ประเทศไทย   TH   
The Yokogawa Group Vulnerability Handling Policy
ความปลอดภัยและความมั่นคง

นโยบายการจัดการช่องโหว่ของ โยโกกาวา

วัตถุประสงค์ของนโยบาย

วัตถุประสงค์ของนโยบายนี้คือเพื่ออธิบาย โยโกกาวา Group ในการจัดการช่องโหว่และกระบวนการให้กับลูกค้าทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ (CERT) (* 1) องค์กรผู้ขายนักวิจัยและผู้มีส่วนได้ส่วนเสียอื่น ๆ โยโกกาวา Group มุ่งมั่นที่จะตอบสนองต่อช่องโหว่ในผลิตภัณฑ์ของเรา (* 2) ตามนโยบายนี้
โยโกกาวา Group ขอแสดงความขอบคุณอย่างจริงใจต่อผู้มีส่วนได้ส่วนเสียสำหรับความร่วมมือในการลดความเสี่ยงจากช่องโหว่ซึ่งเป็นจุดอ่อนของการโจมตีทางอินเทอร์เน็ตโดยมีวัตถุประสงค์เพื่อให้มั่นใจในความปลอดภัยของทรัพย์สินของลูกค้า

นโยบายพื้นฐาน

โยโกกาวา Group จะทำงานเพื่อสนับสนุนการสร้างความมั่นใจในความปลอดภัยของทรัพย์สินของลูกค้าของเราด้วยการยอมรับว่าการประเมินความเสี่ยงอย่างต่อเนื่องและการใช้มาตรการรับมือกับภัยคุกคามทางไซเบอร์เป็นหนึ่งในงานที่สำคัญที่สุดสำหรับการจัดการทรัพย์สินของลูกค้า
ในส่วนที่เกี่ยวกับการจัดการช่องโหว่ โยโกกาวา Group จะนำเสนอข้อมูลและมาตรการตอบโต้เกี่ยวกับช่องโหว่ของผลิตภัณฑ์ของเราโดยมีจุดประสงค์เพื่อสนับสนุนลูกค้าในการจัดการความเสี่ยงที่เกี่ยวข้อง

กระบวนการ

กระบวนการจัดการช่องโหว่ประกอบด้วยสี่ขั้นตอนที่อธิบายไว้ด้านล่าง

1. การยอมรับข้อมูล

โยโกกาวา Group ยอมรับข้อมูลเกี่ยวกับช่องโหว่ของผลิตภัณฑ์ของเราจากฝ่ายใด ๆ โดยปกติกลุ่ม บริษัท จะติดต่อผู้รายงานเกี่ยวกับการยอมรับข้อมูลช่องโหว่ภายในหนึ่งหรือสองวันทำการ กลุ่ม บริษัท อาจสอบถามข้อมูลเพิ่มเติม
โปรดรายงานข้อมูลช่องโหว่จากสิ่งต่อไปนี้:
https://contact.yokogawa.com/cs/gw?c-id=000983

ตามแนวคิดของการเปิดเผยช่องโหว่เชิงพิกัด (CVD) (* 3) โยโกกาวา Group ขอให้ผู้สื่อข่าวรายงานช่องโหว่ที่ค้นพบต่อ โยโกกาวา Group หรือองค์กร CERT ก่อนการเปิดเผย

 

2. การตรวจสอบช่องโหว่

โยโกกาวา Group จะตรวจสอบผลิตภัณฑ์ที่จะได้รับผลกระทบจากช่องโหว่กลุ่มจะแบ่งปันผลลัพธ์กับผู้สื่อข่าว จะให้คะแนนระดับความรุนแรงของช่องโหว่ภายใต้ Common Vulnerability Scoring System (CVSS) (* 4)

 

3. การเตรียมการรับมือ

โยโกกาวา Group จะพิจารณาดำเนินมาตรการตอบโต้ต่อไปนี้และจะเตรียมการให้สอดคล้องกับระดับความรุนแรงของช่องโหว่
- การแก้ไข: แก้ไขแก้ไขอัปเกรดและเช่นนี้เพื่อลบหรือบรรเทาช่องโหว่
- วิธีแก้ปัญหา: การดำเนินการและอื่น ๆ ที่มุ่งลดผลกระทบของการโจมตีที่ใช้ช่องโหว่

 

4. การเสนอข้อมูล

The Yokogawa Group will provide customers with the Yokogawa Security Advisory Report (YSAR), which includes information on vulnerabilities. Before doing so, it will coordinate the YSAR’s content and the timing of its provision with the reporter and with CERT organizations.
- Content of the YSAR
    The YSAR will include the following information.
    - Descriptions of vulnerabilities
    - Products and their versions affected by vulnerabilities
    - CVE ID
    - Level of severity (rated under the CVSS)
    - Details of countermeasures
    - Information about the reporter (if the reporter agrees)
    - Contact for inquiries
- Method of providing the YSAR
    The Yokogawa Group will provide the YSAR in the following manners.
    - Disclosure on the Yokogawa Group website
      https://www.yokogawa.com/library/resources/white-papers/yokogawa-security-advisory-report-list/
- การให้ข้อมูลตามข้อตกลงการบริการบำรุงรักษาสำหรับผลิตภัณฑ์แต่ละรายการ
- ระยะเวลาในการจัดหา YSAR
โดยหลักแล้ว โยโกกาวา Group จะให้ข้อมูลหลังจากที่พร้อมที่จะให้การแก้ไขอย่างไรก็ตามจะพิจารณาเสนอข้อมูลในเวลาที่พร้อมที่จะให้วิธีแก้ปัญหาในกรณีที่จำเป็นต้องเสนอข้อมูลให้กับลูกค้าอย่างรวดเร็ว เช่นกรณีที่พบการโจมตีโดยใช้ช่องโหว่แล้ว

 

5. CVE ID

The Yokogawa Group can assign CVE IDs to vulnerabilities for our products as a CVE Numbering Authority (CNA)(*5).

 

To the reporters

We will include the reporter's information in the above Advisory Report as an acknowledgement. (If the reporter agrees)

(*1) Organizations that accepts and publishes vulnerabilities information and that gives alert, such as JPCERT/CC, CERT/CC and CISA
(*2) https://www.yokogawa.com/solutions/products-platforms/
(*3) A concept that the discoverer who discovered new vulnerabilities first discloses directly to the vendor or CERT organizations privately, then make the vendor prepare the countermeasures before the vulnerability information disclosure. It means each stakeholder cooperates to make a profit of product users a primary consideration.
Reference: https://blogs.technet.microsoft.com/msrc/2010/07/22/announcing-coordinated-vulnerability-disclosure/
(*4) A system of evaluation under which the level of severity of vulnerabilities is indicated on the scale from 0.0 to 10.0
Reference: Common Vulnerability Scoring System  https://www.first.org/cvss/
(*5) CVE
https://www.cve.org/About/Overview

 

ติดต่อสอบถาม

สำหรับคำถามเกี่ยวกับการจัดการช่องโหว่โปรดติดต่อเราตามที่อยู่ต่อไปนี้
https://contact.yokogawa.com/cs/gw?c-id=000498

 

ประวัติการแก้ไข

November 20, 2018: Established
October 25, 2023: Added "5. CVE ID"

News

คุณต้องการข้อมูลเพิ่มเติมเกี่ยวกับบุคลากร เทคโนโลยี และโซลูชั่นของเราหรือไม่ ?

ติดต่อเรา
ด้านบน