ความมุ่งมั่นของ OCLC ต่อบริการห้องสมุดที่ปลอดภัย

ปกป้องข้อมูลของคุณในขณะแบ่งปันคอลเลกชันของคุณ

OCLC เข้าใจว่าความลับ, ความสมบูรณ์ และความพร้อมของข้อมูลสมาชิกของเรามีความสำคัญอย่างยิ่งต่อการดำเนินธุรกิจของพวกเขาและความสำเร็จของเราเอง เราใช้วิธีการหลายขั้นตอนเพื่อปกป้องข้อมูลสำคัญด้วยการตรวจสอบและการปรับปรุงแอพพลิเคชั่น, ระบบ และกระบวนการอย่างต่อเนื่อง เพื่อตอบสนองความต้องการที่เพิ่มขึ้นและความท้าทายของภัยคุกคามด้านการรักษาความปลอดภัยที่เปลี่ยนแปลงไปตลอดเวลา เพื่อแสดงให้เห็นความพยายามในการรักษาความปลอดภัยของเรา OCLC ได้ปฏิบัติตามและได้รับการลงทะเบียนสำหรับ มาตรฐานด้านความปลอดภัย ISO 27001 ในส่วนของโครงการ Cyber Essentials ซึ่งได้รับการรับรอง และ CSA STAR ที่ได้ลงทะเบียนแล้ว

การรักษาความปลอดภัยของข้อมูลและการบริหารความเสี่ยงขององค์กร

  • นำระบบการจัดการการรักษาความปลอดภัยของข้อมูลมาใช้ตามมาตรฐาน ISO/IEC 27001:2013
  • เจ้าหน้าที่ที่เชี่ยวชาญด้านการรักษาความปลอดภัยของข้อมูลที่ได้รับการรับรองและไอทีและผู้เชี่ยวชาญที่ทำงานด้านการฟื้นฟูหลังภัยพิบัติแบบเต็มเวลา

การควบคุมทางกายภาพและสิ่งแวดล้อม

  • การรักษาความปลอดภัยโดยมีเจ้าหน้าที่ตลอด 24 ชั่วโมง
  • การจำกัดการเข้าถึงโดยใช้บัตรพร็อกซ์
  • อุปกรณ์คอมพิวเตอร์ในพื้นที่ที่ควบคุมการเข้าถึง
  • กล้องวงจรปิดทั่วอาคารและบริษัทโดยรอบ
  • การควบคุมอุณหภูมิและความชื้น
  • การยกพื้นเพื่อให้อากาศถ่ายเทต่อเนื่อง
  • การจ่ายไฟฟ้าใต้ดิน
  • ระบบเครื่องสำรองไฟฟ้า (UPS)
  • หน่วยแจกจ่ายไฟสำรอง (PDU)
  • เครื่องกำเนิดไฟฟ้าดีเซลที่มีที่เก็บน้ำมันดีเซลในพื้นที่
  • เซนเซอร์ตรวจจับควันและไฟทั่วศูนย์ข้อมูล
  • Dublin Service Delivery Center (DSDC) มีระบบการรักษาความปลอดภัยของ Halon ที่มีไฟสำรองเพียงพอสำหรับการจ่ายไฟหลายครั้ง
  • Columbus Service Delivery Center (CSDC) มีระบบการดับเพลิง Dupont FM-200 คอยดูแลรักษาความปลอดภัย
  • ศูนย์ข้อมูลเหล่านี้ยังมีระบบสปริงเกลอร์แบบท่อเปียกคอยคุ้มครองอีกด้วย
  • มีถังดับเพลิงที่ได้รับการบำรุงรักษาทั่วทั้ง DSDC และ CSDC

การควบคุมการเข้าถึงตามหลักตรรกะวิทยา

  • การจัดการรหัสและการเข้าถึงของผู้ใช้
    • เชื่อมต่อกับข้อมูลลูกค้าผ่าน TLS 1.1 และ 1.2 โดยใช้ใบรับรอง Step Up สากลจาก Thawte เพื่อให้มั่นใจว่าผู้ใช้ของเรามีการเชื่อมต่อที่ปลอดภัยจากเบราว์เซอร์ของเขากับบริการของเรา
    • เซสชันของผู้ใช้แต่ละคนจะถูกระบุและถูกตรวจสอบอีกครั้งในแต่ละรายการโดยใช้การยืนยันความปลอดภัยที่เข้ารหัสด้วย XML ผ่านทาง SAML 2.0
    • ขึ้นอยู่กับการบริการเฉพาะที่ใช้

การควบคุมความปลอดภัยในการดำเนินงาน

  • เชื่อมต่อกับอินเทอร์เน็ตผ่านลิงก์ที่ซ้ำซ้อนและผ่านเส้นทางที่หลากหลายจากผู้ให้บริการอินเทอร์เน็ตหลายบริษัทที่ได้รับบริการจากจุดเข้าระบบของผู้ให้บริการโทรคมนาคมหลายบริษัท
  • ไฟร์วอลล์ที่อยู่โดยรอบและเราเตอร์ที่อยู่ตามขอบจะปิดกั้นโพรโทคอลที่ไม่ได้ใช้
  • ไฟร์วอลล์ภายในแยกการรับส่งข้อมูลระหว่างชั้นของแอปพลิเคชันและฐานข้อมูล
  • โหลดบาลานเซอร์จะให้พร็อกซีสำหรับการรับส่งข้อมูลภายใน
  • OCLC ใช้หลากหลายวิธีในการป้องกัน ตรวจสอบ และกำจัดมัลแวร์
  • มีการทำการประเมินการรักษาความปลอดภัยอิสระโดยบริษัทภายนอกเป็นระยะ
  • มีการสำรองข้อมูลทั้งหมดไว้ที่ศูนย์ข้อมูลแต่ละแห่ง
  • มีการลอกแบบข้อมูลสำรองผ่านลิงก์ที่มีการรักษาปลอดภัยไปยังที่เก็บถาวรแบบเทปที่ปลอดภัย
  • เทปถูกจัดส่งออกนอกพื้นที่และจะถูกทำลายอย่างปลอดภัยเมื่อไม่ได้ใช้งานอีกต่อไป
  • พนักงานรักษาความปลอดภัยข้อมูล OCLC ตรวจดูการแจ้งจากแหล่งที่มาและการแจ้งเตือนต่างๆ จากระบบภายในเพื่อระบุและจัดการภัยคุกคาม

การพัฒนาและการบำรุงรักษาระบบ

  • OCLC ทดสอบโค้ดสำหรับช่องโหว่ด้านการรักษาความปลอดภัยก่อนนำไปใช้ และตรวจดูเครือข่ายและระบบสำหรับช่องโหว่ของเราอย่างสม่ำเสมอ
  • การประเมินช่องโหว่ของเครือข่าย
  • การทดสอบการรุกล้ำและการสอบทานโค้ดที่ถูกเลือก
  • การสอบทานและการทดสอบเค้าโครงการควบคุมการรักษาความปลอดภัย

ความต่อเนื่องทางธุรกิจและการฟื้นฟูจากภัยพิบัติ

  • บริการ OCLC ทำการจำลองแบบเรียลไทม์ไปยังดิสก์ที่ศูนย์ข้อมูลแต่ละแห่ง และการจำลองข้อมูลแบบเกือบเรียลไทม์ระหว่างศูนย์ข้อมูลการผลิตและไซต์การฟื้นฟูจากภัยพิบัติ
  • ข้อมูลสำคัญถูกส่งผ่านลิงก์เฉพาะ
  • การทดสอบการฟื้นฟูหลังภัยพิบัติจะตรวจสอบเวลาที่คาดว่าจะใช้ในการฟื้นฟูของเราและความสมบูรณ์ของข้อมูลลูกค้า

การตอบสนองเหตุการณ์ การแจ้งเตือน และการแก้ไขปัญหา

  • กระบวนการจัดการเหตุการณ์สำหรับเหตุการณ์การรักษาความปลอดภัยที่อาจมีผลต่อข้อมูลลับ ความสมบูรณ์ หรือความพร้อมของระบบหรือข้อมูล
  • ทีมรักษาความปลอดภัยของข้อมูลได้รับการฝึกอบรมในด้านนิติและการจัดการหลักฐานในการเตรียมการสำหรับเหตุการณ์ รวมทั้งการใข้เครื่องมือของบริษัทภายนอกและเครื่องมือที่มีกรรมสิทธิ์

ปฏิบัติตามกฎระเบียบ

  • บุคคลภายนอกสามารถรับข้อมูลได้ผ่านกระบวนการทางกฎหมายเท่านั้น เช่น หมายค้น คำสั่งศาล หมายศาลผ่านการยกเว้นตามกฎหมาย หรือความยินยอมของผู้ใช้เท่านั้น
  • OCLC มีคำชี้แจงด้านความเป็นส่วนตัวที่รัดกุมเพื่อช่วยปกป้องลูกค้าและข้อมูลของลูกค้า

บริการของ OCLC ปฏิบัติได้ตามหรือเกินคำแนะนำของ Gartner Group1 (ตารางที่ 1) และกลุ่ม พันธมิตรความปลอดภัยบนคลาวด์ "แนวทางความปลอดภัยสำหรับพื้นที่เน้นที่สำคัญยิ่งในคลาวด์คอมพิวเตอร์"

ตารางที่ 1 Gartner: เจ็ดความเสี่ยงด้านความปลอดภัยของคลาวด์คอมพิวเตอร์

คำแนะนำของ Gartner OCLC Microsoft

Cloud (BPOS)
Google Apps

Enterprise
การควบคุมการเข้าถึงของผู้ใช้ที่มีสิทธิพิเศษ X X X
การปฏิบัติตามข้อบังคับ X X X
ตำแหน่งของข้อมูล X X X (ไม่เปิดเผย)
การแบ่งแยกข้อมูล X X X
การกู้คืน X X X
การสนับสนุนแบบสืบสวน X X X
การทำงานได้ในระยะยาว X X X

1 Jay Heiser and Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3 2551 มิถุนายน