OCLC verbürgt sich für sichere Bibliotheksdienste
Sicherer Schutz Ihrer Daten bei der gemeinsamen Nutzung Ihrer Sammlungen
OCLC ist sich der Tatsache bewusst, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten unserer Mitglieder für ihre Betriebsprozesse und ihren eigenen Erfolg unerlässlich sind. Wir verwenden einen mehrschichtigen Ansatz zum Schutz wichtiger Informationen, der eine konstante Überwachung und Optimierung unserer Anwendungen, Systeme und Prozesse umfasst, um den wachsenden Anforderungen und Herausforderungen dynamischer Sicherheitsbedrohungen zu begegnen. Die Sicherheitsmaßnahmen von OCLC entsprechen den Standards nach ISO 27001, und OCLC hat die entsprechenden Registrierungen erhalten.
Informationssicherheit und Enterprise Risk Management
- Implementierung eines Managementsystems für die Informationssicherheit nach ISO/IEC 27001:2005
- Zertifizierte Experten für Informationssicherheit und IT-Audit und ein dedizierter Vollzeit-Spezialist für die Business-Continuity-Planung und Disaster-Recovery
Physical and Environmental ControlsSicherheitspersonal wird rund um die Uhr eingesetzt
- Sicherheitspersonal wird rund um die Uhr eingesetzt
- Beschränkter Zutritt über Transponderkarten
- Computer-Ausrüstung in zutrittsbeschränkten Bereichen
- Videoüberwachung in der gesamten Einrichtung und im Umkreis
- Feuchtigkeits- und Temperaturkontrolle
- Erhöhte Positionierung sorgt für ständige Luftzirkulation
- Stromversorgung über unterirdische Leitungen
- Unterbrechungsfreie Stromversorgung (USV)
- Redundante Power Distribution Units (PDUs)
- Dieselgeneratoren mit Diesel-Treibstoffvorrat vor Ort
- Rauch- und Feuersensoren überall in den Datenzentren
- Das Dublin Service Delivery Center (DSDC) ist mit einem Halon-Löschsystem mit ausreichenden Reserven für mehrere Abgaben ausgestattet
- Das Columbus Service Delivery Center (CSDC) verfügt über ein DuPont FM-200-Feuerunterdrückungssystem
- Die Datenzentren sind zusätzlich mit Nassleitungs-Sprinklersystemen gesichert
- Beide Zentren, das DSDC und das CSDC, sind in allen Bereichen mit Feuerlöschern ausgestattet
Logische Zugriffskontrolle
- Benutzeridentifizierung und Zugriffsverwaltung
- Verbindung mit Kundendaten über SSL 3.0/TLS 1.0 unter Verwendung von globalen, abgestuften Zertifikaten von Thawte, um den sicheren Zugriff unserer Benutzer über ihren Browser auf unsere Dienste zu gewährleisten
- Individuelle Benutzersitzungen werden identifiziert und bei jeder Transaktion unter Verwendung von XML-verschlüsselten Sicherheitserklärungen über SAML 2.0 erneut geprüft
- Abhängig von den jeweils verwendeten Diensten
Operative Sicherheitskontrollen
- Verbindung mit dem Internet über redundante, unterschiedlich geleitete Links von mehreren Internetdienstanbietern, die von multiplen Einwählknoten der Telekommunikationsanbieter bedient werden
- Perimeter-Firewalls und Edge-Router blockieren nicht genutzte Protokolle
- Interne Firewalls trennen den Datenverkehr zwischen der Anwendung und den Datenbankschichten
- Load Balancer stellen Proxys für internen Datenverkehr bereit
- OCLC verwendet eine Vielzahl an Methoden, um Schadsoftware zu vermeiden, zu erkennen und zu beseitigen
- Regelmäßig werden unabhängige Sicherheitsbewertungen durch Dritte durchgeführt
- Alle Daten werden in jedem Datenzentrum auf Band gesichert
- Die Sicherungskopien werden über sichere Verbindungen in einem sicheren Bandarchiv vervielfältigt
- Die Bänder werden an einen anderen Standort transportiert und sicher vernichtet, wenn sie nicht mehr benötigt werden
- OCLC-Experten für Informationssicherheit überwachen Benachrichtigungen aus verschiedenen Quellen und Warnungen aus internen Systemen, um Bedrohungen frühzeitig zu erkennen und zu verwalten
Entwicklung und Verwaltung von Systemen
- OCLC testet sämtliche Codes vor der Veröffentlichung auf Sicherheitsrisiken und untersucht das Netzwerk und die Systeme regelmäßig auf Sicherheitslücken
- Prüfung auf Sicherheitslücken im Netzwerk
- Ausgewählte Penetrationstests und Prüfung von Codes
- Prüfung und Tests des Sicherheitskontrollen-Frameworks
Business-Continuity und Disaster-Recovery
- Der OCLC-Dienst führt in jedem Datenzentrum eine Echtzeit-Replikation auf Disk sowie eine echtzeitnahe Replikation zwischen dem Produktionsdatenzentrum und dem Disaster-Recovery-Standort durch
- Sensible Daten werden über dedizierte Verbindungen übermittelt
- In Disaster-Recovery-Tests werden unsere vorgesehenen Recovery-Zeiten und die Integrität der Kundendaten überprüft
Vorfallreaktion, Benachrichtigung und Behebung
- Incident-Verwaltungsprozess für Sicherheitsvorfälle, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Systemen oder Daten beeinträchtigen können
- Die Informationssicherheitsexperten von OCLC sind in den Bereichen Forensik und Beweissicherung unter Verwendung von eigenen und Drittanbieter-Tools ausgebildet
Einhaltung von Vorschriften
- Informationen können nur im Rahmen rechtlicher Prozesse Dritten zur Verfügung gestellt werden, z. B. bei Durchsuchungsbefehlen, gerichtlichen Anordnungen, Vorladungen, durch gesetzliche Ausnahmen oder nach Zustimmung des entsprechenden Benutzers
- OCLC verfolgt eine strenge Datenschutzrichtlinie zum Schutz der Kundendaten.
Die Dienste von OCLC entsprechen den Empfehlungen der Gartner Group 1 (Abb. 1.) sowie den Richtlinien „Security Guidance for Critical Areas of Focus in Cloud Computing“ der Cloud Security Alliance oder gehen über diese hinaus.
Abb. 1. Gartner: Sieben Sicherheitsrisiken beim Cloud-Computing
| Empfehlungen von Gartner | OCLC | Microsoft Cloud (BPOS) | Google Apps Unternehmen |
|---|---|---|---|
| Kontrolle der Benutzerzugriffsrechte | X | X | X |
| Einhaltung von Rechtsvorschriften | X | X | X |
| Auffinden von Daten | X | X | X (keine Offenlegung) |
| Trennung von Daten | X | X | X |
| Recovery | X | X | X |
| Investigative Unterstützung | X | X | X |
| Langfristige Nutzbarkeit | X | X | X |
1 Jay Heiser und Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3. Juni 2008