采购网络安全流程
采购网络安全流程与采购业务相互协同,而不是相互独立的,以确保双方都理解所做的要求,并意识到网络安全需要共同的努力。华为通过这些流程进行采购安全管理,包括供应商安全认证、物料安全测试、供应商安全审查/审计、绩效管理、风险评估、漏洞管理、应急响应和可追溯。华为还要求供应商签订安全协议,澄清双方的责任。
在高层面,采购网络安全要求对供应商及其安全进行管理。管理供应商包括管理采购需求、战略、认证、履行和验收。管理供应商的安全包括:
• 供应商和物料安全认证
• 安全协议与执行
• 供应商安全审计和应急响应
• 安全测试和验收
• 供应商安全和淘汰
采购安全不仅包含在生产物料的采购和工程服务采购流程中,还融入到了两个支撑流程中:供应商管理和物料管理。采购安全还融入到了华为的其他流程中:研发的集成产品开发(IPD)流程、线索到回款(LTC)流程、供应链、以及服务交付(SD)流程,并与研发、生产、服务和营销流程相衔接。因为这种融入,华为的安全管理举措端到端的衔接起来,成为华为网络安全保障体系有效的、必不可少的一部分。
供应商和物料安全认证
华为制定了针对以下几种供应商的安全体系认证机制:物料供应商、工程服务供应商、物流供应商、EMS供应商、终端服务供应商和软件外包供应商。
在供应商认证阶段,华为把网络安全要求融入到四个关键步骤中——供应商信息征询(RFI)、供应商体系自检、供应商体系认证、强制性安全协议中必须执行的条款。进入下个阶段都要以通过前一个阶段为条件,只有满足华为安全要求的供应商才能成为华为的供应商。
跟供应商安全认证一样,华为也同样重视供应商物料安全认证。因此,华为把网络安全要求融入到了三个关键步骤中:物料规格、技术质量风险评估中的安全风险评估,并把网络安全测试融入到物料测试与验证流程中。这样有助于确保华为只购买安全风险最低,且通过了安全测试和验证的物料。
供应商安全协议与执行
通过供应商体系认证之后,成为华为的正式供应商之前,所有潜在供应商必须签订网络安全协议。华为对供应商执行的安全协议覆盖多个相关领域,包括:产品安全要求、服务安全要求、体系安全要求和违约责任。
华为还制定了专门针对工程分包商的工程服务安全协议。所有与网络安全相关的工程分包商都已经签订了该协议。协议包含服务安全要求、体系安全要求和违约责任。此外,华为制定了针对物流供应商、EMS供应商、软件外包供应商和终端服务供应商的安全协议。所有这些供应商都与华为签订了协议,并承诺会通力合作去降低网络安全风险。
供应商安全审计
为了管理现有供应商的安全,华为根据安全风险评估实施分级管理机制,包括供应商安全风险等级评估、供应商安全问题审查与改进。用一个打分卡衡量供应商安全绩效、供应商漏洞通知和应急响应。打分卡包含6个要素,11个评估项。华为每年都会对供应商的安全绩效进行评估和排序,减少或终止与那些安全绩效差的供应商的合作。
华为使用供应商网络安全风险评估工具去评估供应商的安全风险等级,输出低、中、高风险的供应商清单。根据这些清单,华为对供应商进行分级管理,要求高风险供应商进行自我检查(并进行为期两天的供应商现场审计),要求中风险供应商进行自我检查(并进行为期半天的检查),要求低风险供应商进行自我检查。
供应商漏洞通知和应急响应
在华为,供应商安全漏洞通知和应急响应是华为产品安全事故响应团队(PSIRT)对供应商安全管理举措的延伸。华为要求供应商发布漏洞预警并快速响应,从而有助于确保第三方软件的漏洞得到有效管理。
一旦其产品中发现了安全漏洞,供应商必须按照华为漏洞通知服务水平协议(SLA)的要求,把信息书面通知给华为PSIRT。供应商必须及时开发新版本或补丁解决漏洞,并通过正式的版本发布渠道通知华为。
