915534-供应链-安全体系-华为稽核网络安全改善问题点
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6 安全漏洞增加抄送TQC;
7
建立了网络关键岗位清单,但未包括工厂测试、下载、文控人 员,与员工签署的协议中只有信息安全要求
8
未制定产品安全政策;搜集了相关法律法规清单,但没有提到要 遵守法律法规要求;
9
有建立安全组织,未设立首席安全官等相关职位,安全组织未包 括软件开发相关岗位,职责未依据不同岗位细化;
24
有接受SLA,但没有反馈任何漏洞,内部也没有流程和制度去落 实对漏洞的定位、分析和处理,应增加可追溯实现要求;
华为ODM网络安全稽
25 没有员工背景调查; 26 没有针对特别的网络安全离职后的管理;
华为ODM网络安全稽核改善问题点
改善对策
责任部门
研发中心
各类软件的管理措施不具体 第三方软件的检测内容、责任人、输出未体现, 产品安全测试的责任人、测试项目、输出未体现 ==>ontim已经明确安全管理负责人,后续在测试计划制定阶 段输出第三方测试内容、产品测试项。
研发中心 研发中心
研发中心
研发中心 研发中心 研发中心 研发中心 体系文控部 体系文控部
研发中心
研发中心
当前主要依赖华为用例执行结果,安全测试用例需要协调开 发人员和测试人员一起编写。
研发中心
已包含到产品测试计划里
当前ontim没有和华为一样的测试实验室,测试使用电脑同时 也需要进行办公、文件传输等工作,故没有做USB管控。 有接受SLA,但没有反馈任何漏洞==>因为产品没有发现漏洞 内部也没有流程和制度去落实对漏洞的定位、分析和处理, 应增加可追溯实现要求==>我们会在mantis中专门对漏洞问 题增加记录,分配到owner,记录问题的程序过程
在需求设计阶段没有考虑网络安全==>见13项 只会在评审阶段关注,但对关注质量和结果没有记录和有效 管控==>有评审记录,有测试建议记录和测试结果的记录 最终都是依赖华为的测试结果==>当前主要依赖华为用例执行 结果,安全测试用例需要协调开发人员和测试人员一起编写
当前主要依赖华为用例执行结果,安全测试用例需要协调开 发人员和测试人员一起编写。
研发中心 研发中心
研发中心
体系文控部
质量中心
HR中心
体系文控部
代码评审中包括华为红线内容不全 ==>将会在check list里 增加红线内容 且只有软件经理通过对编好的程序做目测的review, 无法确保评审全面;==>我们之前开会时提到过我们是对原码 和设计文档进行review,不是review编好的程序 跟华为项目组有约定,我们使用华为工具在本地扫描全部代码 后把中间件发给华为同事,在华为实验室进行检查 修改需求分析文档,加入网络安全要求 我们有用例,已经导入到testlink==>目前没有安全测试用 例,安全测试用例需要协调开发人员和测试人员一起编写。 我们修改代码风格规范
完成期限
备注
ontim已经明确安全管理负责人,后续 在测试计划制定阶段输出第三方测试内 容、产品测试项。
目前没有安全测试用例,安全测试用例 需要协调开发人员和测试人员一起编写
当前主要依赖华为用例执行结果,安全 测试用例需要协调开发人员和测试人员 一起编写。 当前主要依赖华为用例执行结果,安全 测试用例需要协调开发人员和测试人员 一起编写。 当前主要依赖华为用例执行结果,安全 测试用例需要协调开发人员和测试人员 一起编写。
研发中心 货仓部
研发中心
研发中心
责任人 陆军 陆军
史锋、陈霞芳
史锋
陈霞芳 刘泉涌 蔡春 陈霞芳 廖多网 陆军
史锋
史锋 史锋 史锋 史锋 陈霞芳 陈霞芳
史锋
史锋
ຫໍສະໝຸດ Baidu史锋
史锋 卢俊 史锋
史锋
我们招聘时会对骨干员工做背景调查 请北京HR确认保密协议的范围==>HR
研发中心 HR中心 研发中心 HR中心
史锋、蔡春 史锋、蔡春
10 产品开发过程网络安全落实薄弱:
11
代码评审中包括华为红线内容不全,且只有软件经理通过对编好 的程序做目测的review,无法确保评审全面;
12
无网络安全方面的扫描测试,最终主要依靠华为clarify的测试 结果的问题进行整改;
13 需求分析未包括网络安全要求;
14 未要求测试内容涵盖网络安全项,无测试用例制定规范;
当前ontim没有和华为一样的测试实验 室,测试使用电脑同时也需要进行办公 、文件传输等工作,故没有做USB管控
序号
问题点描述
1
有建立《产品安全管理规范》,试行阶段,里面内容较为空洞, 可操作性不强:
2 开发部门的安全管理职责内容较空泛,无具体的落实措施;
3 安全生产过程关键岗位不明确;
4
各类软件的管理措施不具体,第三方软件的检测内容、责任人、 输出未体现,产品安全测试的责任人、测试项目、输出未体现;
5
安全体系建设方面,内审的频次,依据,责任部门,输出及跟踪 管理等无定义;
结果。
19
主要依赖华为测试,自己的测试只有Monkey的测试,网络安全 内容不全;
20 未要求测试内容涵盖网络安全项,无测试用例制定规范
21
自己购买的平台芯片软件目前没有网络安全方面的管理,只有 monkey测试。
22 从成品到栈板到直发仓监控覆盖不完全;
23 测试人员的电脑不能上外网,但USB管控没有做到。
15 代码风格规范中无网络安全内容;
16 17
网络安全事件目标要订立;增加安全测试项目覆盖率,安全问题 发 网现 络次 安数 全降 内低 审率 的, 频安 次全 、问 主题 导关 部闭 门率 、等 参目 与标人员、审核依据需要明确 定义。
在需求设计阶段没有考虑网络安全,只会在评审阶段关注,但对
18 关注质量和结果没有记录和有效管控,最终都是依赖华为的测试