลอดภัยของผลิตภัณฑ์ให้กับพนักงานทุกคน เอกสารโปรแกรมออกโดยหัวหน้าฝ่าย Product Security Office (CPSO) ซึ่งจะแนะนำเกี่ยวกับงานที่ใช้กระบวนการความปลอดภัยของผลิตภัณฑ์ สุดท้ายคือเอกสารโปรแกรม มาตรฐาน และกระบวนการเกี่ยวกับการทำงานบางอย่าง

เพื่อให้แน่ใจถึงประสิทธิภาพของกระบวนการกำกับดูแล จึงมีการพัฒนาหลักสูตรการฝึกอบรมเพื่อให้ความรู้และความเข้าใจแก่พนักงานเกี่ยวกับแนวทางของ Lenovo ในการสร้างความปลอดภัยให้กับผลิตภัณฑ์ หลักสูตรเริ่มต้นด้วยความเข้าใจเบื้องต้นเกี่ยวกับแนวคิดด้านความปลอดภัยของผลิตภัณฑ์ โดยแบ่งออกเป็น 3 ระดับ พร้อมกับออกใบรับรองให้เมื่อเรียนจบแต่ละระดับ ได้แก่ Security Basics, Software Security Associate และ Professional หลักสูตรสามารถปรับแต่งให้สอดคล้องกับความต้องการของพนักงานแต่ละคนได้ โดยขึ้นอยู่กับหน้าที่รับผิดชอบที่พนักงานได้รับ Security Basics เป็นหลักสูตรที่ทุกคนเข้าร่วมได้เพื่อจะได้เข้าใจเกี่ยวกับความปลอดภัยของผลิตภัณฑ์มากขึ้น ส่วนระดับ Associate และ Professional เหมาะกับผู้ที่มีพื้นฐานด้านซอฟต์แวร์มาก่อน และนำไปสู่แนวคิดการออกแบบซอฟต์แวร์ที่ปลอดภัยในระดับสูงมากขึ้น มีหลักสูตรอื่นๆ นอกจากนี้ให้ศึกษาเพิ่มเติมอีก

Lenovo มอบหน้าที่ในการรักษาความปลอดภัยของผลิตภัณฑ์และซัพพลายเชนให้กับ Chain Security, LLC ซึ่งเป็นหนึ่งในบริษัทรักษาความปลอดภัยชั้นนำของสหรัฐฯ เราได้ข้อสรุปเรื่องนี้หลังจากทำการศึกษาอย่างละเอียดร่วม 3 ปีในกระบวนการด้านความปลอดภัย การกำกับดูแลกิจการ และโปรแกรมซัพพลายเออร์ของ Lenovo ผลลัพธ์จากการวิเคราะห์นี้คือหนังสือรับรอง 20 หน้าที่ Chain Security ระบุรายละเอียดการทำงานร่วมกับ Lenovo การปรับปรุงและเปลี่ยนแปลงที่ Lenovo ทำในช่วงที่มีการศึกษาวิเคราะห์ และข้อสรุปของ Chain Security ที่ว่า Lenovo “เป็นผู้นำของอุตสาหกรรมนี้ ในแง่ของกระบวนการด้านความปลอดภัย”

อ่านเอกสารฉบับเต็มได้โดยคลิกที่นี่

คุณสามารถสอบถามเกี่ยวกับการปรับใช้กระบวนการเหล่านี้ได้ที่ Product Security Office

แชร์