客户信任门户

访问有关赛门铁克信息安全政策、标准和保证计划的相关信息和资源,了解赛门铁克如何保护客户数据。

安全计划摘要

信任是我们业务的根基

承诺保护隐私和个人数据

保护您最宝贵的资产是我们业务的核心,赛门铁克同时也不遗余力地保护您的数据以及个人隐私权。

  • 数据及其保护是我们业务的核心:我们业务的建立根本是安全性、合规性和问责制,这些原则促使我们倾尽全力保护客户最宝贵的资产。
  • 我们支持欧盟的《通用数据保护条例》(GDPR),全力保护客户隐私权。
  • 隐私是一项基本人权,保护个人数据,无论是我们自己、客户还是合作伙伴的数据,正是践行我们的企业责任承诺。
全球认证管理

客户信任办公室

销售过程中,客户信任办公室可大力支持赛门铁克的客户尽职调查需求,从而确保客户对赛门铁克信息安全政策、做法和产品保证有全面的认识和了解。全球安全办公室 (GSO) 内的团队与销售、法务和产品团队进行协调,及时响应客户的信息安全评估 (“ISA”) 问卷或提供产品保证文档(例如 ISO 27001 认证、SOC 审核报告、证据渗透测试或漏洞扫描结果)。

了解更多信息

安全认证

隐私声明

赛门铁克的隐私声明介绍了我们通过赛门铁克网站收集的信息类型、这些信息的使用方法以及可以与我们共享这些信息的用户。我们的隐私声明介绍了我们为保障信息安全所采取的措施。我们还提供了我们的联系方法,以帮助您更新信息、从我们的邮件列表中删除您的姓名,或解答您对赛门铁克隐私准则的疑问。

Learn More

信息安全政策和标准

赛门铁克的信息安全政策和标准符合行业标准,例如 ISO、CSA、NIST/IEC 27001、SOC 2 和 PCI。这些政策和标准每年都会根据需要进行审查和更新。赛门铁克的信息安全政策和标准涵盖以下信息安全域:

  • 风险管理和合规
  • 安全培训和安全意识
  • 专业人士安全
  • 数据分类和保护
  • 加密和密钥管理
  • 安全事件管理和响应
  • 供应链风险管理
  • 逻辑访问控制
  • 工作场所和数据中心安全
  • 端点安全
  • 架构和云安全
  • 变更管理
  • 资产管理
  • 产品开发和运营安全
  • 业务韧性和灾难恢复
  • 数据备份与恢复
  • 可接受的使用和介质处理
  • 漏洞和补丁管理
  • 安全监控

使命

赛门铁克全球认证专家团队积极宣传全球认证最佳做法,为我们的产品团队提供全面的指导和支持,帮助他们通过必要的业务和技术渠道获取和维护赛门铁克产品证书。

 

赛门铁克认证

通用标准

国际通用标准认可协议 (CCRA) 在 26 个国家/地区之间签署,这些国家/地区同意使用有关信息技术产品和保护配置的统一评估方法来实现信息保证和安全。该协议使采购决策更加清晰、评估更加精确、安全性和功能之间的平衡更佳、获取行业产品的速度更快,以此为成员国政府和 IT 产品的其他客户提供优势。

作为国际标准 ISO/IEC15408 和 ISO /IEC 18045 的基础,通用标准是一个框架,其中:

  • 政府、军队和其他用户可以通过使用保护配置来规定其安全功能保证要求
  • 然后供应商可实施和/或对其产品的安全属性进行声明,
  • 测试实验室可以对产品进行评估,以确定它们是否确实与声明相符。

资料来源:IT 安全评估和国家信息保障合作的通用准则

另请参阅国家信息保障政策通用准则,了解更多信息。

查看更多
查看少

 

Federal Identity, Credential and Access Management (FICAM)

FICAM TFS 是美国联邦政府的联邦身份信息管理框架。它包括指导、流程和支持基础架构,以实现安全又简便的公民和企业在线服务交付。

已获得 NSL IDEF 认证。IDEF 是身份生态系统框架 1.0 版。这是一个有效的认证框架,适用于公共部门和商业市场。

以下 Norton Secure Login 和认证软件包适用于 GSA 运行的 FICAM 计划。 请参阅此处,获取批准身份提供商列表。

有关更多信息,请联系 Adam Madlin

联邦信息处理标准出版物 140-2 (FIPS 140-2)

FIPS 140-2 产品状态

联邦信息处理标准 140-2 (FIPS 140-2) 验证对于向联邦市场销售加密技术的供应商非常重要。如果您的 IT 产品运用任何形式的加密,则可能需要美国国家标准与技术研究院 (NIST) 和加拿大电信安全局 (CSE) 与加密模块验证计划 (CMVP) 联合起草的 FIPS 140-2 标准进行验证,才可以在联邦机构或 DoD 设施进行销售和安装。

FIPS 140-2 描述了美国联邦政府规定的 IT 产品就未分类敏感信息的 (SBU) 使用应满足的要求。该标准由 NIST 发布并被 CSE 采用,由 CMVP 下的机构共同管理。

该标准定义了保护 IT 系统内未分类信息的安全系统中所用的加密模块必须满足的安全要求。安全级别共有四个:从 1 级(最低)到 4 级(最高)。这些级别旨在涵盖可能部署加密模块的各种潜在应用和环境。安全要求涵盖与加密模块的安全设计和实施相关的领域。这些领域包括基本设计和文档、模块接口、授权角色和服务、物理安全、软件安全、操作系统安全、密钥管理、密码算法、电磁干扰/电磁兼容性 (EMI/EMC) 和自测试。 请参阅此处,了解有关 FIPS 140-2 要求的其他信息,包括 NIST 链接。

赛门铁克验证产品列表

以下列出的是赛门铁克产品,以及所列产品的状态是否通过如下验证:

  • FIPS 140-2 验证
    • 产品使用现有加密模块(赛门铁克或第三方),并已通过“专有标签”验证流程
  • 兼容
    • 产品使用经过验证的现有第三方模块,但尚未明确获得 NIST 的专有验证
  • N/A
    • 产品不包含加密模块
  • 目前未通过验证
    • 产品拥有加密模块,但目前未通过 FIPS 140-2 验证

下面的时间快照涉及到不断变化的产品线,因此不能保证准确性,但是我们会尽力使每个产品的当前状态/FIPS 140-2 状态保持最新。赛门铁克不保证其所有软件和硬件产品、服务或设备解决方案均符合 FIPS 140-2 要求或经过验证。

如有 FIPS 140-2 状态/内容的问题或要记录更新的 FIPS 产品状态,请联系我们

兼容 FIPS 的赛门铁克产品

赛门铁克产品名称 状态 是否拥有加密模块 加密模块类型
Data Center Security 6.6 兼容 FIPS OpenSSL with BSAFE(证书编号 1058
IT Management Suite 8.0 兼容 FIPS  
Critical System Protection 7.x 兼容 FIPS  

查看更多
查看少

 

经过 FIPS 验证的赛门铁克产品

赛门铁克产品名称 状态 是否拥有加密模块 加密模块类型
Data Loss Prevention 12.5 FIPS 验证 Symantec Java Cryptographic Module(验证证书编号 2138
Symantec DLP Cryptographic Module(验证证书编号 2318
Data Loss Prevention 14.0 FIPS 验证 Symantec Java Cryptographic Module(验证证书编号 2138
Symantec DLP Cryptographic Module(验证证书编号 2318
Data Loss Prevention 15.0 FIPS 验证 Symantec Java Cryptographic Module(验证证书编号 3082
Symantec DLP Cryptograhic Module(验证证书编号 2318
加密 - Desktop Email Encryption 10.3 FIPS 验证 Symantec PGP SDK 4.2.1(证书编号 1684)
加密 - Drive Encryption 10.3 FIPS 验证 Symantec PGP SDK 4.2.1(证书编号 1684) 
加密 - Endpoint Encryption 11.1.1 FIPS 验证 PGP Cryptographic Engine 4.3
加密 - File Share Encryption 10.3 FIPS 验证 Symantec PGP SDK 4.2.1(证书编号 1684) 
加密 - Gateway Email Encryption 3.3 FIPS 验证 Symantec PGP SDK 4.2.1(证书编号 1684)
加密 - Management Server 3.3 FIPS 验证 Symantec PGP SDK 4.2.1(证书编号 1684)
加密 - Mobile Encryption FIPS 验证 Symantec PGP SDK 4.2.1(证书编号 1684)
加密 - PGP Command Line 10.3 FIPS 验证 Symantec PGP SDK 4.2.1(证书编号 1684)
加密 - PGP Key Management Client Access 10.3 FIPS 验证 Symantec PGP SDK 4.2.1(证书编号 1684)
加密 - PGP Key Management Server 3.3 FIPS 验证 Symantec PGP SDK 4.2.1(证书编号 1684)
Endpoint Protection 12.1 FIPS 验证 Symantec Java Cryptographic Module 1.2(证书编号 2138)BSAFE
证书编号 1786
Endpoint Protection Small Business Edition 12.1 FIPS 验证 Java Cryptography Module 1.3
Messaging Gateway 10.5 FIPS 验证 赛门铁克扫描程序加密模块;赛门铁克控制中心加密模块
OpenSSL 和 RSA B 安全包装器
Mobility Suite - Hosted FIPS 验证 OpenSSL
Mobility Suite - On Premise FIPS 验证 OpenSSL
Symantec Insight for Private Cloud FIPS 验证 使用两个 OpenSSL

查看更多
查看少

 

非 FIPS 赛门铁克产品

赛门铁克产品名称 状态 是否拥有加密模块 加密模块类型
Control Compliance Suite - AM N/A  
Cyber Security DeepSight Intelligence Datafeed N/A  
Cyber Security DeepSight Intelligence Portal N/A  
Endpoint Protection Small Business Edition 2013 N/A Open SSL 0.98
Mail Security for Domino 8.1 N/A  
Mail Security for MS Exchange 7.5 N/A  
Norton Secure Login 目前未通过验证 Java 加密
Protection Engine 7.5 N/A  
Protection for Sharepoint Servers 6.0 N/A  
Symantec Embedded Security: Critical System Protection 1.0 目前未通过验证 OpenSSL
Validation and ID Protection Service (VIP) 目前未通过验证 FIPS 模式 OpenSSL

查看更多
查看少

联邦风险和授权管理计划 (FedRAMP)

赛门铁克产品 状态
Symantec VIP 进行中
Email Security for Government: SMG 已授权

 

联邦风险和授权管理计划或 FedRAMP 是美国政府范围的计划,它采用标准化方法对云产品和服务进行安全评估、授权和连续监控。这种方法使用“一次授权,多次应用”的框架,可节省大约 30-40% 的政府成本以及开展冗余机构安全评估所需的时间和人员。FedRAMP 是总务管理局 (GSA)、国家标准与技术研究院 (NIST)、国土安全部 (DHS)、国防部 (DOD)、国家安全局 (NSA)、管理和预算办公室 (OMB)、联邦首席信息官 (CIO) 理事会及其工作组以及私营企业的网络安全和云专家密切合作的成果。

目标

  • 通过重新使用评估和授权加速安全云解决方案的采用
  • 通过一组用于 FedRAMP 内外的云产品批准的商定标准,增加对云解决方案安全性的信心并实现高度一致的安全授权
  • 确保现有安全实践的一致性,增加对安全评估的信心
  • 提高自动化程度,并通过近乎实时的数据实现连续监控

优势

  • 增加各机构现有安全评估的重复使用
  • 节省大量的成本、时间和资源 ——“一次授权,多次应用”
  • 提高实时安全可视性
  • 提供统一的风险管理方法
  • 增强政府和云服务提供商 (CSP) 之间的透明度
  • 提高联邦安全授权过程的可信性、可靠性、一致性和质量

主要参与者

主要参与者:FedRAMP 流程中有三个主要参与者,分别是代理商、CSP 和第三方评估组织 (3PAO)。代理商负责选择云服务、利用 FedRAMP 流程并要求 CSP 满足 FedRAMP 的要求。CSP 向代理商提供实际的云服务,并且在实施其服务之前必须符合所有的 FedRAMP 要求。3PAO 根据 FedRAMP 要求对 CSP 系统进行初始和定期评估、提供合规证据并在确保 CSP 满足要求方面发挥持续作用。 FedRAMP 临时操作授权 (P-ATO) 必须包括由认可的 3PAO 进行的评估,以确保一致的评估过程。

主要流程

FedRAMP 通过三步骤流程授权云系统:

  1. 安全评估:安全评估流程采用符合 FISMA(使用基准的 NIST 800-53 控制集来授予安全授权)的一套标准化要求。
  2. 利用和授权:联邦机构查看 FedRAMP 存储库中的安全授权包,并利用安全授权包在其自己的代理处授予安全授权。
  3. 持续评估和授权:在授予授权之后,必须完成持续的评估和授权活动来维护安全授权。

治理

FedRAMP 是一个政府级计划,其中包括来自众多部门、机构和政府团体的参与。该计划的主要决策机构是联合授权委员会 (JAB),由 DOD、DHS 和 GSA的 CIO 组成。 除了 JAB 之外,OMB、联邦 CIO 委员会、NIST、DHS 和 FedRAMP 计划管理办公室 (PMO) 在有效运行 FedRAMP 方面也扮演关键角色。

 

自愿性产品无障碍辅助功能模板

赛门铁克致力于开发适用于所有人员的技术解决方案。为此,我们利用信息技术产业理事会制定的自愿性产品无障碍辅助功能模板 (VPAT™) ,协助政府员工和其他买家评估我们产品和服务的无障碍功能。

但是,发布 VPAT 并不能证明 Symantec(赛门铁克)对任何电子和信息技术的采购符合 1973 年“康复法案”第 508 节 (29 U.S.C. § 794 (d)) 的要求。

如需了解有关赛门铁克 VPAT 计划的更多信息,请联系我们