华为对其供应链的信息安全和网络安全审核是有区别的,区别请详见《华为供应商信息安全管理体系与网络安全管理体系审核的区别》

作为华为的供应商,要想符合华为供应链网络安全管理体系要求,轻松自如地应对华为的审核,那么企业同样必须提前以ISO/IEC 27001为框架搭建完善和有效的信息安全管理体系。因为这些网络安全要求也都是在ISO/IEC 27001基础之上进行的扩展和细化的。

因此,要想轻松落地客户的网络安全要求,并顺利应对客户的审核,就必须首先搭建好企业自身的信息安全管理体系。否则,在应对客户审核时,也必然是人仰马翻,事倍功半。

华为供应链网络安全管理体系要求审核应对方案(部分)
序号华为网络安全要求ISO/IEC 27001关联内容华为网络安全求整合方案
1安全协议
1.1与华为签署安全协议1.《相关方要求管理程序》《合同评审管理程序》
2.顾客信息安全要求清单
提供与华为签署的安全协议
1.2与其关键安全岗位员工签署“安全协议”或“安全承诺书”1.《人力资源管理程序》《人力资源安全管理程序》
2.员工通用保密协议
1.在《人力资源安全管理程序》中,引出《华为项目人员安全管理规范》,明确华为项目关键岗位的识别等要求
2.参考华为信息安全要求,编制华为项目专项安全协议
3.华为项目关键岗位签署华为项目专项安全协议
1.3组织关键安全岗位员工学习、理解、落实与华为签署安全协议条款1.《人力资源管理程序》《人力资源安全管理程序》
2.例行性信息安全培训记录
1.在《华为项目人员安全管理规范》中,明确该要求
2.例行性的华为项目相关的网络安全要求(包含安全协议条款要求)培训记录
1.4定期对其下级供应商进行审视并签署安全协议书1.《采购和供应链管理程序》
2.供应商通用信息安全协议(或保密协议)
1.在《采购和供应链管理程序》中,引出《华为项目供应商管理规范》
2.将华为安全协议要求,转换为企业自己的协议,并让参与华为项目的供应商签署
2安全体系
2.1制定产品安全相关政策或制度1.《项目信息安全管理程序》《合同评审管理程序》《信息安全合规管理程序》《相关方要求管理程序》
2.顾客信息安全要求清单、适用信息安全法律法规清单、以及合规评价记录
1.在《项目信息安全管理程序》中,引出《华为项目网络安全管理纲领性文件》,概述华为项目网络安全要求
2.华为项目相关的适用网络安全法律法规清单,以及符合性评价记录
3.华为网络安全要求符合性评价记录,包含应对的相关文件
2.2建立管理产品安全的相关组织信息安全管理组织架构图,包含决策层(信息安全管理委员会)、管理层(信息安全管理专职部门、各部门信息安全负责人等)、执行层(各部门信息安全兼职专员等)华为项目网络安全管理组织,包含决策层(网络安全管理委员会)、管理层(网络安全管理专职部门、各部门网络安全负责人等)、执行层(各部门网络安全兼职专员等)
2.3识别和评估安全风险1.《信息安全风险评估管理程序》《项目信息安全管理程序》
2.项目信息安全风险评估记录
1.在《项目信息安全管理程序》中,引出《华为项目网络安全风险评估管理规范》
2.华为项目网络安全风险评估记录
2.4定期对其安全流程或规范的执行情况进行内部审计1.《信息安全监视和测量管理程序》
2.信息安全检查记录,问题跟踪记录等
1.在《信息安全监视和测量管理程序》中,引出《华为项目网络安全检查管理规范》
2.《华为项目网络安全检查管理规范》制定,应考虑华为相关要求
3.华为项目网络安全检查记录,问题跟踪记录等
3生产系统安全
3.1对生产制造IT系统建立了完整的安全架构及分层防护系统1.《网络安全管理程序》
2.网络拓扑图
1.在《网络安全管理程序》中,引出《华为项目生产系统安全防护管理规范》
2.华为项目生产系统安全防护架构图
3.2建立了与办公网络隔离的生产网络及测试网络1.《网络安全管理程序》
2.网络拓扑图
1.在《网络安全管理程序》中,引出《华为项目网络安全管理规范》
2.华为项目网络拓扑图
3.3生产电脑及服务器使用安全要求1.《信息处理设施安全管理程序》《计算机安全管理规范》《补丁管理规范》
2.工控计算机台账,漏洞修复记录,系统更新记录,补丁更新记录等
1.在《信息处理设施安全管理程序》中,引出《华为项目计算机安全管理规范》
2.华为项目生产电脑及服务器台账,包含系统,漏洞,及补丁更新,防病毒软件安装等记录
3.4建立了应用程序全生命周期的安全防护措施1.《软件开发安全管理程序》《信息处理设施安全管理程序》
2.代码检测记录,漏洞扫描记录,渗透测试报告
按照《软件开发安全管理程序》《信息处理设施安全管理程序》等文件,对华为项目生产涉及的应用系统(如MES系统)的安全进行管理,如开发时的代码检测,渗透测试,定期的渗透测试,漏洞扫描等
3.5工厂与Internet网络边界17类高危端口是否已关闭《网络安全管理程序》1.在《华为项目网络安全管理规范》中,明确该要求
2.高危端口禁用清单
3.6对生产系统数据进行分级管理《信息资产管理程序》《数据安全管理规范》1.在《华为项目数据安全管理规范》中,明确该要求
2.生产系统数据分级清单,数据加密和备份记录等

以上是部分华为网络安全要求的审核应对方案,这个方案是深度整合到企业的信息安全安全管理体系(ISO/IEC 27001)的,可以远远超出华为审核人员的预期,完全不用担心过不了华为的审核。

希望看到全部方案,或者需要辅导的企业可以联系我(有需要合作的咨询辅导机构也可以联系我),辅导的内容不限于华为网络安全的审核,也包括华为信息安全的审核,以及其他国内外大公司的信息安全审核。

如果企业原本信息安全管理体系(ISO/IEC 27001)就比较糟糕,建议与信息安全管理体系(ISO/IEC 27001)提升项目一起做,信息安全管理体系(ISO/IEC 27001)提升项目服务内容,请参考《ISO/IEC 27001: 2022 咨询辅导项目服务内容》。这样做的好处是,一是可以节约人力财力,二是可以一劳永逸。