ความมุ่งมั่นของ OCLC ต่อบริการห้องสมุดที่ปลอดภัย
ปกป้องข้อมูลของคุณในขณะแบ่งปันคอลเลกชันของคุณ
OCLC เข้าใจว่าความลับ, ความสมบูรณ์ และความพร้อมของข้อมูลสมาชิกของเรามีความสำคัญอย่างยิ่งต่อการดำเนินธุรกิจของพวกเขาและความสำเร็จของเราเอง เราใช้วิธีการหลายขั้นตอนเพื่อปกป้องข้อมูลสำคัญด้วยการตรวจสอบและการปรับปรุงแอพพลิเคชั่น, ระบบ และกระบวนการอย่างต่อเนื่อง เพื่อตอบสนองความต้องการที่เพิ่มขึ้นและความท้าทายของภัยคุกคามด้านการรักษาความปลอดภัยที่เปลี่ยนแปลงไปตลอดเวลา เพื่อแสดงให้เห็นความพยายามในการรักษาความปลอดภัยของเรา OCLC ได้ปฏิบัติตามและได้รับการลงทะเบียนสำหรับ มาตรฐานด้านความปลอดภัย ISO 27001 ในส่วนของโครงการ Cyber Essentials ซึ่งได้รับการรับรอง และ CSA STAR ที่ได้ลงทะเบียนแล้ว
การรักษาความปลอดภัยของข้อมูลและการบริหารความเสี่ยงขององค์กร
- นำระบบการจัดการการรักษาความปลอดภัยของข้อมูลมาใช้ตามมาตรฐาน ISO/IEC 27001:2013
- เจ้าหน้าที่ที่เชี่ยวชาญด้านการรักษาความปลอดภัยของข้อมูลที่ได้รับการรับรองและไอทีและผู้เชี่ยวชาญที่ทำงานด้านการฟื้นฟูหลังภัยพิบัติแบบเต็มเวลา
การควบคุมทางกายภาพและสิ่งแวดล้อม
- การรักษาความปลอดภัยโดยมีเจ้าหน้าที่ตลอด 24 ชั่วโมง
- การจำกัดการเข้าถึงโดยใช้บัตรพร็อกซ์
- อุปกรณ์คอมพิวเตอร์ในพื้นที่ที่ควบคุมการเข้าถึง
- กล้องวงจรปิดทั่วอาคารและบริษัทโดยรอบ
- การควบคุมอุณหภูมิและความชื้น
- การยกพื้นเพื่อให้อากาศถ่ายเทต่อเนื่อง
- การจ่ายไฟฟ้าใต้ดิน
- ระบบเครื่องสำรองไฟฟ้า (UPS)
- หน่วยแจกจ่ายไฟสำรอง (PDU)
- เครื่องกำเนิดไฟฟ้าดีเซลที่มีที่เก็บน้ำมันดีเซลในพื้นที่
- เซนเซอร์ตรวจจับควันและไฟทั่วศูนย์ข้อมูล
- Dublin Service Delivery Center (DSDC) มีระบบการรักษาความปลอดภัยของ Halon ที่มีไฟสำรองเพียงพอสำหรับการจ่ายไฟหลายครั้ง
- Columbus Service Delivery Center (CSDC) มีระบบการดับเพลิง Dupont FM-200 คอยดูแลรักษาความปลอดภัย
- ศูนย์ข้อมูลเหล่านี้ยังมีระบบสปริงเกลอร์แบบท่อเปียกคอยคุ้มครองอีกด้วย
- มีถังดับเพลิงที่ได้รับการบำรุงรักษาทั่วทั้ง DSDC และ CSDC
การควบคุมการเข้าถึงตามหลักตรรกะวิทยา
- การจัดการรหัสและการเข้าถึงของผู้ใช้
- เชื่อมต่อกับข้อมูลลูกค้าผ่าน TLS 1.1 และ 1.2 โดยใช้ใบรับรอง Step Up สากลจาก Thawte เพื่อให้มั่นใจว่าผู้ใช้ของเรามีการเชื่อมต่อที่ปลอดภัยจากเบราว์เซอร์ของเขากับบริการของเรา
- เซสชันของผู้ใช้แต่ละคนจะถูกระบุและถูกตรวจสอบอีกครั้งในแต่ละรายการโดยใช้การยืนยันความปลอดภัยที่เข้ารหัสด้วย XML ผ่านทาง SAML 2.0
- ขึ้นอยู่กับการบริการเฉพาะที่ใช้
การควบคุมความปลอดภัยในการดำเนินงาน
- เชื่อมต่อกับอินเทอร์เน็ตผ่านลิงก์ที่ซ้ำซ้อนและผ่านเส้นทางที่หลากหลายจากผู้ให้บริการอินเทอร์เน็ตหลายบริษัทที่ได้รับบริการจากจุดเข้าระบบของผู้ให้บริการโทรคมนาคมหลายบริษัท
- ไฟร์วอลล์ที่อยู่โดยรอบและเราเตอร์ที่อยู่ตามขอบจะปิดกั้นโพรโทคอลที่ไม่ได้ใช้
- ไฟร์วอลล์ภายในแยกการรับส่งข้อมูลระหว่างชั้นของแอปพลิเคชันและฐานข้อมูล
- โหลดบาลานเซอร์จะให้พร็อกซีสำหรับการรับส่งข้อมูลภายใน
- OCLC ใช้หลากหลายวิธีในการป้องกัน ตรวจสอบ และกำจัดมัลแวร์
- มีการทำการประเมินการรักษาความปลอดภัยอิสระโดยบริษัทภายนอกเป็นระยะ
- มีการสำรองข้อมูลทั้งหมดไว้ที่ศูนย์ข้อมูลแต่ละแห่ง
- มีการลอกแบบข้อมูลสำรองผ่านลิงก์ที่มีการรักษาปลอดภัยไปยังที่เก็บถาวรแบบเทปที่ปลอดภัย
- เทปถูกจัดส่งออกนอกพื้นที่และจะถูกทำลายอย่างปลอดภัยเมื่อไม่ได้ใช้งานอีกต่อไป
- พนักงานรักษาความปลอดภัยข้อมูล OCLC ตรวจดูการแจ้งจากแหล่งที่มาและการแจ้งเตือนต่างๆ จากระบบภายในเพื่อระบุและจัดการภัยคุกคาม
การพัฒนาและการบำรุงรักษาระบบ
- OCLC ทดสอบโค้ดสำหรับช่องโหว่ด้านการรักษาความปลอดภัยก่อนนำไปใช้ และตรวจดูเครือข่ายและระบบสำหรับช่องโหว่ของเราอย่างสม่ำเสมอ
- การประเมินช่องโหว่ของเครือข่าย
- การทดสอบการรุกล้ำและการสอบทานโค้ดที่ถูกเลือก
- การสอบทานและการทดสอบเค้าโครงการควบคุมการรักษาความปลอดภัย
ความต่อเนื่องทางธุรกิจและการฟื้นฟูจากภัยพิบัติ
- บริการ OCLC ทำการจำลองแบบเรียลไทม์ไปยังดิสก์ที่ศูนย์ข้อมูลแต่ละแห่ง และการจำลองข้อมูลแบบเกือบเรียลไทม์ระหว่างศูนย์ข้อมูลการผลิตและไซต์การฟื้นฟูจากภัยพิบัติ
- ข้อมูลสำคัญถูกส่งผ่านลิงก์เฉพาะ
- การทดสอบการฟื้นฟูหลังภัยพิบัติจะตรวจสอบเวลาที่คาดว่าจะใช้ในการฟื้นฟูของเราและความสมบูรณ์ของข้อมูลลูกค้า
การตอบสนองเหตุการณ์ การแจ้งเตือน และการแก้ไขปัญหา
- กระบวนการจัดการเหตุการณ์สำหรับเหตุการณ์การรักษาความปลอดภัยที่อาจมีผลต่อข้อมูลลับ ความสมบูรณ์ หรือความพร้อมของระบบหรือข้อมูล
- ทีมรักษาความปลอดภัยของข้อมูลได้รับการฝึกอบรมในด้านนิติและการจัดการหลักฐานในการเตรียมการสำหรับเหตุการณ์ รวมทั้งการใข้เครื่องมือของบริษัทภายนอกและเครื่องมือที่มีกรรมสิทธิ์
ปฏิบัติตามกฎระเบียบ
- บุคคลภายนอกสามารถรับข้อมูลได้ผ่านกระบวนการทางกฎหมายเท่านั้น เช่น หมายค้น คำสั่งศาล หมายศาลผ่านการยกเว้นตามกฎหมาย หรือความยินยอมของผู้ใช้เท่านั้น
- OCLC มีคำชี้แจงด้านความเป็นส่วนตัวที่รัดกุมเพื่อช่วยปกป้องลูกค้าและข้อมูลของลูกค้า
บริการของ OCLC ปฏิบัติได้ตามหรือเกินคำแนะนำของ Gartner Group1 (ตารางที่ 1) และกลุ่ม พันธมิตรความปลอดภัยบนคลาวด์ "แนวทางความปลอดภัยสำหรับพื้นที่เน้นที่สำคัญยิ่งในคลาวด์คอมพิวเตอร์"
ตารางที่ 1 Gartner: เจ็ดความเสี่ยงด้านความปลอดภัยของคลาวด์คอมพิวเตอร์
| คำแนะนำของ Gartner | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| การควบคุมการเข้าถึงของผู้ใช้ที่มีสิทธิพิเศษ | X | X | X |
| การปฏิบัติตามข้อบังคับ | X | X | X |
| ตำแหน่งของข้อมูล | X | X | X (ไม่เปิดเผย) |
| การแบ่งแยกข้อมูล | X | X | X |
| การกู้คืน | X | X | X |
| การสนับสนุนแบบสืบสวน | X | X | X |
| การทำงานได้ในระยะยาว | X | X | X |
1 Jay Heiser and Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3 2551 มิถุนายน