Quản lý
Quản lý chương trình bảo mật sản phẩm
Dựa trên Chương trình bảo mật sản phẩm của mình, Lenovo đã triển khai hệ thống quản lý với những kiểm tra và cân nhắc kỹ để đảm bảo các quy trình và phương pháp thực hành được thực hiện nhất quán trên toàn doanh nghiệp. Hệ thống quản lý này triển khai các biện pháp kiểm soát nhằm đảm bảo các hoạt động đánh giá bảo mật là một phần của các quy trình phát triển sản phẩm và chuỗi cung ứng sản phẩm suốt cả vòng đời của sản phẩm. Hệ thống quản lý này được nêu trong Tài liệu quản lý bảo mật sản phẩm của Lenovo được minh họa dưới đây:
Chính sách bảo mật của công ty(Thúc đẩy bảo mật sản phẩm & Phê duyệt vị trí CPSO) |
|||||||||||
Tài liệu chương trình bảo mật sản phẩm(Định nghĩa về CPSO, Giới thiệu về Văn phòng bảo mật sản phẩm và sáng kiến bảo mật sản phẩm) |
|||||||||||
Các chương trình, tiêu chuẩn và quy trình cụ thể
|
|||||||||||
Chính sách bảo mật của công ty
(Thúc đẩy bảo mật sản phẩm & Phê duyệt vị trí CPSO)
Tài liệu chương trình bảo mật sản phẩm
(Định nghĩa về CPSO, Giới thiệu về Văn phòng bảo mật sản phẩm và sáng kiến bảo mật sản phẩm)
Các chương trình, tiêu chuẩn và quy trình cụ thể
Chương trình đào tạo về bảo mật sản phẩm
Chuỗi cung ứng - Chương trình đối tác tin cậy
Chương trình bảo mật phần mềm
Các yêu cầu và tiêu chuẩn bảo mật
Hướng dẫn phát triển
(Cấu trúc, Thiết kế & Thử nghiệm)
Đánh giá bảo mật
Quy trình quản lý nhóm sản phẩm
Quy trình PSIRT
Tài liệu Chính sách đã được Tổng giám đốc điều hành ký và nhấn mạnh tầm quan trọng của Bảo mật sản phẩm với tất cả nhân viên. Tài liệu Chương trình từ Trưởng phòng bảo mật sản phẩm (CPSO) và giới thiệu công việc triển khai các quy trình Bảo mật sản phẩm. Cuối cùng, các tài liệu Chương tình, Tiêu chuẩn và Quy trình thực sự liên quan đến công việc cụ thể đang được thực hiện.
Để đảm bảo hiệu quả của quy trình quản lý, chương trình giảng dạy đào tạo đã được phát triển giáo dục và mở rộng hiểu biết và kiến thức của nhân viên về phương pháp tiếp cận của Lenovo với vấn đề bảo mật sản phẩm. Chương trình giảng dạy bắt đầu với nhận thức cơ bản và các khái niệm bảo mật sản phẩm và gồm có ba cấp độ, với chứng chỉ hoàn thành cho từng cấp độ: Kiến thức cơ bản về bảo mật, Cộng sự và Chuyên viên bảo mật phần mềm. Chương trình giảng dạy có thể được điều chỉnh để đáp ứng nhu cầu của từng nhân viên, tùy thuộc vào yêu cầu công việc của họ. Kiến thức cơ bản về bảo mật là khóa học mà bất kỳ nhân viên nào đều có thể tham gia để có được hiểu biết tốt về Bảo mật sản phẩm. Cấp độ Cộng sự và Chuyên viên là hướng tới những nhân viên có nền tảng kiến thức về phần mềm và dẫn đến các khái niệm thiết kế phần mềm bảo mật nâng cao. Có những khóa học bổ sung ngoài những khóa học này cũng có sẵn cho mục đích học tập thêm.
Những nỗ lực của Lenovo nhằm đảm bảo tính bảo mật của sản phẩm và chuỗi cung ứng đã được Chain Security, LLC, một trong những hãng bảo mật hàng đầu tại Hoa Kỳ, công nhận. Kết luận này được đưa ra sau khi gần ba năm nghiên cứu chi tiết về các quy trình bảo mật, chương trình quản lý công ty và chương trình nhà cung cấp của Lenovo Kết quả của quá trình phân tích này là một Chứng nhận thư dài 20 trang trong đó Chain Security nêu chi tiết về công việc của họ với Lenovo, những thay đổi và cải tiến mà Lenovo đã triển khai trong quá trình nghiên cứu và kết luận của Chain Security là Lenovo có năng lực dẫn đầu ngành về các quy trình bảo mật này.
Để đọc chứng thư đầy đủ, hãy nhấp vào đây.
Các câu hỏi về việc triển khai những quy trình này có thể được chuyển đến Văn phòng bảo mật sản phẩm.
