华为对其供应链的信息安全和网络安全审核是有区别的,区别请详见《华为供应商信息安全管理体系与网络安全管理体系审核的区别》
作为华为的供应商,要想符合华为供应链网络安全管理体系要求,轻松自如地应对华为的审核,那么企业同样必须提前以ISO/IEC 27001为框架搭建完善和有效的信息安全管理体系。因为这些网络安全要求也都是在ISO/IEC 27001基础之上进行的扩展和细化的。
因此,要想轻松落地客户的网络安全要求,并顺利应对客户的审核,就必须首先搭建好企业自身的信息安全管理体系。否则,在应对客户审核时,也必然是人仰马翻,事倍功半。
| 华为供应链网络安全管理体系要求审核应对方案(部分) | |||
| 序号 | 华为网络安全要求 | ISO/IEC 27001关联内容 | 华为网络安全求整合方案 |
| 1 | 安全协议 | ||
| 1.1 | 与华为签署安全协议 | 1.《相关方要求管理程序》《合同评审管理程序》 2.顾客信息安全要求清单 | 提供与华为签署的安全协议 |
| 1.2 | 与其关键安全岗位员工签署“安全协议”或“安全承诺书” | 1.《人力资源管理程序》《人力资源安全管理程序》 2.员工通用保密协议 | 1.在《人力资源安全管理程序》中,引出《华为项目人员安全管理规范》,明确华为项目关键岗位的识别等要求 2.参考华为信息安全要求,编制华为项目专项安全协议 3.华为项目关键岗位签署华为项目专项安全协议 |
| 1.3 | 组织关键安全岗位员工学习、理解、落实与华为签署安全协议条款 | 1.《人力资源管理程序》《人力资源安全管理程序》 2.例行性信息安全培训记录 | 1.在《华为项目人员安全管理规范》中,明确该要求 2.例行性的华为项目相关的网络安全要求(包含安全协议条款要求)培训记录 |
| 1.4 | 定期对其下级供应商进行审视并签署安全协议书 | 1.《采购和供应链管理程序》 2.供应商通用信息安全协议(或保密协议) | 1.在《采购和供应链管理程序》中,引出《华为项目供应商管理规范》 2.将华为安全协议要求,转换为企业自己的协议,并让参与华为项目的供应商签署 |
| 2 | 安全体系 | ||
| 2.1 | 制定产品安全相关政策或制度 | 1.《项目信息安全管理程序》《合同评审管理程序》《信息安全合规管理程序》《相关方要求管理程序》 2.顾客信息安全要求清单、适用信息安全法律法规清单、以及合规评价记录 | 1.在《项目信息安全管理程序》中,引出《华为项目网络安全管理纲领性文件》,概述华为项目网络安全要求 2.华为项目相关的适用网络安全法律法规清单,以及符合性评价记录 3.华为网络安全要求符合性评价记录,包含应对的相关文件 |
| 2.2 | 建立管理产品安全的相关组织 | 信息安全管理组织架构图,包含决策层(信息安全管理委员会)、管理层(信息安全管理专职部门、各部门信息安全负责人等)、执行层(各部门信息安全兼职专员等) | 华为项目网络安全管理组织,包含决策层(网络安全管理委员会)、管理层(网络安全管理专职部门、各部门网络安全负责人等)、执行层(各部门网络安全兼职专员等) |
| 2.3 | 识别和评估安全风险 | 1.《信息安全风险评估管理程序》《项目信息安全管理程序》 2.项目信息安全风险评估记录 | 1.在《项目信息安全管理程序》中,引出《华为项目网络安全风险评估管理规范》 2.华为项目网络安全风险评估记录 |
| 2.4 | 定期对其安全流程或规范的执行情况进行内部审计 | 1.《信息安全监视和测量管理程序》 2.信息安全检查记录,问题跟踪记录等 | 1.在《信息安全监视和测量管理程序》中,引出《华为项目网络安全检查管理规范》 2.《华为项目网络安全检查管理规范》制定,应考虑华为相关要求 3.华为项目网络安全检查记录,问题跟踪记录等 |
| 3 | 生产系统安全 | ||
| 3.1 | 对生产制造IT系统建立了完整的安全架构及分层防护系统 | 1.《网络安全管理程序》 2.网络拓扑图 | 1.在《网络安全管理程序》中,引出《华为项目生产系统安全防护管理规范》 2.华为项目生产系统安全防护架构图 |
| 3.2 | 建立了与办公网络隔离的生产网络及测试网络 | 1.《网络安全管理程序》 2.网络拓扑图 | 1.在《网络安全管理程序》中,引出《华为项目网络安全管理规范》 2.华为项目网络拓扑图 |
| 3.3 | 生产电脑及服务器使用安全要求 | 1.《信息处理设施安全管理程序》《计算机安全管理规范》《补丁管理规范》 2.工控计算机台账,漏洞修复记录,系统更新记录,补丁更新记录等 | 1.在《信息处理设施安全管理程序》中,引出《华为项目计算机安全管理规范》 2.华为项目生产电脑及服务器台账,包含系统,漏洞,及补丁更新,防病毒软件安装等记录 |
| 3.4 | 建立了应用程序全生命周期的安全防护措施 | 1.《软件开发安全管理程序》《信息处理设施安全管理程序》 2.代码检测记录,漏洞扫描记录,渗透测试报告 | 按照《软件开发安全管理程序》《信息处理设施安全管理程序》等文件,对华为项目生产涉及的应用系统(如MES系统)的安全进行管理,如开发时的代码检测,渗透测试,定期的渗透测试,漏洞扫描等 |
| 3.5 | 工厂与Internet网络边界17类高危端口是否已关闭 | 《网络安全管理程序》 | 1.在《华为项目网络安全管理规范》中,明确该要求 2.高危端口禁用清单 |
| 3.6 | 对生产系统数据进行分级管理 | 《信息资产管理程序》《数据安全管理规范》 | 1.在《华为项目数据安全管理规范》中,明确该要求 2.生产系统数据分级清单,数据加密和备份记录等 |
以上是部分华为网络安全要求的审核应对方案,这个方案是深度整合到企业的信息安全安全管理体系(ISO/IEC 27001)的,可以远远超出华为审核人员的预期,完全不用担心过不了华为的审核。
希望看到全部方案,或者需要辅导的企业可以联系我(有需要合作的咨询辅导机构也可以联系我),辅导的内容不限于华为网络安全的审核,也包括华为信息安全的审核,以及其他国内外大公司的信息安全审核。
如果企业原本信息安全管理体系(ISO/IEC 27001)就比较糟糕,建议与信息安全管理体系(ISO/IEC 27001)提升项目一起做,信息安全管理体系(ISO/IEC 27001)提升项目服务内容,请参考《ISO/IEC 27001: 2022 咨询辅导项目服务内容》。这样做的好处是,一是可以节约人力财力,二是可以一劳永逸。
