OCLC:s åtagande för säkra bibliotekstjänster
Skydda dina data medan du delar dina samlingar
OCLC förstår att sekretessen, integriteten och tillgängligheten av våra medlemmars uppgifter är avgörande för deras affärsverksamheter och vår egen framgång. Vi använder en flerdimensionell metod för att skydda viktig information genom att hela tiden övervaka och förbättra våra program, system och processer för att ta itu med de växande kraven och problemen som dynamiska säkerhetsrisker innebär. Som ett erkännande för våra säkerhetsinsatser har OCLC uppfyllt och fått registrering för ISO 27001 säkerhetsstandarder, och är certifierat för Cyber Essentials-schemat och registrerat för CSA STAR registered.
Informationssäkerhet och riskhantering
- Implementerade ett hanteringssystem för informationssäkerhet i enlighet med ISO/IEC 27001:2013
- Professionell personal med informationssäkerhetscertifikat och informationsteknologiska experter, samt heltidsanställda katastrofåterhämtningsspecialister
Fysisk och miljömässig kontroll
- Säkerhetspersonal dygnet runt
- Begränsad åtkomst via nyckelkort
- Datorutrustning i avgränsade områden
- Videoövervakning i hela lokalen och närliggande område
- Kontroll av luftfuktighet och temperatur
- Högre golv för bättre, konstant luftflöde
- Strömmatning under jorden
- Oavbrutna strömsystem (UPS)
- Överflödiga strömmatningsenheter (PDU)
- Dieselgeneratorer med dieselbränsle på plats
- Rök- och brandvarnare i samtliga datacentrum
- Dublin Service Delivery Center (DSDC) skyddas av ett Halon-system med tillräckliga reserver för flera urladdningar
- Columbus Service Delivery Center (CSDC) skyddas av ett DuPont FM-200 brandskyddssystem
- Dessa datacentrum skyddas även av sprinklersystem
- Det finns underhållna brandsläckare på både DSDC och CSDC
Logisk åtkomstkontroll
- Användaridentifiering och åtkomsthantering
- Anslutningar till låntagardata via TLS 1.1 och 1.2 med globala certifikat från Thawte säkerställer att våra användare har en säker anslutning från sina webbläsare till vår tjänst
- Individuella användarsessioner identifieras och verifieras på nytt vid varje överföring med XML-krypterade säkerhetsinspektioner via SAML 2.0
- Beroende på vilka tjänster som används
Operativa säkerhetskontroller
- Anslutet till internet via överflödiga, åtskilt dirigerade länkar från olika tjänsteleverantörer via närvaropunkter (PoP)
- Externa brandväggar och EdgeRouter blockerar protokoll som inte används
- Interna brandväggar segregerar trafik mellan program- och databasnivåer
- Belastningsbalanserad proxy för interntrafik
- OCLC använder ett antal varierade metoder för att förhindra, upptäcka och utrota skadeprogram
- Säkerhetsutvärderingar utförs även regelbundet av tredje parter
- All data säkerhetskopieras till kassett vid varje datacentrum
- Säkerhetskopiorna klonas via säkra länkar till ett säkert kassettarkiv
- Kassetter transporteras offsite och förstörs säkert när de inte längre behövs
- OCLC:s informationssäkerhetspersonal övervakar notiser från olika källor och larm från interna system för att identifiera och hantera hot
Systemutveckling och underhåll
- OCLC testar kod efter säkerhetsrisker innan lansering och kontrollerar även säkerhetsrisker i våra nätverk och system regelbundet
- Utvärdering av nätverksrisker
- Utvald penetrationstest och kodutvärdering
- Utvärdering och test av ramverk för säkerhetskontroll
Affärskontinuitet och katastrofåterhämtning
- OCLC-tjänsten utför kopiering i realtid till hårddisk vid varje datacenter, och datakopiering mellan produktionsdatacentrumet och katastrofåterhämtningsplatsen nästan i realtid
- Känsliga data överförs via hängivna länkar
- Katastrofåterhämtningstest verifierar våra uppskattade återhämtningstider och integriteten för användares data
Incidentrespons, notifiering och hjälpåtgärder
- Incidenthanteringsprocessen för säkerhetshändelser som kan påverka sekretess, integritet eller tillgänglighet för system eller data
- Informationssäkerhetsteamet är tränat inom brottsteknik och bevishantering om en händelse skulle inträffa, inklusive användning av tredjepartsverktyg
Efterlevnad
- Information kan endast erhållas av tredje part genom juridiska processer som fullmakter, domstolsbeslut, stämningar, lagstadgade undantag eller med användarens tillstånd
- OCLC upprätthåller en stark sekretesspolicy för att skydda användares och låntagares data.
OCLC:s tjänster efterlever eller överträffar rekommendationerna från Gartner Group1 (tabell 1.) och Cloud Security Alliances "Security Guidance for Critical Areas of Focus in Cloud Computing."
Tabell 1. Gartner: Sju säkerhetsrisker inom datormoln
| Gartners rekommendationer | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Privilegierad användarkontroll | X | X | X |
| Efterlevnad av regler | X | X | X |
| Dataplats | X | X | X (sekretessbelagd) |
| Datasegregering | X | X | X |
| Återhämtning | X | X | X |
| Utredningsstöd | X | X | X |
| Långsiktig genomförbarhet | X | X | X |
1 Jay Heiser och Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3 juni 2008