Quy trình Lập kế hoạch và phát triển sản phẩm liên quan đến nhiều lĩnh vực trong suốt vòng đời của sản phẩm. Hoạt động lập kế hoạch bắt đầu bằng việc xác định các yêu cầu bảo mật khi sản phẩm được lên ý tưởng lần đầu tiên nhằm cân bằng giữa nhu cầu về tính bảo mật và mức độ khả dụng của dữ liệu. Các cải tiến đang được tiến hành để bao gồm việc đánh giá và cải thiện liên tục cho các quy trình phát triển bảo mật quan trong thông qua thiết kế và thử nghiệm sản phẩm. Khi đã lập các yêu cầu bảo mật, đội ngũ phát triển sản phẩm của Lenovo sẽ lập kế hoạch kết hợp các tính năng phù hợp vào sản phẩm mới. Giai đoạn Phát triển tập trung vào các lĩnh vực sau:

• Phát triển và đưa ra quy chuẩn chất lượng
• BIOS/chương trình điều khiển
• Phần mềm

Kiểm soát & Quản lý nhà cung cấp

Một cơ sở nhà cung cấp mạnh trong chuỗi cung ứng sản phẩm – bao gồm ODM, OEM, nhà sản xuất cấu phần, nhà cung cấp BIOS và phần mềm -- đều đóng vai trò tối quan trọng đối với sự thành công của bất kỳ hãng chế tạo thiết bị công nghệ nào. Để giúp đảm bảo điều này, Lenovo có quy trình để đánh giá chất lượng các nhà cung cấp cốt lỗi của công ty, và sau đó sẽ đánh giá chính thức các nhà cung cấp này hàng quý. Nhiều nhà cung cấp của Lenovo đã là đối tác của công ty trong hơn 20 năm. Những mối quan hệ này được quản lý cẩn thận và các nhà cung cấp mới được đánh giá kỹ lưỡng.

Lenovo tăng cường mối quan hệ với nhà cung cấp của mình thông qua Chương trình nhà cung cấp tin cậy.  Mục tiêu của chương trình này là quản lý rủi ro với khách hàng thông qua việc triển khai chương trình bảo mật chuỗi cung ứng có giấy tờ và có thể kiểm tra như một phần của quy trình bảo mật sản phẩm tổng thể.  Chương trình nhà cung cấp tin cậy tập trung vào nhà cung cấp các cấu phần thông minh, ODM, OEM và nhà cung cấp dịch vụ sửa chữa có thể ảnh hưởng đến bảo mật của khách hàng.

Các cấu phần thông minh bao gồm:

• Bất kỳ chương trình phần mềm hoặc chương trình điều khiển nào trên bất kỳ bộ vi xử lý nào,
• Chính bộ vi xử lý,
• Bất kỳ thiết bị bán dẫn nào có khả năng xử lý dữ liệu,
• Bất kỳ cấu phần hoặc thiết bị nào có bộ nhớ trong,
• Bất kỳ cấu phần hoặc thiết bị nào thực hiện chức năng nhập/xuất dữ liệu

Lenovo liên tục và chủ động đánh giá các yêu cầu thuê ngoài của mình để đảm bảo chúng tôi cập nhật - và dẫn đầu - về các xu hướng và lỗ hổng khi chúng phát sinh trên thị trường công nghệ.

Những nỗ lực của Lenovo nhằm đảm bảo tính bảo mật của sản phẩm và chuỗi cung ứng đã được Chain Security, LLC, một trong những hãng bảo mật hàng đầu tại Hoa Kỳ, công nhận. Kết luận này được đưa ra sau khi gần ba năm nghiên cứu chi tiết về các quy trình bảo mật, chương trình quản lý công ty và chương trình nhà cung cấp của Lenovo Kết quả của quá trình phân tích này là một Chứng nhận thư dài 20 trang trong đó Chain Security nêu chi tiết về công việc của họ với Lenovo, những thay đổi và cải tiến mà Lenovo đã thực hiện trong hai năm qua và kết luận của Chain Security là Lenovo có năng lực dẫn đầu ngành về các quy trình bảo mật này.

Để đọc chứng thư đầy đủ, hãy nhấp vào đây.

Quản lý rủi ro

Lenovo dựa trên chuỗi cung ứng toàn cầu của mình để giúp thiết kế, xây dựng và phân phối các giải pháp công nghệ mà khách hàng của chúng tôi có thể tin tưởng. Về mặt chiến lược, có 5 lĩnh vực/bước chính chúng tôi sẽ thực hiện để quản lý rủi ro đối với chuỗi cung ứng:

1. Nhận diện rủi ro tiềm ẩn đối với chuỗi cung ứng;
2. Bảo vệ chuỗi cung ứng của Lenovo bằng các biện pháp kiểm soát đặc biệt;
3. Phát hiện sớm các vấn đề, để giúp có thêm thời gian và phương án ứng phó giải quyết vấn đề;
4. Ứng phó càng nhanh càng tốt để giảm thiểu mọi mối đe dọa; và
5. Khôi phục với ít gián đoạn ảnh hưởng tới khách hàng bằng cách thiết kế chuỗi cung ứng có thể phục hồi linh hoạt.

Để đáp ứng chiến lược này, Lenovo liên tục đánh giá, cập nhật và tối ưu hóa các hệ thống chuỗi cung ứng của mình để đáp ứng các nhu cầu của khách hàng và nhu cầu kinh doanh.

• Lenovo thường xuyên kiểm tra các nhà cung cấp và người bán của chúng tôi về tính tuân thủ, bảo mật và tình trạng tài chính. Đối với các cấu phần quan trọng, sẽ có đánh giá về nhu cầu sử dụng nhiều nhà cung cấp (hoặc nhiều cơ sở sản xuất của nhà cung cấp).
• Lenovo cũng giám sát chặt chẽ các quy trình nội bộ, kiểm tra sức mạnh của các biện pháp kiểm soát của chúng tôi thường xuyên.

Bất kỳ trường hợp nào ảnh hưởng đến khả năng đáp ứng nhu cầu của khách hàng đều phải được theo dõi, phân tích và quản lý - và cuối cùng là giảm thiểu. Để nhận diện sớm vấn đề, Lenovo có thể:

1. Điều chỉnh chuỗi cung ứng để giảm thiểu ảnh hưởng
2. Phối hợp với nhà cung cấp để giải quyết vấn đề
3. Thay thế nhà cung cấp nếu vấn đề vẫn không được giải quyết

Giảm thiểu rủi ro cho cả Lenovo và khách hàng trong chuỗi cung ứng là tối quan trọng.

Bảo mật sản xuất

Cơ sở sản xuất bảo mật có các yêu cầu sau:

• Bảo mật vật lý: các biện pháp thực hành và kiểm soát mạnh mẽ quản lý bảo mật về nhân sự và nhà máy thực tế. Điều này bao gồm kiểm soát ra vào và giám sát khách đến thăm và khâu phân phối.
• Quy trình bảo mật sản xuất: bên trong các khu vực sản xuất, các quy trình và biện pháp kiểm soát sản xuất được quản lý chặt chẽ, trong khí đó các cấu phần chính và cấu phần phụ được theo dõi điện tử. Sản phẩm cuối được kiểm tra, sau đó thử nghiệm để xác nhận sản phẩm đáp ứng các yêu cầu về bảo mật, độ tin cậy và chức năng hoạt động.
• Tạo hình ảnh phần mềm và phân phối BIOS bảo mật: tạo hình ảnh khách hàng (tức là lắp đặt sẵn hệ điều hành khách hàng chọn và phần mềm ứng dụng khác) thiết lập BIOS là các bước nhạy cảm trong quá trình sản xuất: Lenovo đã thực hiện thêm các biện pháp phòng ngừa để bảo vệ những quy trình này khỏi bất kỳ hình thức can thiệp nào từ bên ngoài.

Bảo mật hậu cần

Các quy trình hậu cần của Lenovo bao gồm đóng gói, vận chuyển, giao hàng. Sau khi xây dựng và thử nghiệm sản phẩm, sản phẩm được đóng gói và chuẩn bị để vận chuyển giao hàng bằng các vật liệu chống can thiệp để bất kỳ vấn đề nào có thể được nhận thấy ngay lập tức và trên đường giao cũng như sự cố sẽ được điều tra. Sau khi đóng gói, Lenovo phối hợp với nhà cung cấp dịch vụ hậu cần đủ điều kiện giao sản phẩm an toàn tới khách hàng cuối. Bảo vệ trong suốt quá trình giao hàng bao gồm phương tiện, xe vận chuyển và chuyên chở bảo mật cũng như nhân viên, khách ghé thăm và lái xe được sàng lọc kỹ lưỡng. Các chuyến giao hàng được theo dõi từ thời điểm chúng rời khỏi các cơ sở của Lenovo cho đến khi nhận hàng tại địa điểm của khách hàng.

Quản lý vòng đời sản phẩm

Cam kết bảo mật của Lenovo tiếp tục cả sau khi sản phẩm được giao tới khách hàng. Hệ điều hành và phần mềm ứng dụng, bộ chip, chương trình điều khiển và BIOS có thể nhận các bản cập nhật thường xuyên từ Lenovo cũng như nhà cung cấp hệ thống hạ tầng, bao gồm các nhà mạng điện thoại.  Những bản cập nhật này có thể là các cải tiến theo lịch hoặc chúng có thể là phản hồi cho những công việc được PSIRT thực hiện để khắc phục lỗ hổng bảo mật. Bất kể vì lý do nào, Lenovo đã triển khai các quy trình để phân phối bảo mật các cấu phần và bản cập nhật phần mềm trong suốt vòng đời sản phẩm, ngay cả trong trường hợp nhà cung cấp đã dừng sản xuất các cấu phần được sử dụng trong hệ thống của Lenovo. Điều này tạo ra nhu cầu kiểm tra chất lượng các bộ phận mới có thể được sử dụng để bảo dưỡng. Lenovo cam kết mua ngoài các bộ phận thay thế từ các nhà cung cấp trong Danh sách nhà cung cấp tin cậy.