도서관 서비스의 보안에 대한 OCLC의 책임

컬렉션을 공유하는 동안 데이터를 보호

OCLC는 회원 정보의 기밀성, 무결성 및 가용성이 비즈니스 운영과 우리 자신의 성공에 결정적이라는 것을 알고 있습니다. 우리는 지속적으로 모니터링하고 성장 요구 및 동적 보안 위협의 문제에 맞게 우리의 응용 프로그램, 시스템 및 프로세스를 개선하여 중요한 정보를 보호하기 위해 다중 계층된 접근 방식을 사용합니다. 우리의 보안 노력을 인정하여 OCLC는 ISO 27001 보안 표준을 충족시켰으며 등록을 받았고, 사이버 에센셜 스킴 인증을 받았으며, CSA STAR 등록을 받았습니다.

정보 보안 및 기업 위험 관리

  • ISO/IEC 27001:2013에 따라 정보 보안 관리 시스템 구현
  • 인증된 정보 보안 및 정보 기술 전문가의 전문 스태프 및 재해 복구 전문 전담 직원

물리적 및 환경 관리

  • 24 시간 상주직원 보안
  • 근접식 카드를 통한 제한된 액세스
  • 출입 통제 구역의 컴퓨터 장비
  • 시설 및 주변부의 비디오 감시
  • 습도 및 온도 제어
  • 지속적인 공기 순환을 촉진하기위한 바닥 제기
  • 지하 유틸리티 전원 공급
  • 무정전 전원 시스템(UPS)
  • 예비 전원 분배 장치(PDU)
  • 현장 디젤 연료 저장 장치가있는 디젤 발전기
  • 데이터 센터의 연기 및 화재 감지 센서
  • Dublin Service Delivery Center (DSDC)는 Halon 시스템에 의해 보호되며, 다중 배출을위한 충분한 예비비가 있습니다
  • 콜럼버스 서비스 제공 센터(CSDC) 는 DuPont FM-200 소방 시스템으로 보호됩니다
  • 데이터 센터는 습식 파이프 스프링클러 시스템으로 보호됩니다
  • DSDC 및 CSDC 전체에 유지되는 소화기가 있습니다

논리적 액세스 관리

  • 사용자 id 및 액세스 관리
    • Thawte의 글로벌 스텝업 인증서를 사용하여 TLS 1.1 및 1.2를 통한 고객 데이터 연결, 사용자가 브라우저에서 Google 서비스에 안전하게 연결할 수 있음
    • 활용하는 특정 서비스에 따라 SAML 2.0을 통해 XML 암호화 보안 어설션을 사용하여 개별 사용자 세션을
    • 식별하고 각 트랜잭션마다 다시 확인합니다

운영 보안 관리

  • 복수의 인터넷 서비스 제공 업체로부터 중복되고 다양하게 라우팅 된 링크를 통해 인터넷에 연결됩니다
  • 경계 방화벽 및 에지 라우터는 사용되지 않는 프로토콜을 차단합니다
  • 내부 방화벽은 애플리케이션 계층과 데이터베이스 계층간에 트래픽을 분리합니다
  • 로드 밸런서는 내부 트래픽에 대한 프록시를 제공합니다
  • OCLC는 맬웨어를 예방, 탐지 및 근절하기위한 다양한 방법을 사용합니다
  • 타사 독립 보안 평가도 주기적으로 수행됩니다
  • 모든 데이터는 각 데이터 센터에서 테이프 백업됩니다
  • 백업은 안전한 테이프 아카이브를 보안 연결을 통해 복제됩니다
  • 테이프는 외부로 수송된 다음 은퇴시 안전하게 파괴됩니다
  • OCLC 정보 보안 담당자는 다양한 소스 및 내부 시스템의 경고를 통해 위협을 식별하고 관리하는 알림을 모니터링 합니다

시스템 개발 및 유지보수

  • OCLC는 보안 취약점에 대한 코드를 공개하기 전에 테스트하고 네트워크 및 시스템에서 취약점을 정기적으로 검사합니다
  • 네트워크 취약점 평가
  • 선택된 침투 테스트 및 코드 검토
  • 보안 제어 프레임워크 검토 및 테스트

비즈니스 연속성 및 재해 복구

  • OCLC 서비스는 각 데이터 센터에서 디스크로 실시간 복제를 수행하고 프로덕션 데이터 센터와 재해 복구 사이트간에 거의 실시간으로 데이터 복제를 수행합니다
  • 중요한 데이터는 전용된 링크를 통해 전송됩니다
  • 재해 복구 테스트는 예상되는 복구 시간과 고객 데이터의 무결성을 검증합니다

사고 대응, 알림 및 업데이트 관리

  • 시스템 또는 데이터의 기밀성, 무결성 또는 가용성에 영향을 줄 수있는 보안 이벤트에 대한 사고 관리 프로세스
  • 정보 보안 팀은 제3자 및 독점적 도구의 사용을 포함하여 사건 준비에 대한 법의학 및 증거 취급에 대한 교육을 받습니다

규정 준수

  • 수색 영장, 법원 명령, 소환장, 법정 면제 또는 사용자 동의를 통한 법적 절차를 통해서만 제3자가 정보를 얻을 수 있습니다
  • OCLC는 고객 및 고객 데이터를 보호하기 위해 강력한 개인 비밀 보호 정책을 유지합니다.

OCLC 서비스는 Gartner Group1(표 1)과 클라우드 보안 제휴사 인 "클라우드 컴퓨팅에서 중요한 핵심 영역에 대한 보안 지침"의 권장 사항을 충족하거나 능가합니다.

표 1. Gartner: 7 클라우드 컴퓨팅 보안 위험

Gartner 권장 사항 OCLC Microsoft

Cloud (BPOS)
Google Apps

Enterprise
권한있는 사용자 액세스 관리 X X X
규정 준수 X X X
데이터 위치 X X X (비공개)
데이터 분리 X X X
복구 X X X
조사 지원 X X X
장기 생존 X X X

1 Jay Heiser 와 Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 2008 년 6 월 3 일