華為網絡安全白皮書2014-cn.pdf在我們2013年10月發布的白皮書《構筑公司的網絡安全基因——一套綜合流程、政策與標準》1
中 ,我們詳細
描述了我們全面建立端到端網絡安全流程的方法。我們說過,我們借此機會將客戶告訴我們的與安全相關的前
100件事情記錄下來。實際上,任何人都可能向其技術供應商提出那些問題,了解他們的網絡安全方法。本白
皮書是一個清單,詳細講述了前100件事情,聚焦于技術購買商向其技術供應商提出的問題。
其目的是根據別人向華為提出的問題以及我們針對一系列的“標準”和最佳實踐所做的評估提出建議,讓購買
者可以在招投標時系統性地分析供應商的網絡安全能力。
為了撰寫這前100個要求,我們參考了很多的資料。
? 首先也是最重要的是,我們認真傾聽了客戶的心聲。他們的問題和關注點是什么?他們的擔心是什么?他
們自己的要求,他們的行業或者國家的要求是什么?
? 作為全球ICT行業的領軍企業,華為的業務遍及大規模通信基礎設施、云計算、企業和消費者解決方案等所
有東西。我們擁有來自150000員工、科學家和工程師的豐富知識——我們利用他們的知識和激情來做好這
件事。
? 最后,我們瀏覽了1200多份“標準”、文章或者“最佳實踐”,以確保一定程度的一致性。
我們認識到,在很多國家,與網絡安全相關的法律和行業要求越來越多。政府和規則制定者開始將網絡安全義
務和網絡安全失敗的后續責任轉嫁給國家關鍵基礎設施供應商和計算機或信息技術服務供應商,這種現象確實
不再罕見了。越來越多的公司不得不詳細闡述其應對網絡安全的方法,并詳細說明他們對其自身的技術供應商
和服務供應商所做的分析和評估。
服務供應商可以說“我不知道”或者“我原以為他們是優秀的,有能力的”,這樣的時代正快速走向終點。技
術購買者不對其所有供應商使用一致的評估問題的時代馬上就要終結了。在一個全球相互交織的世界,威脅可
能來自任何地方,而且也確實如此。這前100個要求是一個開始,讓你開始評估供應商的網絡安全能力,減少
自身的風險。至關重要的是,我們相信,在要求高質量的安全保障方面,購買者的要求越高,購買者越一致,
ICT供應商對安全進行投資、提高其安全標準的可能性就越大。
本白皮書大部分篇幅闡述了根據我們的研究,我們認為你在選擇技術供應商時應該考慮的100件事情。我們把
它們分成了幾個章節,包括:戰略、治理與控制,標準和流程,法律法規,人力資源,研究和開發,驗證,第
三方供應商管理,制造,安全地交付服務,問題、缺陷和漏洞解決以及審計。
每個章節都詳細講述了許多你應該考慮向你的技術供應商提出的要求。我們也提供了一些額外的理據,說明為
什么這可能很重要的原因。其中一些問題可能會在以下方面對你們自己的組織有所幫助:內部審計人員要看什
么,你自身的治理可能要考慮什么,以及你的董事會和審計委員會可能會問些什么問題。
1
標簽:
華為
網絡安全
上傳時間:
2022-02-28
上傳用戶:
