参与到华为项目供应链的企业有很多,而华为对其供应商的信息安全要求也越来越严格,当然这显然对这些企业来说会是一个很大挑战。因为对这些企业来说,可能连最基本的信息安全管理框架(如ISO/IEC 27001)都还没弄明白,弄得一团糟,而现在却要面对华为更严苛的信息安全要求。
华为的信息安全要求,大致分为三个方面,这一点,参与华为供应链的企业,必须要分的很清楚,否则在应对华为信息安全方面的审核时,是要栽大跟头的。
那么华为信息安全要求的三个方面,是那三个方面呢?就是以下三个方面:
(一)企业整体的信息安全管理要求,如企业信息安全方针、信息安全组织、信息安全制度、是否通过ISO/IEC 27001认证等;
(二)涉及华为项目整个生命周期中的敏感信息保密的要求;
(三)涉及华为项目整个生命周期中的网络安全要求。
其中的(一)和(二),华为它们归到了信息安全管理体系考察要求中了,而(三)则单独放到了网络安全管理体系考察要求中了。所以,在应对华为审核时,首先必须确认清楚,是信息安全,还是网络安全?因为提供的资料是不一样的。
在应对华为信息安全管理体系审核时,提供的资料包含了少部分公司信息安全管理体系通用的资料,如信息安全方针、信息安全组织、信息安全制度、ISO/IEC 27001认证证书,员工签署的通用保密协议。另外大部分资料,是要求提供华为项目相关的资料,如华为项目专项保密协议,华为项目风险评估资料,华为项目专项培训等。
在应对华为网络安全管理体系审核时,相关信息安全管理体系的资料,一律不能提供,无论是公司通用信息安全管理体系的,还是华为项目特有的相关管理资料。应对华为网络安全审核,必须单独建立一套网络安全管理体系资料。