五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

采購網絡安全流程與采購業(yè)務相互協同，而不是相互獨立的，以確保雙方都理解所做的要求，并意識到網絡安全需要共同的努力。華為通過這些流程進行采購安全管理，包括供應商安全認證、物料安全測試、供應商安全審查/審計、績效管理、風險評估、漏洞管理、應急響應和可追溯。華為還要求供應商簽訂安全協議，澄清雙方的責任。

在高層面，采購網絡安全要求對供應商及其安全進行管理。管理供應商包括管理采購需求、戰(zhàn)略、認證、履行和驗收。管理供應商的安全包括：

? 供應商和物料安全認證

? 安全協議與執(zhí)行

? 供應商安全審計和應急響應

? 安全測試和驗收

? 供應商安全和淘汰

采購安全不僅包含在生產物料的采購和工程服務采購流程中，還融入到了兩個支撐流程中：供應商管理和物料管理。采購安全還融入到了華為的其他流程中：研發(fā)的集成產品開發(fā)（IPD）流程、線索到回款（LTC）流程、供應鏈、以及服務交付（SD）流程，并與研發(fā)、生產、服務和營銷流程相銜接。因為這種融入，華為的安全管理舉措端到端的銜接起來，成為華為網絡安全保障體系有效的、必不可少的一部分。

華為制定了針對以下幾種供應商的安全體系認證機制：物料供應商、工程服務供應商、物流供應商、EMS供應商、終端服務供應商和軟件外包供應商。

在供應商認證階段，華為把網絡安全要求融入到四個關鍵步驟中——供應商信息征詢（RFI）、供應商體系自檢、供應商體系認證、強制性安全協議中必須執(zhí)行的條款。進入下個階段都要以通過前一個階段為條件，只有滿足華為安全要求的供應商才能成為華為的供應商。

跟供應商安全認證一樣，華為也同樣重視供應商物料安全認證。因此，華為把網絡安全要求融入到了三個關鍵步驟中：物料規(guī)格、技術質量風險評估中的安全風險評估，并把網絡安全測試融入到物料測試與驗證流程中。這樣有助于確保華為只購買安全風險最低，且通過了安全測試和驗證的物料。

通過供應商體系認證之后，成為華為的正式供應商之前，所有潛在供應商必須簽訂網絡安全協議。華為對供應商執(zhí)行的安全協議覆蓋多個相關領域，包括：產品安全要求、服務安全要求、體系安全要求和違約責任。

華為還制定了專門針對工程分包商的工程服務安全協議。所有與網絡安全相關的工程分包商都已經簽訂了該協議。協議包含服務安全要求、體系安全要求和違約責任。此外，華為制定了針對物流供應商、EMS供應商、軟件外包供應商和終端服務供應商的安全協議。所有這些供應商都與華為簽訂了協議，并承諾會通力合作去降低網絡安全風險。

為了管理現有供應商的安全，華為根據安全風險評估實施分級管理機制，包括供應商安全風險等級評估、供應商安全問題審查與改進。用一個打分卡衡量供應商安全績效、供應商漏洞通知和應急響應。打分卡包含6個要素，11個評估項。華為每年都會對供應商的安全績效進行評估和排序，減少或終止與那些安全績效差的供應商的合作。

華為使用供應商網絡安全風險評估工具去評估供應商的安全風險等級，輸出低、中、高風險的供應商清單。根據這些清單，華為對供應商進行分級管理，要求高風險供應商進行自我檢查（并進行為期兩天的供應商現場審計），要求中風險供應商進行自我檢查（并進行為期半天的檢查），要求低風險供應商進行自我檢查。

在華為，供應商安全漏洞通知和應急響應是華為產品安全事故響應團隊（PSIRT）對供應商安全管理舉措的延伸。華為要求供應商發(fā)布漏洞預警并快速響應，從而有助于確保第三方軟件的漏洞得到有效管理。

一旦其產品中發(fā)現了安全漏洞，供應商必須按照華為漏洞通知服務水平協議（SLA）的要求，把信息書面通知給華為PSIRT。供應商必須及時開發(fā)新版本或補丁解決漏洞，并通過正式的版本發(fā)布渠道通知華為。