กระบวนการด้านความปลอดภัยของเรา

 

ซัพพลายเชนผลิตภัณฑ์

งานด้านซัพพลายเชนผลิตภัณฑ์ของ Lenovo ติด 25 อันดับแรกในการจัดอันดับของ Gartner ในช่วง 3 ปีที่ผ่านมา งานด้านนี้มีบทบาทสำคัญอย่างยิ่งต่อการพัฒนา ผลิต และจัดส่งผลิตภัณฑ์ของเรา งานซัพพลายเชนเริ่มต้นด้วยการจัดการและควบคุมฐานซัพพลายเออร์ที่มีคุณสมบัติเข้าเกณฑ์ ซึ่งเป็นผู้จัดหาส่วนประกอบที่ได้คุณภาพและปลอดภัยสำหรับใช้ในการพัฒนาและผลิตสินค้า

มีการใช้ระบบบาร์โค้ดเพื่อติดตามชิ้นส่วนผลิตภัณฑ์จำนวนมหาศาล พร้อมทั้งมีมาตรการควบคุมระหว่างที่อยู่ในคลังสินค้าและกระบวนการประกอบของซัพพลายเออร์จนกระทั่งถึงมือ Lenovo ขั้นตอนการผลิตดำเนินการในสภาพแวดล้อมที่ปลอดภัยและได้รับการควบคุม ซึ่งรวมถึงตัวอาคารที่แข็งแรงและเครือข่ายที่ปลอดภัย ผลิตภัณฑ์จะได้รับการบรรจุในกล่องและพาเลทพร้อมซีลป้องกันการแกะ จากนั้นจึงจัดส่งโดยมีระบบติดตามตั้งแต่ต้นทางจนถึงมือลูกค้า

แผนภาพด้านล่างนี้แสดงให้เห็นวงจรชีวิตผลิตภัณฑ์โดยสมบูรณ์ งานด้านซัพพลายเออร์จะเกี่ยวข้องกับฝ่ายต่างๆ เช่น ฝ่ายซัพพลายเออร์ และฝ่ายการผลิตและทดสอบของ Lenovo

ข้อกำหนดด้านความปลอดภัยของผลิตภัณฑ์

ตัวอย่างข้อกำหนดด้านความปลอดภัย:

  • - BIOS
  • - ระบบป้องกัน BIOS (BIOS Guard)
  • - ระบบป้องกันการบูต (Boot Guard)
  • - ระบบการบูตแบบปลอดภัย (Secure Boot)
  • - ระบบการแฟลชแบบปลอดภัย (Secure Flash) (NIST) SP800-147
  • - อื่นๆ...

* ส่วนประกอบฮาร์ดแวร์ที่เชื่อถือได้

  • - ไมโครโปรเซสเซอร์ Intel
  • - ชิปเซ็ต Intel (Mgmnt Engine)
  • - TPM
  • - เครื่องสแกนลายนิ้วมือ
  • - อื่นๆ...

* สถานที่ผลิต

  • * ตัวเลือกซอฟต์แวร์ที่ติดตั้งมาพร้อมเครื่อง
  • - ระบบปฏิบัติการ Windows
  • - ไฟล์อิมเมจที่ได้จากลูกค้า
  • - การเข้ารหัสข้อมูลที่ไม่ได้ใช้งานอยู่ (Encryption-at-rest)
  • - อื่นๆ...
ฝ่ายพัฒนาผลิตภัณฑ์ของ Lenovo
ซัพพลายเออร์
ฝ่ายผลิตและทดสอบของ Lenovo
ลูกค้า
บริการ

ส่วนหนึ่งของกระบวนการทั้งหมด

ระบบการจัดการ

อยู่ภายใต้การดูแลของทีม Offering Development Team (ODT)
(ตลอดช่วงวงจรชีวิตผลิตภัณฑ์)

ตัวอย่างของการควบคุมกระบวนการ:

สร้างความปลอดภัยให้กับอาคาร (สำนักงาน ห้องทดลอง พื้นที่การผลิต)

สร้างความปลอดภัยให้กับเครือข่าย

ระบบควบคุมซอฟต์แวร์

ระบบควบคุม BIOS/เฟิร์มแวร์

การจัดการคีย์ (Key Management)

รายชื่อซัพพลายเออร์ที่เชื่อถือได้

รายการตรวจสอบก่อนตัดสินใจ (DCP)

ODTL มีหน้าที่รับผิดชอบดังนี้

1) ตรวจสอบว่ามีการปฏิบัติตามกระบวนการทั้งหมด

2) กำกับดูแลการปฏิบัติตามแนวทางเพื่อความปลอดภัยโดยอาศัยความร่วมมือของสมาชิก ODT

ข้อกำหนดด้านความปลอดภัยของผลิตภัณฑ์
ฝ่ายพัฒนาผลิตภัณฑ์ของ Lenovo
ซัพพลายเออร์
ฝ่ายผลิตและทดสอบของ Lenovo
ลูกค้า
บริการ

ตัวอย่างข้อกำหนดด้านความปลอดภัย:

  • - BIOS
  • - ระบบป้องกัน BIOS (BIOS Guard)
  • - ระบบป้องกันการบูต (Boot Guard)
  • - ระบบการบูตแบบปลอดภัย (Secure Boot)
  • - ระบบการแฟลชแบบปลอดภัย (Secure Flash) (NIST) SP800-147
  • - อื่นๆ...

* ส่วนประกอบฮาร์ดแวร์ที่เชื่อถือได้

  • - ไมโครโปรเซสเซอร์ Intel
  • - ชิปเซ็ต Intel (Mgmnt Engine)
  • - TPM
  • - เครื่องสแกนลายนิ้วมือ
  • - อื่นๆ...

* สถานที่ผลิต

  • * ตัวเลือกซอฟต์แวร์ที่ติดตั้งมาพร้อมเครื่อง
  • - ระบบปฏิบัติการ Windows
  • - ไฟล์อิมเมจที่ได้จากลูกค้า
  • - การเข้ารหัสข้อมูลที่ไม่ได้ใช้งานอยู่ (Encryption-at-rest)
  • - อื่นๆ...
ฝ่ายพัฒนาผลิตภัณฑ์
ฮาร์ดแวร์
ซอฟต์แวร์
BIOS
เฟิร์มแวร์
ซัพพลายเชน
การจัดจำหน่าย
- โดยตรง
- ผ่านคู่ค้า
เครื่องมือฝ่ายขาย
คืนสินค้า
ซ่อม
อัปเกรด
กำจัด
บริการและการสนับสนุน

ส่วนหนึ่งของกระบวนการทั้งหมด

ระบบการจัดการ

อยู่ภายใต้การดูแลของทีม Offering Development Team (ODT)
(ตลอดช่วงวงจรชีวิตผลิตภัณฑ์)

ตัวอย่างของการควบคุมกระบวนการ:

สร้างความปลอดภัยให้กับอาคาร (สำนักงาน ห้องทดลอง พื้นที่การผลิต)

สร้างความปลอดภัยให้กับเครือข่าย

ระบบควบคุมซอฟต์แวร์

ระบบควบคุม BIOS/เฟิร์มแวร์

การจัดการคีย์ (Key Management)

รายชื่อซัพพลายเออร์ที่เชื่อถือได้

รายการตรวจสอบก่อนตัดสินใจ (DCP)

ODTL มีหน้าที่รับผิดชอบดังนี้

1) ตรวจสอบว่ามีการปฏิบัติตามกระบวนการทั้งหมด

2) กำกับดูแลการปฏิบัติตามแนวทางเพื่อความปลอดภัยโดยอาศัยความร่วมมือของสมาชิก ODT

นอกจากนี้ ยังต้องมีงานด้านเทคนิคเพื่อสนับสนุนการใช้งานผลิตภัณฑ์ตลอดช่วงวงจรชีวิต เมื่อจัดส่งผลิตภัณฑ์ มักจะต้องมีการคัดส่วนประกอบที่จะนำไปเปลี่ยนทดแทนชิ้นส่วนตกรุ่น (EOL) รวมทั้งทำการอัปเดต BIOS/เฟิร์มแวร์ผ่านกระบวนการที่ปลอดภัย งานเหล่านี้เป็นส่วนหนึ่งของงานทั้งหมดที่รับผิดชอบโดยฝ่ายการจัดการและสนับสนุนวงจรชีวิตผลิตภัณฑ์ (Life Cycle Management and Support)

ฝ่ายวางแผนและพัฒนาผลิตภัณฑ์ (Product Planning and Development)มีหน้าที่เกี่ยวข้องหลายส่วนตลอดช่วงวงจรชีวิตผลิตภัณฑ์ กิจกรรมการวางแผนจะเริ่มต้นด้วยการระบุข้อกำหนดด้านความปลอดภัยตั้งแต่แรกที่ผลิตภัณฑ์ผลิตเสร็จ เพื่อหาสมดุลระหว่างความปลอดภัยและความพร้อมใช้งานของข้อมูล งานด้านการปรับปรุง (Enhancement) คือกระบวนการที่ประกอบด้วยการประเมินและปรับปรุงอย่างต่อเนื่องเพื่อให้ได้การพัฒนาผลิตภัณฑ์ที่ปลอดภัยสูงสุด โดยรวมถึงการออกแบบและทดสอบผลิตภัณฑ์รูปแบบต่างๆ เมื่อจัดทำข้อกำหนดด้านความปลอดภัยในรูปแบบเอกสารแล้ว ทีมฝ่ายพัฒนาผลิตภัณฑ์ของ Lenovo จะจัดทำแผนเพื่อรวมคุณลักษณะที่เหมาะสมไว้ในผลิตภัณฑ์ใหม่ ขั้นตอนการพัฒนาจะมุ่งเน้นในเรื่องต่อไปนี้

  • การพัฒนาและการประเมินคุณสมบัติ
  • BIOS/เฟิร์มแวร์
  • ซอฟต์แวร์

การจัดการและควบคุมซัพพลายเออร์

สำหรับงานด้านซัพพลายเชนผลิตภัณฑ์ การมีฐานซัพพลายเออร์ที่ดี เช่น ODM, OEM, ผู้ผลิตส่วนประกอบ, BIOS และผู้ให้บริการซอฟต์แวร์ ถือเป็นปัจจัยสำคัญต่อความสำเร็จของผู้ผลิตอุปกรณ์ด้านเทคโนโลยีทุกราย เพื่อช่วยให้เรื่องนี้ Lenovo จึงมีกระบวนการตรวจสอบคุณสมบัติของซัพพลายเออร์หลัก จากนั้นจึงประเมินซัพพลายเออร์เหล่านั้นอย่างเป็นทางการทุกไตรมาส ซัพพลายเออร์หลายรายเป็นคู่ค้ากับ Lenovo มากว่า 20 ปี ความสัมพันธ์นี้ได้รับการดูแลอย่างดี และมีการประเมินซัพพลายเออร์รายใหม่อย่างถี่ถ้วน

Lenovo ได้ปรับปรุงความสัมพันธ์กับซัพพลายเออร์ผ่านทาง Trusted Supplier Program  โปรแกรมนี้มีเป้าหมายเพื่อบริหารจัดการความเสี่ยงของลูกค้า โดยจะปรับใช้โปรแกรมความปลอดภัยของซัพพลายเชนที่เป็นลายลักษณ์อักษรและประเมินได้ในฐานะส่วนหนึ่งของกระบวนการด้านความปลอดภัยทั้งหมดของผลิตภัณฑ์  Trusted Supplier Program มุ่งเน้นซัพพลายเออร์ที่จัดหาส่วนประกอบในอุปกรณ์อัจฉริยะ, ODM, OEM และผู้ให้บริการงานซ่อมที่อาจส่งผลต่อความปลอดภัยของลูกค้าได้

ส่วนประกอบในอุปกรณ์อัจฉริยะ ได้แก่

  • โปรแกรมซอฟต์แวร์หรือเฟิร์มแวร์ในไมโครโปรเซสเซอร์ทุกตัว
  • ตัวไมโครโปรเซสเซอร์เอง
  • อุปกรณ์สารกึ่งตัวนำที่สามารถประมวลผลข้อมูลได้
  • ส่วนประกอบหรืออุปกรณ์ทุกชนิดที่มีหน่วยความจำภายใน
  • ส่วนประกอบหรืออุปกรณ์ทุกชนิดที่ทำหน้าที่รับส่งข้อมูลขาเข้า/ขาออก

Lenovo ประเมินข้อกำหนดในการจัดหาส่วนประกอบเหล่านี้อย่างต่อเนื่องในเชิงรุก เพื่อให้แน่ใจว่าจะสามารถตามทันหรือล้ำหน้าเทรนด์และช่องโหว่ต่างๆ ที่อาจพบในตลาดเทคโนโลยีปัจจุบัน

Lenovo มอบหน้าที่ในการรักษาความปลอดภัยของผลิตภัณฑ์และซัพพลายเชนให้กับ Chain Security, LLC ซึ่งเป็นหนึ่งในบริษัทรักษาความปลอดภัยชั้นนำของสหรัฐฯ เราได้ข้อสรุปเรื่องนี้หลังจากทำการศึกษาอย่างละเอียดร่วม 3 ปีในกระบวนการด้านความปลอดภัย การกำกับดูแลกิจการ และโปรแกรมซัพพลายเออร์ของ Lenovo ผลลัพธ์จากการวิเคราะห์นี้คือหนังสือรับรอง 20 หน้าที่ Chain Security ระบุรายละเอียดการทำงานร่วมกับ Lenovo การปรับปรุงและเปลี่ยนแปลงที่ Lenovo ทำในช่วง 2 ปีที่ผ่านมา และข้อสรุปของ Chain Security ที่ว่า Lenovo “เป็นผู้นำของอุตสาหกรรมนี้” ในแง่ของกระบวนการด้านความปลอดภัย

อ่านเอกสารฉบับเต็มได้โดยคลิกที่นี่

การบริหารความเสี่ยง

Lenovo อาศัยซัพพลายเชนระดับโลกมาช่วยออกแบบ สร้าง และส่งมอบโซลูชันด้านเทคโนโลยีที่ลูกค้าของเราไว้วางใจ ในเชิงกลยุทธ์ มีหลัก 5 ข้อที่เรายึดถือในการบริหารความเสี่ยงกับซัพพลายเชน ดังนี้

  1. ระบุความเสี่ยงที่อาจเกิดขึ้นกับซัพพลายเชน
  2. ปกป้องซัพพลายเชนของ Lenovo ด้วยมาตรการควบคุมพิเศษ
  3. ตรวจพบปัญหาตั้งแต่เนิ่นๆ ช่วยให้มีเวลาและทางเลือกในการแก้ไขมากขึ้น
  4. แก้ไขปัญหาโดยเร็วที่สุดเพื่อจำกัดผลกระทบจากภัยคุกคาม และ
  5. พยายามให้ลูกค้าได้รับผลกระทบน้อยที่สุดด้วยการออกแบบโครงสร้างซัพพลายเชนที่ยืดหยุ่น

เพื่อให้กลยุทธ์นี้ประสบผลสำเร็จ Lenovo จะประเมิน แก้ไข และปรับปรุงระบบซัพพลายเชนเป็นระยะๆ ให้สอดคล้องกับความต้องการของลูกค้าและธุรกิจ

  • Lenovo มีการประเมินซัพพลายเออร์และผู้ให้บริการเป็นประจำทั้งในด้านการปฏิบัติตามนโยบาย ความปลอดภัย และสถานะทางการเงิน สำหรับส่วนประกอบสำคัญ จะมีการประเมินความต้องการใช้ซัพพลายเออร์มากกว่าหนึ่งราย (หรือสถานที่ผลิตของซัพพลายเออร์มากกว่าหนึ่งแห่ง)
  • นอกจากนี้ Lenovo ยังจับตาดูกระบวนการภายในอย่างใกล้ชิด โดยมีการทดสอบประสิทธิภาพของระบบควบคุมเป็นประจำ


ทุกสถานการณ์ที่อาจส่งผลต่อการบรรลุความต้องการของลูกค้าจะต้องได้รับการตรวจสอบ วิเคราะห์ จัดการ และแก้ไขให้หมดไปในที่สุด การระบุปัญหาตั้งแต่เนิ่นๆ ช่วยให้ Lenovo สามารถทำดังนี้

  1. ปรับเปลี่ยนซัพพลายเชนเพื่อลดผลกระทบให้น้อยที่สุด
  2. ร่วมมือกันแก้ไขปัญหากับซัพพลายเออร์
  3. เปลี่ยนซัพพลายเออร์หากยังคงพบปัญหาอยู่

การลดความเสี่ยงด้านซัพพลายเชนถือเป็นเรื่องสำคัญอย่างยิ่งสำหรับทั้ง Lenovo และลูกค้า

สร้างความปลอดภัยให้กับการผลิต

สถานที่ผลิตที่ปลอดภัยต้องการสิ่งต่อไปนี้

  • ความปลอดภัยทางกายภาย: มีแนวทางปฏิบัติและการกำกับดูแลที่เคร่งครัดในการจัดการความปลอดภัยของบุคลากรและตัวโรงงาน ซึ่งรวมถึงการควบคุมสิทธิ์เข้าใช้งาน ตลอดจนการตรวจสอบผู้เยี่ยมชมและของนำส่ง
  • สร้างความปลอดภัยให้กับกระบวนการผลิต: ภายในพื้นที่การผลิต มีการจัดการระบบควบคุมและขั้นตอนการผลิตอย่างใกล้ชิด รวมทั้งมีการติดตามส่วนประกอบหลักและส่วนประกอบย่อยด้วยระบบอิเล็กทรอนิกส์ ตรวจสอบผลิตภัณฑ์ขั้นสุดท้ายเพื่อยืนยันว่าผลิตภัณฑ์มีความปลอดภัย ไว้ใจได้ และทำงานได้ครบตามข้อกำหนดหรือไม่
  • สร้างความปลอดภัยให้กับการเผยแพร่ไฟล์อิมเมจซอฟต์แวร์และ BIOS: การตั้งค่าไฟล์อิมเมจของลูกค้า (นั่นคือระบบปฏิบัติการและซอฟต์แวร์แอปพลิเคชันอื่นๆ ที่ผู้ใช้เลือกให้ติดตั้งมาพร้อมเครื่อง) และ BIOS เป็นขั้นตอนที่ละเอียดอ่อนในกระบวนการผลิต ดังนั้น Lenovo จึงใช้ความระมัดระวังเป็นพิเศษเพื่อป้องกันไม่ให้มีคนภายนอกมายุ่งกับไฟล์เหล่านี้

สร้างความปลอดภัยให้กับงานด้านโลจิสติกส์

งานด้านโลจิสติกส์ของ Lenovo ครอบคลุมถึงการบรรจุ การขนส่ง และการจัดส่ง หลังจากสร้างและทดสอบผลิตภัณฑ์แล้ว ผลิตภัณฑ์จะได้รับการบรรจุในหีบห่อและเตรียมจัดส่งพร้อมซีลป้องกันการแกะ เพื่อให้สังเกตเห็นได้ทันทีหากเกิดปัญหา หลังจากบรรจุหีบห่อแล้ว Lenovo จะทำงานกับซัพพลายเออร์ด้านโลจิสติกส์ที่ผ่านการรับรองเพื่อจัดส่งสินค้าถึงมือผู้บริโภคปลายทางอย่างปลอดภัย มาตรการป้องกันที่ใช้ตลอดกระบวนการจัดส่งนั้นรวมถึงการสร้างความปลอดภัยให้กับอาคารสถานที่ รถขนส่ง สายพาน ตลอดจนการคัดกรองพนักงาน ผู้เยี่ยมชม และคนขับอย่างละเอียด มีระบบติดตามการจัดส่งตั้งแต่ตอนที่ผลิตภัณฑ์ออกจากสถานที่ของ Lenovo จนถึงมือลูกค้า

การจัดการวงจรชีวิตผลิตภัณฑ์

ภารกิจในการสร้างความปลอดภัยของ Lenovo ยังคงดำเนินต่อไปหลังจากที่ผลิตภัณฑ์ส่งถึงลูกค้าแล้ว ระบบปฏิบัติการ ซอฟต์แวร์แอปพลิเคชัน ชิปเซ็ต เฟิร์มแวร์ และ BIOS จะได้รับการอัปเดตเป็นประจำจาก Lenovo รวมทั้งซัพพลายเออร์ของระบบอื่นๆ ที่เกี่ยวข้องกับสภาพแวดล้อมการทำงาน เช่น ผู้ให้บริการเครือข่ายมือถือ  การอัปเดตเหล่านี้อาจเป็นการปรับปรุงตามกำหนดการ หรือเป็นงานของฝ่าย PSIRT เพื่อแก้ไขปัญหาช่องโหว่ด้านความปลอดภัยก็ได้ ไม่ว่าจะด้วยเหตุผลใด Lenovo ก็มีกระบวนการพร้อมสำหรับส่งมอบการอัปเดตซอฟต์แวร์และส่วนประกอบอย่างปลอดภัยตลอดช่วงชีวิตผลิตภัณฑ์ แม้กระทั่งในกรณีที่ซัพพลายเออร์เลิกผลิตชิ้นส่วนที่ใช้ในอุปกรณ์ของ Lenovo นั้นๆ ไปแล้วก็ตาม เรื่องนี้ทำให้จำเป็นต้องคัดสรรส่วนชิ้นส่วนใหม่ที่จะนำมาให้บริการ ซึ่ง Lenovo จะพยายามจัดหาชิ้นส่วนสำหรับเปลี่ยนทดแทนจากรายชื่อซัพพลายเออร์ที่เชื่อถือได้ (Trusted Supplier List)

 
แชร์