在同一處了解您的權利和我們的責任
安全性政策
簡介
文件目的
本文件旨在概述 ESET 基礎架構中所應用的技術、組織和實體控制和安全性實務,其中包括 ESET 產品、應用程式、解決方案和 ESET 服務 (以下稱「產品」)。安全性措施、控制項和原則旨在保護
•在內部部署或雲端環境中執行之 ESET 產品組合操作和資料處理
•客戶資料的機密性、完整性和可用性
•非法破壞、遺失、變更、未經授權披露或存取的客戶資訊
ESET 可能更新本文件及其所規範的特定措施、控制項和原則,以滿足變化的威脅並適應發展中的安全技術和業界標準。
適用對象
任何需確認 ESET 產品組合安全性或預計將 ESET 整合到其環境,以使用 ESET 解決方案或服務的客戶。
背景、概念和範圍
ESET, spol s r.o. 公司具有 ISO 27001:2022 認證,具有整合管理系統。
因此,資訊安全性管理的概念使用 ISO 27001 架構,以在安全性控制項套用於網路、作業系統、資料庫、應用程式、人員與作業流程等資訊系統架構各階層時實作階層式防護安全性策略。應用的安全性實務和安全性控制項旨在相互重疊和互補。
本文件範圍為概述針對 ESET 產品組合、組織、人員與作業流程所實施之技術和組織措施。
安全性實務和控制項包括治理和技術措施,包括但不限於:
•資訊安全性原則
•資訊安全性組織
•人力資源安全性
•存取控制
•密碼編譯
•實體與環境安全性
•資料防護、網路安全性、應用程式安全性
•作業安全性
•通訊安全性
•系統取得、開發和維護
•供應商關係
•資訊安全性事件管理
•業務永續性管理的資訊安全性層面
•合規性
縮寫
縮寫名詞 |
完整名詞 |
|---|---|
公司 |
ESET, spol. s r. o. |
CSP |
雲端服務提供者 |
DR |
災難恢復 |
ESET |
ESET, spol. s r. o. |
GDPR |
一般資料防護規則 |
ICT |
資訊和通訊技術 |
IR |
事件回應 |
IS |
資訊安全 |
ISMS |
資訊安全管理系統 |
IT |
資訊技術 |
NIS |
實施網路和資訊安全指令的網路安全法 |
PKI |
公用金鑰基礎架構 |
產品 |
ESET 產品組合 – 例如產品、應用程式、雲端平台、解決方案和 ESET 服務 |
SIEM |
安全性資訊和事件管理 |
SSDLC |
安全軟體開發週期 |
QMS |
品質管理系統 |
附註:斜體 - 用於所引用之不對外公開內部公司文件的名稱,例如內部規範政策
安全性治理
資訊安全管理計畫
ESET 已建立並維護資訊安全性管理計畫框架,用於導向資訊資產防護的跨組織功能。資訊安全文件係根據內部規範政策之安全性政策、程序和文件。ESET 採取整合管理系統原則,該原則為頂級
•ISMS 原則、
•QMS 原則和
•資訊安全性原則。
ESET 遵守其整合式管理系統原則,該原則定義品質和資訊安全性管理框架。本政策由 ESET 首席資安長 (CISO) 負責,其代表最高管理層對安全和品質的承諾。它定義對這些網域的管理和確保負責,並概述 ESET 致力於根據 ISO 9001 和 ISO 27001 標準持續評估和改善其管理系統的效益。
每年會對企業政策進行一次記錄、維護和審查,並在有重大更改後進行更新,以確保其持續維持適用性、充分性和有效性。更新內容會傳達給內部員工,且所有員工皆適用該政策。原則由首席執行官正式採取、簽署、發佈並傳達給所有員工和相關方。ESET 員工在登入時正式承認原則。
除原則外,ESET 的資訊安全性和技術安全性團隊已根據業界和供應商安全最佳實務 (例如 CIS 基準、OWASP、NIST) 設計過程、程序、標準和配置基準。此等資料提供給 IT 和技術團隊,以確保 ESET 資訊系統和產品的安全開發、配置和運作。
ESET 維護相互連線的治理文件,該文件根據 ESET 對 ISO 9001 和 ISO 27001 的認證而設計並提供給所有員工。作業程序適用於每個團隊的特定需求,並在指定工作區域內進行管理,並根據需要更新。
已建立政策遵守監控和紀律程序,以解決和修正任何不遵守安全性原則的情況,以強化 ESET 的負責義務和持續改善。
為了確保持續遵守和有效性,ESET 已實施風險管理框架,並保持技術和組織控制。ESET 的風險管理過程包括其整合管理系統 (基於 ISO 9001 和 ISO 27001) 中全面評估和管理風險。這包括評估資產、識別安全性要求、計算風險以及選擇適當的緩解策略。首席資訊安全性官員 (CISO) 監督整體風險管理過程,確保安全性風險和相關指標定期向執行管理機構報告。此外,根據 ESET 合約安全標準,第三方風險管理會透過供應商評估進行嚴格執行。
符合業界標準
對依賴 ESET 的能力和技術來保護資料和遵守規範要求的組織而言,外部驗證和認證至關重要。詳細資料請參閱 ESET 認證頁面。
合規性監控
整合管理系統原則建立了整合管理系統,包括定期審查和審核。
內部審核會定期檢查遵守內部審核原則所述 ESET 原則和程序。內部規範原則規定負責定期監控內部規範的適用以及必要時的相關調整。
定期審查和內部和外部審核根據年度和三年長期審核計劃進行。獨立審核人員會進行內部審核,他們會定期評估是否遵守 ESET 的原則和程序或適用標準 (例如 ISO 9001, ISO 27001 和 SOC2) 取決於審核範圍。內部審核應至少每年計劃並進行。審核結果會收集並記錄在專用票券系統中,其各自擁有者將負責在預先定義的時間範圍內處理和解決不合規。需要管理監管的審核結果和決定會在定期管理審查會議中進行審查。
資訊安全性組織
資訊安全性責任是根據現有的資訊安全性原則分配的。找出並評估內部程序中是否有任何未經授權或無意間修改或濫用 ESET 資訊資產的風險。內部程序的高風險或敏感活動採用安全性最佳實務來降低風險。
從概念到專案完成,使用套用的專案管理架構在專案管理中考量資訊安全性。
透過使用在行動裝置上實作的政策,來涵蓋遠距工作與電子通勤,該政策包括在透過不信任的網路連線時使用增強式密碼編譯資料保護。行動裝置的安全控制項指於在獨立於 ESET 內部網路和內部系統之外運作。
人力資源安全性
ESET 使用標準的人力資源實務,包括旨於保護資訊安全性的原則。此等實務涵蓋員工整個生命週期,適用於所有員工。
ESET 公司要求 ESET 人員在入職期間進行背景調查;簽署保密協議,作為勞雇合約的一部分,其要求人員遵守內部安全政策和標準、保護 ESET 機密資訊和客戶資料;在入職期間完成資安訓練,作為 ESET 合規和認知計畫的一部分。
技術措施
身分識別與存取管理
ESET 的 存取管理原則規範所有存取 ESET 基礎架構。適用於所有基礎架構、技術、應用程式或工具層級之授權、撤回、變更存取以及修訂授權的存取控制過程。應用程式層級的完整使用者存取權管理是自主運作的。身分識別單一登入由統一身分識別提供者負責,以確保使用者僅能存取授權環境或應用程式。
使用者和存取管理、使用者存取限制之程序和技術措施、使用者存取、檢查、移除和存取權調整皆用於根據安全標準管理 ESET 員工存取 ESET 基礎架構和網路,其中包括但不限於:
•根據最少「需知」權限進行存取
•定期檢查使用者存取
•根據安全性原則終止使用者存取
•向所有人分配唯一帳戶
•記錄使用者存取嘗試、審查和監控
•實體存取記錄和審查
•實施高權限和管理員存取之多重要素驗證
•採取指定閒置期間後的互動工作階段逾時設定
資料防護
資料加密
ESET 保護其基礎架構中的資料;使用高強度編碼來加密靜態 (包括可攜式裝置) 和傳輸中的資料。加密的實施遵循內部加密標準所定義的規則。客戶資料根據相關規範 (例如 GDPR、NIS2 指令或業界和金融規範) 保留。
現有措施:
•通常受信任的憑證授權單位用於核發公用 Web 服務的憑證
•內部 ESET PKI 用於管理 ESET 基礎架構中的金鑰
•啟用 CSP 平台原生加密,以確保資料處理中相關部分之靜態資料保護或雲端環境的資料持續性 (資料儲存、備份)
•有強大的加密 (例如 TLS) 可加密傳輸中的資料
資料備份和恢復
備份受資訊和通訊技術運作中的資訊安全原則所規範。
所有 ESET 產品組合配置和部署資料皆儲存在由 ESET 保護且定期備份的儲存庫,以自動恢復環境配置。定期的災難恢復測試過程用於在業務預期時間內驗證配置備份恢復能力。
ESET 客戶資料的定期備份根據業界標準和規範、高可用性運作和合約恢復性要求。備份受到篡改防護,備份有效性會經常由災難恢復執行過程進行測試。
網路安全性
網路分段適用於整個 ESET 網路環境。網路根據定義標準分離,並透過防火牆上的 VLAN 執行。
ESET 使用各種邊界防護系統,包括 L7 防火牆、入侵偵測系統和入侵防護系統。此等系統的設定和維護旨在保護外部存取點,確保任何未經授權嘗試存取網路都會被偵測並防止。
透過使用者或網站至網站 VPN,可遠端存取內部資產,其中包含 ESET 內部原則所規定的角色和責任、安全性要求和控制項,且根據安全性業界標準設定。VPN 使用者帳戶由 Active Directory 維護,並為員工帳戶提供過程的一部分。
ESET 實施並維護網路安全性控制項,以保護在雲端環境中處理、接收或儲存的資料。CSP 帳戶和基礎架構使用 CSP 虛擬網路中的網路存取控制列表和安全性群組,以限制所提供資源的存取權。僅透過加密通道存取雲端資源。
強化
ESET 使用系統安全性程序,以減少可能遭到攻擊的弱點。這包括以下技術和最佳實務:
•具簽署金色圖像,用於安裝或部署主機或容器
•關閉不必要的服務
•高風險情況下,自動計劃附件和臨時修補重要元件
•到達生命週期結束之前更新作業系統
•設定安全性設定
•以可重複且一致的方式自動化基礎架構和應用程式管理
•刪除不必要的軟體
•限制存取本地資源
•主機型控制程式 (例如防病毒、終端點偵測和回應) 和網路原則
ESET 使用集中方法,來應用和驗證強化 IT 環境元件,旨在盡可能減少攻擊表面,即攻擊者可能利用的所有潛在入口點。詳細資料請參閱本文件下列部分。
應用程式安全性
安全開發實務
ESET 透過其軟體開發生命週期安全性原則 (SSDLC) 實施安全軟體開發實務,該原則整合安全性控制項和風險管理在所有開發階段。
SSDLC 原則定義以下要求:
•代碼根據安全編碼指南寫成,並在合併之前進行審查
•針對新功能和重大變更,進行威脅模型和設計審查
•自動安全性檢查 (静態分析、依賴式掃描和選取式動態測試) 以 CI/CD 管道的一部分運行
•會追蹤和更新第三方和開放原始碼元件,並保留所有發佈產品的 SBOM
•我們會檢查事件、入侵測試和錯誤獎金報告的結果,並將其傳入開發過程中
SSDLC 原則的目標是確保所有 ESET 軟體產品均安全、可靠且符合適用標準和規範。
產品弱點管理
ESET 在其應用程式和產品的生命週期中維護定義的程序,以識別、評估和解決其應用程式和產品的弱點。
此過程包括內部發現的問題和外部來源的報告。
作為產品弱點管理的一部分,ESET:
•使用自動掃描工具掃描來源代碼、依賴和建立已知弱點的工件
•將手動檢查結果,以確認修正事項的影響和相關性
•根據嚴重性、可用性和產品曝光而追蹤和優先訂正
•執行目標安全性測試和重新測試,以驗證修正
•將弱點資料整合到開發和發佈計劃中,以便在傳輸之前解決重要問題
•透過協調披露和公開錯誤獎勵計畫接受並處理外部報告
•作為 CVE 號碼執行機構 (CNA) 的角色的一部分,為已確認的產品弱點分配 CVE 識別碼
•根據結構性分類程序,根據弱點嚴重性和業務影響,適用修補和修補
o分類過程符合 ISO/IEC 30111 (弱點處理) 和 ISO/IEC 29147 (弱點披露)
oCVSS 評分和外部情報來源 (例如 CISA 已知受利用弱點 (KEV) 目錄) 用於指導優先設定
o最終修正決定由負責產品和安全性團隊共同作出
此等過程確保所有 ESET 產品中的弱點以一致、透明和可追蹤的方式管理。
入侵測試
ESET 定期進行其產品的入侵測試,作為整體產品安全性確保過程的一部分,並於我們自己的 入侵測試計畫中進行。我們會在發佈主要版本之前以及維護產品的預定間隔進行測試。
ESET 的入侵測試專注於:
•驗證已實施的安全性控制項和緩解措施是否有效
•識別自動工具可能無法偵測的潛在弱點
•驗證先前修正努力的結果
•評估釋放產品的整體攻擊表面和風險曝光
測試由合格的內部專家或受信任的外部合作夥伴根據已知的業界方法 (OWASP WSTG/MTG、NIST SP 800-115, PTES) 在孤立環境中進行。
我們會透過與內外部報告問題相同的弱點管理程序,來記錄、評級和追蹤測試結果。
入侵測試結果直接傳輸至產品改進計劃和SSDLC,以確保學到的教訓得以記錄並隨時減少重複的弱點。
作業安全性
ICT 作業中的資訊安全性原則
公司內 ICT 運作中的資訊安全性原則根據 ISO 27001 標準建立了與 ICT 運作相關的基本安全性規則。
ICT 運作中的資訊安全原則定義 IT 作業過程及其文件的安全性要求,包括作業程序、變更管理、角色和責任分離、生產、測試和開發環境分離、第三方 IT 服務、效能計劃、IT 項目、惡意軟體防護、備份、網路安全、媒體安全、電子商業要求和監控。
記錄與審核
系統的記錄和審核根據內部標準和指南進行 (安全監控和安全事件管理原則)。
系統會持續從基礎架構、作業系統、資料庫、應用程式伺服器和安全性控制項中收集防護記錄和事件。ESET 使用中央記錄管理平台 (SIEM) 來保護相關記錄免受未經授權的修改或破壞。IT 與內部安全性團隊會進一步處理防護記錄,以找出作業與安全性異常及資訊安全性事件。SIEM 中的資料會保留法規所要求的時間和後瞻性威脅狩獵。
安全性監控和事件回應
安全性監控和安全性事件管理由安全性監控和安全性事件管理原則所定義。
原則概述
•安全性記錄和審核的開發、正確設定、防護、儲存、分析、評估和保留責任和規則
•安全性事件管理的過程、角色和責任
•防止安全性事件
•最小化安全性事件的影響
•安全性事件的學習
•教育員工監控活動、其範圍以及員工監控和事件回應中的角色
已確立的安全性作業中心 (SOC) 可24×7 進行持續監控 IT 基礎架構和應用程式的安全狀態,並回應安全性事件。
ESET 的資訊安全性事件管理依賴已定義的事件回應程序。事件回應中的角色會在多個團隊 (包括 IT、安全性、法律、人力資源、公共關係和執行管理) 之間定義和分配。SOC 團隊處理標準事件。若有更重大的安全性事件,則會通知命令中心。指令中心與 SOC 團隊合作,協調事件回應並參與其他團隊處理事件。由內部安全性團隊成員負責的 SOC 團隊也會負責收集證據和吸取教訓。該團隊會向受影響方 (包括客戶和合作夥伴) 通知事件的發生與解決情況。ESET 法律團隊負責根據《一般資料保護法規》(GDPR) 和轉置《網路與資訊系統安全指令》(NIS2) 的網路安全條款,視需要通知監管機構。
修補程式管理
修補程式管理係用於修復弱點的緩解措施之一。
安全性修補程式會根據已識別弱點的嚴重性和風險進行評估和應用。
定義的分類和優先順序程序會決定修補程式部署順序和時間線。此過程遵循 ESET 的內部指南,並符合 ISO/IEC 30111。CVSS 評分和外部威脅情報來源 (例如 CISA 已知可利用弱點 (KEV) 目錄) 支援基於風險的決策和優先決策。
在部署到生產之前,所有修補程式都會在受控制環境中進行驗證,以確保其解決目標問題,而不會對系統穩定性或兼容性產生負面影響。
部署遵循已確立的變更管理程序,以確保必要時可追蹤、負責和回歸能力。
修補程式活動會持續進行監控和審查,以確認其有效性、識別過時系統並促進持續的過程改進。
應用程式記錄指南為所有 ESET 開發的應用程式規範記錄的技術措施和要求。
惡意軟體和威脅防護
防止惡意軟體 (透過防病毒軟體和 EDR) 的防護規定於資訊和通訊技術運作中的資訊安全原則。員工有義務立即向 SOC 回報任何可疑惡意軟體感染,如 ESET 員工資訊安全政策所述。
員工終端點的要求列於工作站安全標準中。
ESET 使用其自身的反惡意軟體工具,其使用已驗證的第三方解決方案,以保護終端點和雲端工作負載。
SOC 團隊根據安全監控和安全事件管理原則進行威脅狩獵活動。威脅資料 (Feeds) 會收集至 SIEM 系統,此系統會自動擷取內容,以產生適用於安全監控事件的威脅情報。
技術合規性
內部安全性團隊提供並維護基礎架構、雲端、網頁相關元件的各種技術安全標準,以及開發者和 IT 管理員應遵循的最佳實務。基於技術標準,內部安全性團隊會準備配置基礎線檔案,該檔案將由 IT 團隊用於自動部署和執行安全配置。
此外,如可能,則透過弱點評估工具進行合規性掃描。ESET 已建立入侵測試計畫,且 ESET 所開發的產品、應用程式和服務根據程式計畫進行定期入侵測試。所有發現都會被記錄並報告給產品利益相關方,以確保其盡快得到緩解。
實體安全
實體安全原則和相關實體安全標準定義辦公室和資料中心周圍的實體安全規則。本原則規定以下規則和程序:
•ESET 設施的防護
•實體存取控制
•辦公室、房間和建築物安全性
•安全區域工作
•設備、線路和基礎架構安全性
資料中心安全性
IT 基礎架構元件實體地位於多個資料中心內,因此在每個地區內達成補充。
實體安全性範圍定義於實體安全性原則和相關的辦公室設施和資料中心安全標準 - 資料中心實體安全性標準。ESET 定義了設定安全範圍的規則和應適用於實體安全範圍的控制項。主要控制項包括實體安全區域和分離、存取和訪客管理、火災和洪水防護、以及 CCTV 和人手監視,均已明確定義、實施並持續監控。DC 的安全性會經常由負責人員和外部審核人員進行審查。
ESET 依賴 CSP 的實體安全性措施和控制項,因此會定期審查相應的 CSP 合規報告。
實體存取控制
實體安全性原則和相關辦公室和資料中心安全標準所載的實體入境控制項。預設區分為具有特定存取控制的受保護區域。
驗證根據安全性最佳實務,透過金鑰、身分識別/存取卡和 PIN 進行管理。
實施實體存取監控和未經授權存取防止/偵測。所有記錄均由 CCTV 以記錄記錄監控。周圍也由運動或玻璃破裂感應器 (包括弱抵抗牆壁 (即玻璃或乾牆)、火災出口和窗戶) 監控。
業務持續性和災難恢復
ESET 根據 ISO 22301 的 業務持續性管理原則,維護、定期審查、評估和實施其業務持續性管理系統的改進。
ESET 已建立 BCM 計劃,該計畫優先針對公司內所有活動,並根據 BCM 原則進行 CISO 批准。BCM 計畫定義作業活動以及減少 BCM 相關風險的活動,例如透過排除或複製功能和 IT 基礎架構。
目前正在準備和審查有定義業務持續性目標的業務影響分析 (RTO、RPO、MTD、恢復優先順序)。災難復原計劃 (DRP) 根據 BCM 計劃進行審查和測試。業務持續性策略決定了維護重要業務資產的方法。定期業務持續活動的所有輸出均用於持續改進。
第三方風險管理
供應商服務的監控和審查受供應商關係中的資訊安全原則所規範。審查每季度進行,結果儲存在 供應商評估中。