7 Phương pháp anninh mạng end-to-end của Huawei
7.2.2 Anninh trong công tác cung ứng
Hệ thống quản lý nhà cung cấp của Huawei bao gồm các yếu tố sau: công nghệ, chất lượng, phản hồi, chuyển giao, chi phí, mơi trường, trách nhiệm xã hội và an ninh.
Huawei đã phát triển và thực hiện các đường cơ sở an ninh mạng trong công tác cung ứng đối với nhà cung cấp, đồng thời xác định rõ ràng tiêu chí an ninh sản phẩm và dịch vụ mà các nhà cung cấp phải đáp ứng.
Hình 7. Mơ hình quản lý nhà cung cấp
Mơ hình quản lý Nhà cung cấp
Cơng nghệ An ninh mạng Chất lượng Mô tả
1. Công nghệ: giới hạn công nghệ, nguồn mở và khả năng
tham gia R&D sớm, cải tiến, và khả năng dịch vụ kỹ thuật.
2. Chất lượng: hệ thống chất lượng, hoạt động chất lượng,
tốc độc phản hồi khi xử lý sự cố và khả năng cải tiến chất lượng liên tục.
3. Phản hồi: Thời gian phản hồi, tính linh hoạt khi cung
cấp, chia sẻ thơng tin thị trường, nhanh chóng khi chuẩn bị năng lực và phản hồi theo yêu cầu.
4. Giao hàng: đúng hạn, chính xác và đầy đủ.
5. Chi phí: giá cả cạnh tranh, khả năng giảm giá liên tục,
đóng góp vào TCO, tổng lỗ và các điều kiện và điều khoản thanh toán thương mại thuận lợi.
6. Môi trường: thiết lập hệ thống môi trường bao gồm việc
loại bỏ các chất độc hại, kiểm sốt và giảm khí nhà kính và ơ nhiễm môi trường.
7. Trách nhiệm xã hội: thiết lập trách nhiệm xã hội toàn
vẹn và hệ thống quản lý sức khỏe và an toàn nghề nghiệp (OHSMS), bao gồm các tiêu chuẩn người lao động, sức khỏe an toàn và đạo đức kinh doanh.
8. An ninh mạng: Chính sách, Quy trình, Thỏa thuận, Đào
tạo, Kiểm tra, Phản ứng nhanh.
Phản hồi Trách nhiệm xã hội Giao hàng Mơi trường Chi phí
Khi chưa có các tiêu chuẩn an ninh mạng trong cơng tác cung ứng, Huawei đã phát triển 46 cơ sở an ninh mạng cung ứng dựa trên đặc tính an ninh của sản phẩm và dịch vụ từ các nhà cung cấp tồn cầu, và cần phân tích về rủi ro an ninh tiềm tàng của nhà cung cấp và đánh giá nhu cầu an ninh mạng của khách hàng.
Các quy trình bảo đảm bảo mật khơng gian mạng trong công tác cung ứng được thành lập để phối hợp – không phải độc lập – với hoạt động cung ứng nhằm đảm bảo cả hai bên hiểu được các yêu cầu và nhận thức được an ninh mạng là một nỗ lực chung. Huawei triển khai công tác bảo mật quản lý cung ứng thơng qua các quy trình này, bao gồm đánh giá năng lực bảo mật của nhà cung cấp, kiểm tra bộ bảo mật của nguyên liệu, khả năng bảo mật của nhà cung cấpkiểm tra/thẩm tra an ninh nhà cung cấp, quản lý hoạt động, đánh giá rủi ro, quản lý các lỗ hổng và truy xuất nguồn gốc và phản hồi trong tình trạng khẩn cấp. Huawei cũng yêu cầu các nhà cung cấp ký kết các thỏa thuận an ninh xác định trách nhiệm chung.
Ở mức độ cao, việc đảm bảo an ninh mạng trong công tác cung ứng yêu cầu quản lý các nhà cung cấp và quản lý khả năng bảo mật của nhà cung cấp. Quản lý nhà cung cấp bao gồm quản lý các yêu cầu, chiến lược, mức độ đáp ứng về năng lực và chấp thuận cung ứng. Quản lý khả năng bảo mật nhà cung cấp bao gồm:
Chứng nhận khả năng bảo mật của nguyên liệu và nhà cung cấp
Thỏa thuận và thực thi bảo mật
Khả năng đối phó trong tình huống khẩn cấp và thẩm tra khả năng bảo mật của nhà cung cấp
Kiểm tra và chấp thuận an ninh
Khả năng bảo mật nhà cung cấp và phase-out - hủy bỏ dần
Bảo mật trong khâu cung ứng không chỉ áp dụng cho quy trình cung cấp nguyên liệu sản phẩm và cung cấp dịch vụ kỹ thuật mà còn được đưa vào trong haiquy trình hỗ trợ: quản lý nhà cung cấp và quản lý nguyên liệu. Bảo mật trong quá trình cung ứng cũng đã được tích hợp trong các quy trình của Huawei trong các khâu như Phát triển sản phẩm tích hợp R&D (IPD), Hướng đầu tư tiền mặt (LTC), chuỗi cung ứng và Chuyển giao dịch vụ (SD), và các quy trình có liên quan tớiR&D, sản phẩm, dịch vụ và marketing. Nhờ được đưa vào các quy trình, nên các sáng kiến quản lý bảo mật được liên kết từ đầu tới cuối, trở thành bộ phận hiệu quả và không thể thiếu trong hệ thống đảm bảo an ninh mạng Huawei.
Trong giai đoạn đánh giá năng lực nhà cung cấp, Huawei tích hợp các yêu cầu an ninh mạng vào bốn quy trình chính: u cầu thơng tin nhà cung cấp (RFI), tự kiểm tra hệ thống nhà cung cấp, đánh giá năng lực hệ thống nhà cung cấp và các điều kiện của thỏa thuận an ninh bắt buộc thực thi. Mỗi giai đoạn là điều kiện của giai đoạn sau. Chỉ những nhà cung cấp đáp ứng được các yêu cầu an ninh của Huawei có thể trở thành nhà cung cấp của Huawei.
Huawei đã phát triển cơ chế thẩm định năng lực hệ thống an ninh nhà cung cấp nguyên liệu, nhà cung cấp dịch vụ kỹ thuật, nhà cung cấp kho vận, nhà cung cấp EMS, nhà cung cấp dịch vụ thiết bị và gia cơng phần mềm ở nước ngồi. Sau khi vượt qua các thẩm định năng lực hệ thống, các nhà cung cấp phải ký kết thỏa thuận an ninh mạng trước khi trở thành nhà cung cấp chính thức của Huawei.
Thỏa thuận an ninh mà Huawei thực hiện với các nhà cung cấp bao trùm nhiều lĩnh vực liên quan, bao gồm: yêu cầu về bảo mật sản phẩm, yêu cầu về bảo mật dịch vụ, yêu cầu bảo mật hệ thống, và các nghĩa vụ trong trường hợp xảy ra vi phạm.
Huawei cũng phát triển thỏa thuận an ninh dịch vụ kỹ thuật nhắm tới các nhà thầu kĩ thuật phụ và các thỏa thuận được ký kết bởi tất cả các nhà thầu kĩ thuật liên đến an ninh mạng của Huawei. Thỏa thuận này bao gồm yêu cầu an ninh dịch vụ, yêu cầu an ninh hệ thống và nghĩa vụ trong trường hợp xảy ra vi phạm. Thêm vào đó, Huawei cũng đã phát triển thỏa thuận an ninh với các nhà cung cấp kho vận, EMS, các nhà sản xuất phần mềm ở nước ngoài và các nhà cung cấp dịch vụ thiết bị. Tất cả các nhà cung cấp này đã ký kết thỏa thuận với Huawei và cam kết hợp tác trong việc giảm thiểu rủi ro an ninh mạng.
Huawei cũng rất chú tâm tới tầm quan trọng của việc thẩm định năng lực bảo mật nhà cung cấp vật liệu và thẩm định năng lực bảo mật của nhà cung cấp. Huawei đã tích hợp các yêu cầu an ninh với ba quy trình quan trọng: tiêu chuẩn kĩ thuật nguyên liệu, đánh giá rủi ro an ninh mạng trong đánh giá rủi ro chất lượng kĩ thuật và tích hợp kiểm tra an ninh mạng với quá trình kiểm tra ngun liệu. Các cơng tác này đảm bảo Huawei chỉ thu mua các nguyên liệu có mức độ rủi ro an ninh thấp nhất và đã vượt qua kiểm tra an ninh.
Để quản lý khả năng bảo mật của các nhà cung cấp hiện tại, Huawei sử dụng cơ chế quản lý phân cấp dựa trên đánh giá rủi ro an ninh, bao gồm việc thẩm định các mức độ rủi ro an ninh, các kiểm tra và cải thiện an ninh của các nhà cung cấp. Huawei sử dụng phiếu ghi điểm để đánh giá khả năng bảo mật của nhà cung cấp, thông báo về lỗ hổng bảo mật của nhà cung cấp và khả năng đối phó trong trường hợp khẩn cấp. Phiếu ghi điểm này có sáu yếu tố và 11 tiêu chí đánh giá. Hàng năm, Huawei đánh giá và chấm điểm khả năng bảo mật của các nhà cung cấp. Huawei giảm việc hợp tác hoặc thậm chí dừng hợp tác với nhà cung cấp có khả năng bảo mật thấp.
Huawei sử dụng công cụ đánh giá rủi ro an ninh nhà cung cấp nhằm đánh giá mức độ rủi ro bảo mật của nhà cung cấp và vị trí của nhà cung cấp trong danh sách dựa trên khả năng bảo mật của họ: thấp, trung bình và cao. Dựa trên danh sách này, Huawei quản lý phân cấp các nhà cung cấp, yêu cầu các nhà cung cấp có mức độ rủi ro cao tự kiểm tra và tiến hành kiểm tra tại hiện trường trong hai ngày tại cơ sở của nhà cung cấp; nhà cung cấp có mức độ rủi ro trung bình sẽ tự kiểm tra và tiến hành kiểm tra nửa ngày; và yêu cầu các nhà cung cấp có mức độ rủi ro thấp tự kiểm ra.
Tại Huawei, việc thông báo về yếu điểm trong bảo mật của nhà cung cấp và khả năng đối phó trong tình huống khẩn cấp là sự mở rộng của sáng kiến quản lý nhà cung cấp của Bộ phận Đối phó Sự cố An ninh Sản phẩm của Huawei (PSIRT). Bằng cách yêu cầu nhà cung cấp đưa ra các cảnh báo về những lỗ hổng bảo mật và nhanh chóng đối phó với những lỗ hổng đó, Huawei giúp đảm bảo các lỗ hổng về phần mềm của bên thứ ba được quản lý hiệu quả.
Khi phát hiện sản phẩm có lỗi an ninh, nhà cung cấp phải gửi thông tin về PSIRT bằng văn bản dựa vào các yêu cầu quy định trong thỏa thuận cung cấp dịch vụ thông báo về lỗ hổng bảo mật của Huawei. Nhà cung cấp phải khấc phục, xử lý sự cố nhanh chóng bằng cách phát triển các phiên bản mới của sản phẩm và phải thông báo cho Huawei thơng qua các kênh phát hành chính thức.