客戶信任入口網站

瞭解有關賽門鐵克客戶資料防護的資訊安全政策、標準和保證計劃。

安全計劃摘要

信任是我們業務的基礎

致力於保護隱私和個人資料

保護您最寶貴的資產是我們業務的核心,賽門鐵克隨時保持警覺,保護您的資料及這些資料所代表的個人隱私。

  • 資料與資料保護是我們所做的一切的核心:我們的業務建立在安全性、合規性和責任制的基礎上,使我們能夠保護客戶最重視的資產。
  • 我們支持歐盟「一般資料保護規章」(GDPR) ,也致力於捍衛隱私權。
  • 隱私是基本人權,保護個人資料 ─ 無論是我們自己的、客戶的或合作夥伴的資料,都是我們承諾的企業責任的一部分。
全球認證管理

客戶信任辦公室

客戶信任辦公室在銷售過程中為支持賽門鐵克的客戶盡職調查要求發揮了關鍵作用,此後,確保客戶能夠對賽門鐵克資訊安全策略、實踐和產品保證足夠瞭解。全球安全辦公室 (GSO) 的這個團隊會與銷售、法律和產品團隊進行協調,以響應客戶的資訊安全評估 (ISA) 問卷或提供產品保證文件 (例如 ISO 27001 認證、SOC 審核報告、證據滲透測試或漏洞掃描結果)。

安全性認證

隱私權聲明

賽門鐵克的隱私權聲明說明我們會透過賽門鐵克的網站收集的資訊類型、這些資訊的可能使用方式,以及這些資訊可能分享的對象。我們的隱私權聲明也說明了賽門鐵克為了保護資訊安全所採取的措施。我們也將說明如何與我們聯絡,以便更新您的資訊、將您的名字從我們的郵寄清單中移除,或是得到關於賽門鐵克內部隱私權做法的答覆。

資訊安全政策與標準

賽門鐵克的資訊安全政策和標準符合產業標準,例如 、CSA、NIST、ISO/IEC 27001、SOC 2 和 PCI。這些政策和標準每年都會根據需要進行審核與更新。下列資訊安全域涵蓋賽門鐵克資訊安全政策和標準:

  • 風險管理與合規
  • 安全訓練與認知
  • 個人安全
  • 資料分類與防護
  • 加密和金鑰管理
  • 資安事端管理和回應
  • 供應鏈風險管理
  • 邏輯存取控制
  • 工作場所和資料中心安全
  • 端點安全
  • 架構和雲端安全
  • 變更管理
  • 資產管理
  • 產品開發和運作安全
  • 業務備援性和災難復原
  • 資料備份與復原
  • 可接受的使用和媒體處理
  • 漏洞和修補程式管理
  • 安全監控

使命

賽門鐵克的全球認證專業員工積極提高全球認證最佳實務準則意識,並且為我們的產品團隊提供囊括一切的指南與支援,以協助他們瞭解必要的業務與技術管道,以便取得並且維持賽門鐵克產品認證。

 

賽門鐵克認證

聯邦風險與授權管理計劃 (FedRAMP)

賽門鐵克產品 狀態
Symantec VIP 處理中
Email Security for Government: SMG 已授權
Symantec DLP 處理中
Symantec CloudSOC 處理中

 

聯邦風險與授權管理計劃,簡稱 FedRAMP,是跨越整個政府的計劃,提供標準經的雲端產品與服務安全評估、授權、持續監測方法。此方法使用「一次安裝,多次使用」框架,可節省大約 30-40% 的政府費用,同時還避免了重複性的機構安全評估,節省了時間與人力。FedRAMP 是與來自美國總務管理局 (GSA)、國家標準與技術研究院 (NIST)、國土安全局 (DHS)、國防部 (DOD)、國家安全局 (NSA)、管理與預算辦公室 (OMB)、聯邦資訊長 (CIO) 委員會及其工作小組以及私人企業的網路安全及雲端專家密切合作的結果。

目標

  • 透過重複使用評估與授權來加快安全雲端解決方案的採用
  • 增加對雲端解決方案安全性的信心,相信使用約定的基準可達到持續的安全授權,以用於 FedRAMP 內外的雲端產品批准
  • 確保持續應用現有安全實務,加強對安全評估的信心
  • 增加自動化與近乎即時的資料以進行持續監控

效益

  • 跨機構提高對現有安全評估的重複使用
  • 以「一次安裝,多次使用」大幅節省成本、時間與資源
  • 改善即時安全能見度
  • 為基於風險的管理提供統一的方法
  • 增強政府與雲端服務供應商 (CSP) 之間的透明度
  • 改善聯邦安全授權流程的可信度、可靠度、一致性與品質

主要角色

主要角色 FedRAMP 流程中共有三個主要角色:代理、CSP、第三方評估組織 (3PAO)。代理負責選擇雲端服務、運用 FedRAMP 流動、要求 CSP 滿足 FedRAMP 的要求。CSP 提供實際的雲端服務給代理,而且必須滿足所有 FedRAMP 要求後才能建置其服務。3PAO 按照 FedRAMP 要求執行 CSP 系統的初始與定期評估,提供遵循法規的證據,確保 CSP 達到要求。 FedRAMP 臨時授權 (P-ATO) 必須包括經認可的 3PAO 進行的評估,以確保評估流程一致。

關鍵流程

FedRAMP 在由三個步驟組成的流程中授權雲端系統:

  1. 安全評估:根據 FISM,安全評估流程使用一組標準化的要求,使用一組基準 NIST 800-53 控制方法來核准安全授權。
  2. 運用與授權:聯邦政府在 FedRAMP 資料庫中查看安全授權方案並且運用安全授權方案在自身的機構核准安全授權。
  3. 持續評估與授權:核准授權後,必須完成持續的評估與授權活動,以維持安全授權。

政府

FedRAMP 是橫跨整個政府的計劃,並且由多個部門、機構與政府集團貢獻力量。該計劃的主要決策機構是聯合授權委員會 (JAB),由來自 DOD、DHS、GSA 的 CIO 組成。 除了 JAB 之外,OMB、聯邦 CIO 委員會、NIST、DHS 及 FedRAMP 計劃管理辦公室 (PMO) 在有效營運 FedRAMP 方面產生重要的作用。

 

自發產品協助工具範本

賽門鐵克致力於開發適用於所有人員的技術解決方案。為此,我們利用資訊技術行業理事會制定的自發產品協助工具範本  (VPAT™),為政府合同官員和其他買家在使我們的產品和服務的輔助功能評估提供支援。

但發布 VPAT 並不構成賽門鐵克對電子和資訊技術的採購符合 1973 年「康復法案」第 508 節 (29 USC§794 (d)) 要求進行認證。

有關賽門鐵克 VPAT 計劃的更多資訊,請與我們連絡

通用標準

國際通用標準認證安排 (CCRA) 集合了 26 個國家,這些國家同意接受用於評估資訊技術產品及資訊保護與安全的防護設定檔的統一方法。透過在創造更高的採購決策透明度、更高的評估精準度、更加均衡的安全性與功能、從產業更快地取得產品,這一安排造福了成員國政府及 IT 產品的其他客戶。

作爲國際標準 ISO/IEC15408 與 ISO/IEC 18045 的基礎,《通用標準》這一框架使得:

  • 政府、軍方與其他使用者可以透過使用防護設定檔來詳細說明他們的安全功能保障要求。
  • 然後供應商可以建置產品與/或對產品的安全屬性進行聲明,
  • 而測試實驗室則可以評估產品,以確定他們是否真正達到要求。

資料來源:通用標準 IT 安全性評估與國家資訊保障合作夥伴

另請參閱《國家資訊保障政策》《通用標準》瞭解更多資訊。

檢視更多內容

 

Federal Identity, Credential and Access Management (FICAM)

FICAM TFS 是用於美國聯邦政府的聯邦身份框架。此框架包含指南、流程與支援基礎架構,可實現針對國民與企業的安全又精簡的線上服務交付。

已獲 NSL IDEF 認證。IDEF 是第 1.0 版身份生態系統框架。這是一個有效且使用中的認證,同時適用於公共部門與商業市場。

以下諾頓安全登入與認證套件,適用於由 GSA 執行的 FICAM 計劃。 請參閱此處瞭解經批准的身份供應商名單

如需更多資訊,請聯絡 Adam Madlin

聯邦資訊處理標準刊物 140-2 (FIPS 140-2)

FIPS 140-2 產品狀態

聯邦資訊處理標準 140-2 (FIPS 140-2) 驗證對銷售加密法給聯邦市場的任何供應商都非常重要。如果您的 IT 產品使用了任何形式的加密,那麼可能需要密碼模組驗證計劃 (CMVP) 針對 FIPS 140-2 標準的驗證,該計劃由國家標準與技術研究院 (NIST) 在美國以及通訊安全局 (CSE) 在加拿大執行,之後,產品才能夠在聯邦機構或國防部設施銷售與安裝。

FIPS 140-2 說明了美國聯邦政府的要求,即 IT 產品應做到敏感但不保密 (SBU) 的使用。此標準由 NIST 發佈,已被 CSE 採納,並且由這些機構在 CMVP 下進行聯合管理。

此標準定義了 IT 系統中護理不保密資訊的安全系統中所使用的加密模組必須達到的安全要求。安全等級共有四個:從 1 級 (最低) 到 4 級 (最高)。這些等級預期將涵蓋較大範圍內可能會採用加密模組的潛在應用程式與環境。安全要求涵蓋多個領域,這些領域與加密模組的安全設計及建置相關。這些領域包括基本設計與說明文件、模組介面、經授權的角色與服務、實體安全、軟體安全、作業系統安全、金鑰管理、加密演算法、電磁干擾/電磁相容性 (EMI/EMC) 與自我測試。 請參閱此處瞭解關於 FIPS 140-2 要求的其他資訊,包括 NIST 連結。

經賽門鐵克驗證的產品清單

下列為賽門鐵克產品,並且標明其狀態,表明清單內的產品是否:

  • 經過 FIPS 140-2 驗證
    • 產品使用一種現有加密模組 (賽門鐵克或第三方) 並且已經過「自有品牌」驗證流程
  • 相容
    • 產品使用一種現有經驗證的第三方模組,但是沒有明確取得 NIST 的私人驗證
  • 不適用
    • 產品不含加密模組
  • 目前沒有
    • 產品擁有加密模組,但這次沒有經由 FIPS 140-2 驗證。

下方的簡要說明包含不斷變化的產品線,所以不保證準確,但是我們將竭盡所能依產品提供目前的最新狀態/FIPS 140-2 狀態。賽門鐵克不保證其所有軟體與硬體產品、服務或硬體裝置解決方案符合或滿足 FIPS 140-2 的要求。

若對本文中的 FIPS 140-2 狀態/內容有疑問,或者需要告知更新後的 FIPS 產品狀態,請聯絡我們

遵循 FIPS 的賽門鐵克產品

賽門鐵克產品名稱 狀態 擁有加密模組 加密模組類型
Data Center Security 6.6 遵循 FIPS OpenSSL 與 BSAFE (證書編號 1058)
IT Management Suite 8.0 遵循 FIPS  
Critical System Protection 7.x 遵循 FIPS  

檢視更多內容

 

FIPS 驗證的賽門鐵克產品

賽門鐵克產品名稱 狀態 擁有加密模組 加密模組類型
Data Loss Prevention 12.5 經過 FIPS 驗證 Symantec Java Cryptographic Module (驗證證書編號 2138)
Symantec DLP Cryptographic Module (驗證證書編號 2318)
Data Loss Prevention 14.0 經過 FIPS 驗證 Symantec Java Cryptographic Module (驗證證書編號 2138)
Symantec DLP Cryptographic Module (驗證證書編號 2318)
Data Loss Prevention 15.0 經過 FIPS 驗證 Symantec Java Cryptographic Module (驗證證書編號 3082)
Symantec DLP Cryptographic Module (驗證證書編號 2318)
Data Loss Prevention 15.1 經過 FIPS 驗證 Symantec Java Cryptographic Module (驗證證書編號 3082)
Symantec DLP Cryptographic Module (驗證證書編號 2318)
加密 - Desktop Email Encryption 10.3 經過 FIPS 驗證 Symantec PGP SDK 4.2.1 (證書編號 1684)
加密 - Drive Encryption 10.3 經過 FIPS 驗證 Symantec PGP SDK 4.2.1 (證書編號 1684) 
加密 - Endpoint Encryption 11.1.1 經過 FIPS 驗證 PGP Cryptographic Engine 4.3
加密 - File Share Encryption 10.3 經過 FIPS 驗證 Symantec PGP SDK 4.2.1 (證書編號 1684) 
加密 - Gateway Email Encryption 3.3 經過 FIPS 驗證 Symantec PGP SDK 4.2.1 (證書編號 1684)
加密 - Management Server 3.3 經過 FIPS 驗證 Symantec PGP SDK 4.2.1 (證書編號 1684)
加密 - Mobile Encryption 經過 FIPS 驗證 Symantec PGP SDK 4.2.1 (證書編號 1684)
加密 - PGP Command Line 10.3 經過 FIPS 驗證 Symantec PGP SDK 4.2.1 (證書編號 1684)
加密 - PGP Key Management Client Access 10.3 經過 FIPS 驗證 Symantec PGP SDK 4.2.1 (證書編號 1684)
加密 - PGP Key Management Server 3.3 經過 FIPS 驗證 Symantec PGP SDK 4.2.1 (證書編號 1684)
Endpoint Protection 12.1 經過 FIPS 驗證 Symantec Java Cryptographic Module Version 1.2 (證書編號 2138) BSAFE
(證書編號 1786)
Endpoint Protection Small Business Edition 12.1 經過 FIPS 驗證 Java cryptography module 1.3
Messaging Gateway 10.5 經過 FIPS 驗證 Symantec Scanner Cryptographic Module;Symantec Control Center Cryptographic Module
OpenSSL 與 RSA B-safe wrapper
Mobility Suite - 託管 經過 FIPS 驗證 OpenSSL
Mobility Suite - 內部部署 經過 FIPS 驗證 OpenSSL
Symantec Insight for Private Cloud 經過 FIPS 驗證 使用兩種 OpenSSL

檢視更多內容

 

非 FIPS 賽門鐵克產品

賽門鐵克產品名稱 狀態 擁有加密模組 加密模組類型
Control Compliance Suite - AM 不適用  
Cyber Security DeepSight Intelligence Datafeed 不適用  
Cyber Security DeepSight Intelligence Portal 不適用  
Endpoint Protection Small Business Edition 2013 不適用 Open SSL 0.98
Mail Security for Domino 8.1 不適用  
Mail Security for MS Exchange 7.5 不適用  
Norton Secure Login 目前沒有 Java 加密
Protection Engine 7.5 不適用  
Protection for Sharepoint Servers 6.0 不適用  
Symantec Embedded Security: Critical System Protection 1.0 目前沒有 OpenSSL
Validation and ID Protection Service (VIP) 目前沒有 FIPS-mode OpenSSL

檢視更多內容