五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

第三方供應(yīng)商管理

華為的供應(yīng)商管理體系由以下元素構(gòu)成:技術(shù)、質(zhì)量、響應(yīng)、交付、成本、環(huán)境、社會責(zé)任和安全。華為制定并實施了適用于供應(yīng)商的采購網(wǎng)絡(luò)安全基線,清楚地定義了供應(yīng)商必須滿足的產(chǎn)品和服務(wù)安全標(biāo)準(zhǔn)。


在沒有適用的網(wǎng)絡(luò)安全采購標(biāo)準(zhǔn)的情況下,華為根據(jù)來自全球供應(yīng)商的產(chǎn)品和服務(wù)的安全特點,對供應(yīng)商潛在安全風(fēng)險和威脅的分析以及對客戶網(wǎng)絡(luò)安全需求的評估,制定了46條采購網(wǎng)絡(luò)安全基線線覆蓋了5大類:物料安全、軟件外包安全、EMS安全、物流安全和工程服務(wù)安全。

采購網(wǎng)絡(luò)安全流程

采購網(wǎng)絡(luò)安全流程與采購業(yè)務(wù)相互協(xié)同,而不是相互獨立的,以確保雙方都理解所做的要求,并意識到網(wǎng)絡(luò)安全需要共同的努力。華為通過這些流程進(jìn)行采購安全管理,包括供應(yīng)商安全認(rèn)證、物料安全測試、供應(yīng)商安全審查/審計、績效管理、風(fēng)險評估、漏洞管理、應(yīng)急響應(yīng)和可追溯。華為還要求供應(yīng)商簽訂安全協(xié)議,澄清雙方的責(zé)任。

在高層面,采購網(wǎng)絡(luò)安全要求對供應(yīng)商及其安全進(jìn)行管理。管理供應(yīng)商包括管理采購需求、戰(zhàn)略、認(rèn)證、履行和驗收。管理供應(yīng)商的安全包括:

? 供應(yīng)商和物料安全認(rèn)證

? 安全協(xié)議與執(zhí)行

? 供應(yīng)商安全審計和應(yīng)急響應(yīng)

? 安全測試和驗收

? 供應(yīng)商安全和淘汰

采購安全不僅包含在生產(chǎn)物料的采購和工程服務(wù)采購流程中,還融入到了兩個支撐流程中:供應(yīng)商管理和物料管理。采購安全還融入到了華為的其他流程中:研發(fā)的集成產(chǎn)品開發(fā)(IPD)流程、線索到回款(LTC)流程、供應(yīng)鏈、以及服務(wù)交付(SD)流程,并與研發(fā)、生產(chǎn)、服務(wù)和營銷流程相銜接。因為這種融入,華為的安全管理舉措端到端的銜接起來,成為華為網(wǎng)絡(luò)安全保障體系有效的、必不可少的一部分。

供應(yīng)商和物料安全認(rèn)證

華為制定了針對以下幾種供應(yīng)商的安全體系認(rèn)證機制:物料供應(yīng)商、工程服務(wù)供應(yīng)商、物流供應(yīng)商、EMS供應(yīng)商、終端服務(wù)供應(yīng)商和軟件外包供應(yīng)商。

在供應(yīng)商認(rèn)證階段,華為把網(wǎng)絡(luò)安全要求融入到四個關(guān)鍵步驟中——供應(yīng)商信息征詢(RFI)、供應(yīng)商體系自檢、供應(yīng)商體系認(rèn)證、強制性安全協(xié)議中必須執(zhí)行的條款。進(jìn)入下個階段都要以通過前一個階段為條件,只有滿足華為安全要求的供應(yīng)商才能成為華為的供應(yīng)商。

跟供應(yīng)商安全認(rèn)證一樣,華為也同樣重視供應(yīng)商物料安全認(rèn)證。因此,華為把網(wǎng)絡(luò)安全要求融入到了三個關(guān)鍵步驟中:物料規(guī)格、技術(shù)質(zhì)量風(fēng)險評估中的安全風(fēng)險評估,并把網(wǎng)絡(luò)安全測試融入到物料測試與驗證流程中。這樣有助于確保華為只購買安全風(fēng)險最低,且通過了安全測試和驗證的物料。

供應(yīng)商安全協(xié)議與執(zhí)行

通過供應(yīng)商體系認(rèn)證之后,成為華為的正式供應(yīng)商之前,所有潛在供應(yīng)商必須簽訂網(wǎng)絡(luò)安全協(xié)議。華為對供應(yīng)商執(zhí)行的安全協(xié)議覆蓋多個相關(guān)領(lǐng)域,包括:產(chǎn)品安全要求、服務(wù)安全要求、體系安全要求和違約責(zé)任。

華為還制定了專門針對工程分包商的工程服務(wù)安全協(xié)議。所有與網(wǎng)絡(luò)安全相關(guān)的工程分包商都已經(jīng)簽訂了該協(xié)議。協(xié)議包含服務(wù)安全要求、體系安全要求和違約責(zé)任。此外,華為制定了針對物流供應(yīng)商、EMS供應(yīng)商、軟件外包供應(yīng)商和終端服務(wù)供應(yīng)商的安全協(xié)議。所有這些供應(yīng)商都與華為簽訂了協(xié)議,并承諾會通力合作去降低網(wǎng)絡(luò)安全風(fēng)險。

供應(yīng)商安全審計

為了管理現(xiàn)有供應(yīng)商的安全,華為根據(jù)安全風(fēng)險評估實施分級管理機制,包括供應(yīng)商安全風(fēng)險等級評估、供應(yīng)商安全問題審查與改進(jìn)。用一個打分卡衡量供應(yīng)商安全績效、供應(yīng)商漏洞通知和應(yīng)急響應(yīng)。打分卡包含6個要素,11個評估項。華為每年都會對供應(yīng)商的安全績效進(jìn)行評估和排序,減少或終止與那些安全績效差的供應(yīng)商的合作。

華為使用供應(yīng)商網(wǎng)絡(luò)安全風(fēng)險評估工具去評估供應(yīng)商的安全風(fēng)險等級,輸出低、中、高風(fēng)險的供應(yīng)商清單。根據(jù)這些清單,華為對供應(yīng)商進(jìn)行分級管理,要求高風(fēng)險供應(yīng)商進(jìn)行自我檢查(并進(jìn)行為期兩天的供應(yīng)商現(xiàn)場審計),要求中風(fēng)險供應(yīng)商進(jìn)行自我檢查(并進(jìn)行為期半天的檢查),要求低風(fēng)險供應(yīng)商進(jìn)行自我檢查。

供應(yīng)商漏洞通知和應(yīng)急響應(yīng)

在華為,供應(yīng)商安全漏洞通知和應(yīng)急響應(yīng)是華為產(chǎn)品安全事故響應(yīng)團(tuán)隊(PSIRT)對供應(yīng)商安全管理舉措的延伸。華為要求供應(yīng)商發(fā)布漏洞預(yù)警并快速響應(yīng),從而有助于確保第三方軟件的漏洞得到有效管理。

一旦其產(chǎn)品中發(fā)現(xiàn)了安全漏洞,供應(yīng)商必須按照華為漏洞通知服務(wù)水平協(xié)議(SLA)的要求,把信息書面通知給華為PSIRT。供應(yīng)商必須及時開發(fā)新版本或補丁解決漏洞,并通過正式的版本發(fā)布渠道通知華為。