作为华为的供应商,要想符合华为供应链信息安全管理体系要求,轻松自如地应对华为的审核,那么企业就必须提前以ISO/IEC 27001为框架搭建完善和有效的信息安全管理体系。
不仅仅是华为对其供应商的信息安全要求,包括其他大企业(如苹果)对其供应商的信息安全要求,虽然看上去没有ISO/IEC 27001那么庞大,那么复杂,但实际上这些顾客的信息安全要求都是在ISO/IEC 27001基础之上进行的扩展和细化的。
因此,要想轻松落地客户的信息安全要求,并顺利应对客户的审核,就必须首先搭建好企业自身的信息安全管理体系。否则,在应对客户审核时,必然是人仰马翻,事倍功半。
由此可见,要制定应对华为信息安全审核应对方案,必然是需要将华为的信息安全要求整合到企业本身的信息安全管理体系之中。整合的前提是要确保企业搭建的信息安全管理体系是完善的,是有效的。企业可以参考其他文章《ISO/IEC 27001 咨询辅导项目的“四个层次”》这篇文章,可以自行比对企业搭建的信息安全管理体系是属于哪个层次。如果能够达到“层次三”的效果,基本能够算是完善的,有效的。如果还停留在“层次一”的效果,建议企业先要全面优化和提升信息安全管理体系(ISO/IEC 27001),否则没办法很好整合华为或其他顾客的信息安全要求,要应对华为的信息安全审核,必然会像很多企业一样闹得个人仰马翻。
华为供应链信息安全管理体系要求审核应对方案(部分) | |||
序号 | 华为信息安全要求 | ISO/IEC 27001关联内容 | 华为信息安全求整合方案 |
1 | 信息安全管理体系 | ||
1.1 | 制定信息安全管理的相关方针、政策、制度并实施 | 信息安全管理手册、信息安全方针、信息安全策略集、管理程序和管理规范 | 提供ISO/IEC 27001相关资料即可,如左侧所列出的 |
1.2 | 建立信息安全管理组织并例行运作 | 1.信息安全管理组织架构图,包含决策层(信息安全管理委员会)、管理层(信息安全管理专职部门、各部门信息安全负责人等)、执行层(各部门信息安全兼职专员等) 2.信息安全管理委员会会议记录、信息安全规划、信息安全总结等记录 | 提供ISO/IEC 27001相关资料即可,如左侧所列出的 |
1.3 | 制定信息安全规范及违规处罚条例并定期实施检查 | 1.《信息安全奖惩管理程序》《信息安全奖惩实施细则》 2.信息安全检查记录,违规记录,以及违规处罚记录 | 1.在《信息安全奖惩管理程序》中,引出《华为项目信息安全奖惩实施细则》 2.《华为项目信息安全奖惩实施细则》制定时,应考虑华为的相关要求 3.华为项目信息安全检查记录,违规记录,以及处罚记录 |
1.4 | 对信息资产进行密级划分 | 1.《信息资产管理程序》《数据安全管理规范》 2.信息资产清单(含分级信息) | 1.在《信息资产管理程序》中,引出《华为项目数据安全管理规范》 2.华为项目信息资产清单(含分级信息) |
1.5 | 通过第三方ISO 27001信息安全体系认证 | 提供ISO/IEC 27001:2022认证证书 | ISO/IEC 27001:2022认证范围需要涵盖华为项目的研发、制造,以及相关支持性领域(如IT、采购、物流、HR、质量等) |
1.6 | 定期组织信息安全内部稽查 | 1.《信息安全监视和测量管理程序》 2.信息安全检查记录,问题跟踪记录等 | 1.在《信息安全监视和测量管理程序》中,引出《华为项目信息安全检查管理规范》 2.《华为项目信息安全检查管理规范》制定,应考虑华为相关要求 3.华为项目信息安全检查记录,问题跟踪记录等 |
2 | 信息安全协议 | ||
2.1 | 与华为签暑NDA(Non-Disclosure Agreement)协议 | 1.《相关方要求管理程序》《合同评审管理程序》 2.顾客信息安全要求清单 | 提供与华为签署的NDA协议 |
2.2 | 将NDA协议条款融入到信息安全管理制度、规范中 | 《信息安全合规管理程序》《采购和供应链管理程序》 | 1.参照《信息安全合规管理程序》,制定顾客NDA协议中的要求应对方案,并编写相应的文件,如本栏表格中出现的《华为项目**管理规范》等 2.在《采购和供应链管理程序》中,引出《华为项目供应商管理规范》 3.将华为NDA协议要求,转换为企业自己的协议,并让参与华为项目的供应商签署 |
2.3 | 制定管理制度,未经华为书面同意,不得单方面在其官网或其他方式公开披露与华为合作的相关信息 | 《信息资产管理程序》《数据安全管理规范》 | 在《华为项目数据安全管理规范》中,明确该要求 |
2.4 | 与全体员工签署通用版信息安全保密协议 | 1.《人力资源管理程序》《人力资源安全管理程序》 2.员工通用保密协议 | 提供ISO/IEC 27001相关资料即可,如左侧所列出的,但要注意的是,需要包含违约处罚及追究刑事责任等条款 |
2.5 | 与关键岗位员工签署专项保密协议 | 1.《人力资源管理程序》《人力资源安全管理程序》 2.员工通用保密协议 | 1.在《人力资源安全管理程序》中,引出《华为项目人员安全管理规范》,明确华为项目关键岗位的识别等要求 2.参考华为信息安全要求,编制华为项目专项保密协议 3.华为项目关键岗位签署华为项目专项保密协议 |
3 | 人员管理 | ||
3.1 | 建立定期识别并刷新信息安全关键岗位人员清单的管理制度及清单模板 | 1.《人力资源管理程序》《人力资源安全管理程序》 2.信息安全关键岗位清单 | 1.《华为项目人员安全管理规范》 2.华为项目关键岗位人员清单 |
3.2 | 建立关键岗位信息安全管理细则 | 1.《人力资源管理程序》《人力资源安全管理程序》 2.信息安全关键岗位清单 | 参考3.3 – 3.9要求,在《华为项目人员安全管理规范》中,明确华为项目关键岗位人员的管理细则 |
3.3 | 明确规定负责华为项目的人员不得参与华为竞争对手的项目 | 《人力资源管理程序》《人力资源安全管理程序》 | 在《华为项目人员安全管理规范》中,明确该要求 |
3.4 | 招聘关键岗位人员须进行了信用度审查 | 1.《人力资源管理程序》《人力资源安全管理程序》 2.背景调查记录 | 1.在《华为项目人员安全管理规范》中,明确该要求 2.华为关键岗位人员信用审查记录 |
3.5 | 对新员工进行信息安全入职培训 | 1.《人力资源管理程序》《人力资源安全管理程序》 2.入职前信息安全培训记录 | 1.在《华为项目人员安全管理规范》中,明确该要求 2.入职前的华为项目相关的信息安全要求培训记录 |
3.6 | 例行组织在职员工的信息安全培训和宣传 | 1.《人力资源管理程序》《人力资源安全管理程序》 2.例行性信息安全培训记录 | 1.在《华为项目人员安全管理规范》中,明确该要求 2.例行性的华为项目相关的信息安全要求培训记录 3.在华为专区张贴信息安全宣导内容 |
3.7 | 对关键岗位人员进行信息安全例行检查 | 1.《信息安全监视和测量管理程序》《人力资源管理程序》《人力资源安全管理程序》 2.信息安全检查记录,问题跟踪记录等 | 1.在《华为项目人员安全管理规范》《华为项目信息安全检查管理规范》中,明确该要求 2.华为项目关键岗位人员信息安全检查记录,问题追踪记录等 |
3.8 | 在关键岗位人员离职前,须安排一个月脱密期 | 《人力资源管理程序》《人力资源安全管理程序》 | 1.在《华为项目人员安全管理规范》《华为项目信息安全检查管理规范》中,明确该要求 2.华为项目离职人员审计记录,资产及权限回收记录 |
3.9 | 明确禁止关键岗位人员与无关人员谈论或泄露华为项目信息 | 《人力资源管理程序》《人力资源安全管理程序》 | 在《华为项目人员安全管理规范》中,明确该要求 |
以上是部分华为信息安全要求的审核应对方案,这个方案是深度整合到企业的信息安全安全管理体系(ISO/IEC 27001)的,可以远远超出华为审核人员的预期,完全不用担心过不了华为的审核。
希望看到全部方案,或者需要辅导的企业可以联系我(有需要合作的咨询辅导机构也可以联系我),辅导的内容不限于华为信息安全的审核,也包括华为网络安全的审核,以及其他国内外大公司的信息安全审核。
如果企业原本信息安全管理体系(ISO/IEC 27001)就比较糟糕,建议与信息安全管理体系(ISO/IEC 27001)提升项目一起做,信息安全管理体系(ISO/IEC 27001)提升项目服务内容,请参考《ISO/IEC 27001: 2022 咨询辅导项目服务内容》。这样做的好处是,一是可以节约人力财力,二是可以一劳永逸。