고객 신뢰 포털

고객 데이터 보호를 다루는 시만텍의 정보 보안 정책, 표준, 보증 프로그램에 대한 정보와 리소스를 이용할 수 있습니다.

보안 프로그램 요약

신뢰가 시만텍 비즈니스의 기초

사생활 존중 및 개인 정보 보호

고객의 가장 귀중한 자산을 보호하는 것이 시만텍 비즈니스의 핵심이며 시만텍은 고객의 데이터를 지키고 데이터의 주체인 개인의 개인정보보호를 지원하기 위해 잠시도 경계를 늦추지 않습니다.

  • 시만텍이 하는 모든 일의 중심에 데이터와 데이터 보호가 있습니다. 시만텍 비즈니스는 보안, 컴플라이언스, 책임을 기반으로 하므로 고객의 가장 중요한 자산을 확실하게 보호할 수 있습니다.
  • 시만텍은 유럽 연합의 유럽 일반 개인정보 보호법(General Data Protection Regulation, GDPR)을 지원하고 개인정보보호 권한을 보장합니다.
  • 개인정보보호 권한은 기본 인권 중 하나이며 시만텍은 우리 자신, 고객, 파트너의 개인 정보 보호를 기업의 책임으로 간주하면서 최선을 다하고 있습니다.
글로벌 인증 관리

고객 신뢰 오피스

고객 신뢰 오피스(Customer Trust Office)는 세일즈 프로세스에서 시만텍이 고객의 주의(due diligence) 요구 사항을 지원하고 그에 따라 고객에게 시만텍의 정보 보안 정책, 프랙티스, 제품 보증에 대한 충분한 지식을 제공하는 데 핵심적인 역할을 합니다. 이 팀은 글로벌 보안 오피스(Global Security Office, GSO) 소속으로 세일즈, 법무, 제품 팀과 공조하면서 고객의 정보 보안 평가("ISA") 질의에 답변하거나 제품 보증 문서(예: ISO 27001 인증서, SOC 감사 리포트, 침투 테스트 증거, 취약점 검사 결과)를 제공합니다.

자세히 보기

보안 인증

개인정보처리방침

시만텍의 개인정보처리방침은 시만텍이 시만텍 웹 사이트를 통해 수집하는 정보의 유형, 정보를 사용하는 방법, 정보를 공유할 수 있는 대상에 대해 설명합니다. 시만텍 개인정보처리방침은 시만텍이 정보 보안을 위해 취하는 조치를 설명합니다. 귀하가 정보를 업데이트하거나 시만텍 메일 수신 목록에서 본인의 이름을 삭제하거나 시만텍의 개인정보보호 활동에 관한 궁금증을 해결하기 위해 시만텍에 연락하는 방법도 소개합니다.

Learn More

정보 보안 정책 및 표준

시만텍의 정보 보안 정책 및 표준은 ISO, CSA, NIST /IEC 27001, SOC 2, PCI와 같은 업계 표준에 부합합니다. 이 정책 및 표준은 매년 검토를 거치며 필요 시 업데이트합니다. 아래 정보 보안 영역은 시만텍의 정보 보안 정책 및 표준에서 다루는 내용입니다.

  • 리스크 관리 및 컴플라이언스
  • 보안 교육 및 인식
  • 직원 보안
  • 데이터 분류 및 보호
  • 암호화 및 키 관리
  • 보안 침해 사고 관리 및 대응
  • 공급망 리스크 관리
  • 논리적 액세스 제어
  • 업무 환경 및 데이터 센터 보안
  • 엔드포인트 보안
  • 아키텍처 및 클라우드 보안
  • 변경 관리
  • 자산 관리
  • 제품 개발 및 운영 보안
  • 비즈니스 레질리언스 및 재해 복구
  • 데이터 백업 및 복구
  • 올바른 사용 및 미디어 처리
  • 취약점 및 패치 관리
  • 보안 모니터링

사명

시만텍의 글로벌 인증 전문가 팀은 글로벌 인증 베스트 프랙티스에 대한 인식 제고에 힘쓰는 한편 시만텍 제품 팀이 필요한 비즈니스 및 기술 채널을 통해 시만텍 제품 인증을 취득하고 유지할 수 있도록 가장 중요한 조언과 지원을 제공합니다.

인증 지원 및 기타 사항에 대해서는 Joan Barbieri 에게 문의하십시오.

시만텍 인증

Common Criteria

국제 Common Criteria Recognition Arrangement(CCRA)는 정보 보증 및 보안을 위해 정보 기술 제품 및 보호 프로필의 통합 평가 방식을 받아들이는 데 동의한 26개 국가가 참여합니다. 이 합의를 통해 구매 결정의 투명성 및 평가의 정확성을 높이고 보다 균형적으로 보안과 기능을 구현하며 업계가 더 신속하게 제품을 출시할 수 있어 회원국 정부 및 기타 IT 제품 고객에게 유익합니다.

국제 표준 ISO/IEC15408 및 ISO/IEC 18045의 토대가 되는 Common Criteria는 아래 활동을 위한 프레임워크를 제공합니다.

  • 정부, 군, 기타 사용자가 보호 프로필을 사용하여 보안 기능보증 요건을 지정할 수 있습니다.
  • 그러면 벤더는 제품의 보안 특성을 구현하거나 그에 대한 주장을 제기할 수 있습니다.
  • 그에 따라 시험 기관은 제품을 평가하여 실제로 주장에 부합하는지 여부를 판단할 수 있습니다.

출처: Common Criteria IT Security Evaluation & the National Information Assurance Partnership

자세한 내용은 National Information Assurance PolicyCommon Criteria를 참조하십시오.

자세히 보기

 

Federal Identity, Credential and Access Management(FICAM)

FICAM TFS는 미 연방정부를 위한 통합 신원 정보 프레임워크로 시민과 기업에 안전하고 효율적으로 온라인 서비스를 제공하기 위한 지침, 프로세스, 기반 인프라스트럭처로 구성되어 있습니다.

NSL IDEF 인증 취득. IDEF는 Identity Ecosystem Framework 버전 1.0입니다. 현재 유효하고 활성 상태인 인증으로 공공 부문 및 상업 시장 모두에 적용 가능합니다.

아래 Norton Secure Login 및 인증 패키지는 GSA가 운영하는 FICAM 프로그램에 적용할 수 있습니다.  승인된 신원 정보 제공업체의 목록은 여기에서 확인하십시오.

자세한 내용은 Adam Madlin에게 문의하십시오.

Federal Information Processing Standard Publication 140-2(FIPS 140-2)

FIPS 140-2 제품 현황

Federal Information Processing Standard 140-2(FIPS 140-2) 검증은 연방 정부 기관에 암호화 기술을 판매하는 모든 벤더에게 적용됩니다. 귀사의 IT 제품에서 어떤 형태로든 암호화 기술을 활용할 경우 미국의 NIST(National Institute of Standards and Technology) 및 캐나다의 CSE(Communications Security Establishment)가 공동으로 운영하는 CMVP(Cryptographic Module Validation Program)에서 FIPS 140-2 기준에 따라 검증을 받아야 연방 정부 기관 또는 국방부 시설에 판매하여 설치할 수 있습니다.

FIPS 140-2는 SBU(Sensitive, but Unclassified) 용도의 IT 제품이 갖춰야 할 미 연방 정부 요건을 설명합니다. 이 표준은 NIST가 발표하고 CSE가 수용했으며 두 기관이 CMVP 하에 공동으로 관리하고 있습니다.

이 표준은 IT 시스템 내에서 일반 정보 보호용 보안 시스템에 사용되는 암호화 모듈이 갖춰야 할 보안 요건을 정의합니다. 레벨 1(가장 낮음)부터 레벨 4(가장 높음)까지 4가지 보안 레벨이 있습니다. 이 레벨은 암호화 모듈 구축이 가능한 다양한 애플리케이션 및 환경을 포괄하도록 구성되었습니다. 이 보안 요건은 암호화 모듈의 보안 설계 및 구현과 관련된 영역을 다룹니다. 기본 설계 및 문서화, 모듈 인터페이스, 승인된 역할 및 서비스, 물리적 보안, 소프트웨어 보안, 운영 체제 보안, 키 관리, 암호화 알고리즘, 전자기 간섭 및 전자기 호환성(EMI/EMC), 셀프 테스트 등이 해당됩니다.  NIST 링크를 포함하여 FIPS 140-2 요건에 대한 자세한 내용은 여기를 참조하십시오.

시만텍 검증 완료 제품 목록

아래 목록은 시만텍 제품 및 각각의 상태를 정리한 것입니다.

  • FIPS 140-2 검증 완료
    • 이 제품은 기존 암호화 모듈(시만텍 또는 타사)을 사용하며 "비공개 레이블" 검증 프로세스를 거친 적이 있습니다.
  • 컴플라이언스
    • 이 제품은 기존의 검증된 타사 모듈을 사용하지만 NIST로부터 비공개 검증을 명시적으로 확보하지 않았습니다.
  • 해당 없음
    • 제품에 암호화 모듈이 없습니다.
  • 현재는 아님
    • 제품에 암호화 모듈이 있지만 현 시점에 FIPS 140-2 검증을 거치지 않았습니다.

아래의 스냅샷 시점에 유입되는 제품 라인 때문에 정확도를 보장할 수 없으나 제품별 최신 상태/FIPS 140-2 상태로 업데이트하기 위해 노력합니다. 시만텍은 자사의 모든 소프트웨어 및 하드웨어 제품, 서비스 또는 어플라이언스 솔루션이 FIPS 140-2 요건을 충족하거나 이 요건에 따라 검증되었음을 증명하지 않습니다.

FIPS 140-2 상태 또는 이 내용에 대해 궁금한 점이 있거나 업데이트된 FIPS 제품 상태를 확인하려면 문의하십시오.

FIPS 컴플라이언스 시만텍 제품

시만텍 제품 이름 상태 암호화 모듈 있음 암호화 모듈 유형
Data Center Security 6.6 FIPS 컴플라이언스 OpenSSL과 BSAFE (인증 번호 1058)
IT Management Suite 8.0 FIPS 컴플라이언스  
Critical System Protection 7.x FIPS 컴플라이언스  
자세히 보기

 

FIPS 검증 시만텍 제품

시만텍 제품 이름 상태 암호화 모듈 있음 암호화 모듈 유형
Data Loss Prevention 12.5 FIPS 검증 완료

Symantec Java Cryptographic Module(인증 번호 2138)

Symantec DLP Cryptographic Module(인증 번호 2318)

Data Loss Prevention 14.0 FIPS 검증 완료

Symantec Java Cryptographic Module(인증 번호 2138)

Symantec DLP Cryptographic Module(인증 번호 2318)

Data Loss Prevention 15.0 FIPS 검증 완료

Symantec Java Cryptographic Module(인증 번호 3082)

Symantec DLP Cryptographic Module(인증 번호 2318)

Encryption - Desktop Email Encryption 10.3 FIPS 검증 완료 Symantec PGP SDK 4.2.1(인증 번호 1684)
Encryption - Drive Encryption 10.3 FIPS 검증 완료 Symantec PGP SDK 4.2.1(인증 번호 1684) 
Encryption - Endpoint Encryption 11.1.1 FIPS 검증 완료 PGP Cryptographic Engine 4.3
Encryption - File Share Encryption 10.3 FIPS 검증 완료 Symantec PGP SDK 4.2.1(인증 번호 1684) 
Encryption - Gateway Email Encryption 3.3 FIPS 검증 완료 Symantec PGP SDK 4.2.1(인증 번호 1684)
Encryption - Management Server 3.3 FIPS 검증 완료 Symantec PGP SDK 4.2.1(인증 번호 1684)
Encryption - Mobile Encryption FIPS 검증 완료 Symantec PGP SDK 4.2.1(인증 번호 1684)
Encryption - PGP Command Line 10.3 FIPS 검증 완료 Symantec PGP SDK 4.2.1(인증 번호 1684)
Encryption - PGP Key Management Client Access 10.3 FIPS 검증 완료 Symantec PGP SDK 4.2.1(인증 번호 1684)
Encryption - PGP Key Management Server 3.3 FIPS 검증 완료 Symantec PGP SDK 4.2.1(인증 번호 1684)
Endpoint Protection 12.1 FIPS 검증 완료

Symantec Java Cryptographic Module Version 1.2(인증 번호 2138) BSAFE

(인증 번호 1786)

Endpoint Protection Small Business Edition 12.1 FIPS 검증 완료 Java cryptography module 1.3.
Messaging Gateway 10.5 FIPS 검증 완료

Symantec Scanner Cryptographic Module, Symantec Control Center Cryptographic Module

OpenSSL & RSA B-safe wrapper

Mobility Suite - 호스팅 서비스 FIPS 검증 완료 OpenSSL
Mobility Suite - 온프레미스 FIPS 검증 완료 OpenSSL
Symantec Insight for Private Cloud FIPS 검증 완료 2개 OpenSSL 사용
자세히 보기

 

비 FIPS 시스템 제품

시만텍 제품 이름 상태 암호화 모듈 있음 암호화 모듈 유형
Control Compliance Suite - AM 해당 없음 아니요  
Cyber Security DeepSight Intelligence Datafeed
해당 없음 아니요  
Cyber Security DeepSight Intelligence Portal 해당 없음 아니요  
Endpoint Protection Small Business Edition 2013 해당 없음 아니요 Open SSL 0.98
Mail Security for Domino 8.1 해당 없음 아니요  
Mail Security for MS Exchange 7.5 해당 없음 아니요  
Norton Secure Login 현재는 아님 Java crypto
Protection Engine 7.5 해당 없음 아니요  
Protection for Sharepoint Servers 6.0 해당 없음 아니요  
Symantec Embedded Security: Critical System Protection 1.0
현재는 아님 OpenSSL
Validation and ID Protection Service(VIP) 현재는 아님 FIPS-mode OpenSSL
자세히 보기

 

Federal Risk and Authorization Management Program(FedRAMP)

시만텍 제품 상태
Symantec VIP 진행 중
Email Security for Government: SMG 승인됨

Federal Risk and Authorization Management Program, 즉 FedRAMP는 범정부 차원의 프로그램으로 클라우드 제품 및 서비스를 위한 보안 평가, 승인, 연속 모니터링에 표준화된 방식을 제공합니다. 즉 "한 번 설정으로 여러 번 사용" 가능한 프레임워크이므로 정부 비용을 30% ~ 40% 가량 줄일 뿐 아니라 중복 기관 보안 평가에 소요되는 시간 및 인력을 모두 절약할 수 있습니다. FedRAMP는 GSA(General Services Administration), NIST(National Institute of Standards and Technology), DHS(Department of Homeland Security), DOD(Department of Defense), NSA(National Security Agency), OMB(Office of Management and Budget), Federal CIO(Chief Information Officer) Council과 해당 실무 그룹 및 민간 기업의 사이버 보안 및 클라우드 전문가들의 긴밀한 협업을 통해 탄생한 것입니다.

목표

  • 평가 및 승인 재사용으로 보안 클라우드 솔루션의 도입 가속화
  • FedRAMP 내외에서 클라우드 제품 승인에 사용될 합의된 기본 표준 모음을 사용하여 클라우드 솔루션 보안에 대한 신뢰도 강화, 일관성 있는 보안 권한 확보
  • 기존 보안 프랙티스를 일관성 있게 적용, 보안 평가에 대한 신뢰도 향상
  • 자동화 및 근실시간 데이터를 확대하고 활용하여 연속 모니터링

혜택

  • 여러 기관 간에 기존 보안 평가 재사용 확대
  • 비용, 시간, 리소스를 획기적으로 절약 - "한 번 설정으로 여러 번 사용 가능"
  • 실시간 보안 가시성 향상
  • 통일된 리스크 기반 관리 방식 제공
  • 정부 기관과 CSP(Cloud Service Provider) 간의 투명성 강화
  • 연방 보안 승인 프로세스의 신뢰성, 안정성, 일관성, 품질 향상

주요 관계자

FedRAMP 프로세스는 정부 기관, CSP, 외부 평가 기관(3PAO)의 세 주요 관계자로 구성됩니다. 정부 기관은 클라우드 서비스를 선택하고 FedRAMP 프로세스를 활용하며 CSP의 FedRAMP 요건 이행을 요구해야 합니다. CSP는 기관에 실제 클라우드 서비스를 제공하며 서비스 구현에 앞서 모든 FedRAMP 요건을 준수해야 합니다. 3PAO는 FedRAMP 요건에 따라 CSP 시스템의 초기 및 정기 평가를 실시하고 컴플라이언스 증거를 제출하며 지속적으로 CSP의 요건 이행을 점검합니다.  FedRAMP P-ATO(Provisional Authorization)는 일관성 있는 평가 프로세스를 위해 공인 3PAO의 평가를 포함해야 합니다.

주요 프로세스

FedRAMP는 3단계 프로세스로 클라우드 시스템을 승인합니다.

  1. 보안 평가: 보안 평가 프로세스에서는 보안 승인을 취득하고자 기본 NIST 800-53 제어를 사용하여 FISMA에 따라 표준화된 요건을 적용합니다.
  2. 활용 및 승인: 연방 기관이 FedRAMP 리포지토리에서 보안 승인 패키지를 조회하고 이 보안 승인 패키지를 활용하여 각자의 기관에서 보안 승인을 부여합니다.
  3. 지속적인 평가 및 승인: 승인받더라도 지속적인 평가 및 승인 활동이 수행되어야 보안 승인이 유지됩니다.

거버넌스

FedRAMP는 범정부 차원의 프로그램으로 수많은 부서, 기관, 정부 그룹의 의견을 반영합니다. 이 프로그램의 1차 의사결정 기구인 공동 승인 위원회(Joint Authorization Board, JAB)는 DOD, DHS, GSA의 CIO로 구성되었습니다.  JAB 외에도 OMB, Federal CIO Council, NIST, DHS, FedRAMP Program Management Office(PMO)도 효과적으로 FedRAMP를 운영하면서 중요한 역할을 수행합니다.

 

VPAT(Voluntary Product Accessibility Templates)

시만텍은 장애 유무와 상관없이 어떤 능력을 가진 사람도 사용할 수 있는 기술 솔루션을 개발하기 위해 최선을 다하고 있습니다. 이를 위해 시만텍은 Information Technology Industry Council에서 개발한 VPAT™(Voluntary Product Accessibility Template) 를 활용하여 정부 기관의 계약 담당자 및 기타 구매자가 시만텍 제품 및 서비스의 접근성 기능을 평가하도록 지원합니다.

그러나 VPAT를 배포하더라도 시만텍이 전자 및 정보 기술 구매에서 재활법(Rehabilitation Act of 1973 (29 U.S.C. § 794 (d))) 508조 요건을 준수할 것임을 인증하는 것은 아닙니다.

시만텍의 VPAT 프로그램에 대한 자세한 내용은 시만텍에 문의하십시오.