Deutschland, Österreich, Schweiz

  • Deutsch

OCLC-Richtlinien

Häufig gestellte Fragen-FAQ

OCLC verbürgt sich für sichere Bibliotheksdienste

Sicherer Schutz Ihrer Daten bei der gemeinsamen Nutzung Ihrer Sammlungen

Image: ISO 27001 Zertifikat

OCLC ist sich der Tatsache bewusst, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten unserer Mitglieder für ihre Betriebsprozesse und ihren eigenen Erfolg unerlässlich sind. Wir verwenden einen mehrschichtigen Ansatz zum Schutz wichtiger Informationen, der eine konstante Überwachung und Optimierung unserer Anwendungen, Systeme und Prozesse umfasst, um den wachsenden Anforderungen und Herausforderungen dynamischer Sicherheitsbedrohungen zu begegnen. Die Sicherheitsmaßnahmen von OCLC entsprechen den Standards nach ISO 27001, und OCLC hat die entsprechenden Registrierungen erhalten.

Informationssicherheit und Enterprise Risk Management

  • Implementierung eines Managementsystems für die Informationssicherheit nach ISO/IEC 27001:2005
  • Zertifizierte Experten für Informationssicherheit und IT-Audit und ein dedizierter Vollzeit-Spezialist für die Business-Continuity-Planung und Disaster-Recovery

Physical and Environmental Controls

  • Sicherheitspersonal wird rund um die Uhr eingesetzt
  • Beschränkter Zutritt über Transponderkarten
  • Computer-Ausrüstung in zutrittsbeschränkten Bereichen
  • Videoüberwachung in der gesamten Einrichtung und im Umkreis
  • Feuchtigkeits- und Temperaturkontrolle
  • Erhöhte Positionierung sorgt für ständige Luftzirkulation
  • Stromversorgung über unterirdische Leitungen
  • Unterbrechungsfreie Stromversorgung (USV)
  • Redundante Power Distribution Units (PDUs)
  • Dieselgeneratoren mit Diesel-Treibstoffvorrat vor Ort
  • Rauch- und Feuersensoren überall in den Datenzentren
  • Das Dublin Service Delivery Center (DSDC) ist mit einem Halon-Löschsystem mit ausreichenden Reserven für mehrere Abgaben ausgestattet
  • Das Columbus Service Delivery Center (CSDC) verfügt über ein DuPont FM-200-Feuerunterdrückungssystem
  • Die Datenzentren sind zusätzlich mit Nassleitungs-Sprinklersystemen gesichert
  • Beide Zentren, das DSDC und das CSDC, sind in allen Bereichen mit Feuerlöschern ausgestattet

Logische Zugriffskontrolle

  • Benutzeridentifizierung und Zugriffsverwaltung
  • Verbindung mit Kundendaten über SSL 3.0/TLS 1.0 unter Verwendung von globalen, abgestuften Zertifikaten von Thawte, um den sicheren Zugriff unserer Benutzer über ihren Browser auf unsere Dienste zu gewährleisten
  • Individuelle Benutzersitzungen werden identifiziert und bei jeder Transaktion unter Verwendung von XML-verschlüsselten Sicherheitserklärungen über SAML 2.0 erneut geprüft
  • Abhängig von den jeweils verwendeten Diensten

Operative Sicherheitskontrollen

  • Verbindung mit dem Internet über redundante, unterschiedlich geleitete Links von mehreren Internetdienstanbietern, die von multiplen Einwählknoten der Telekommunikationsanbieter bedient werden
  • Perimeter-Firewalls und Edge-Router blockieren nicht genutzte Protokolle
  • Interne Firewalls trennen den Datenverkehr zwischen der Anwendung und den Datenbankschichten
  • Load Balancer stellen Proxys für internen Datenverkehr bereit
  • OCLC verwendet eine Vielzahl an Methoden, um Schadsoftware zu vermeiden, zu erkennen und zu beseitigen
  • Regelmäßig werden unabhängige Sicherheitsbewertungen durch Dritte durchgeführt
  • Alle Daten werden in jedem Datenzentrum auf Band gesichert
  • Die Sicherungskopien werden über sichere Verbindungen in einem sicheren Bandarchiv vervielfältigt
  • Die Bänder werden an einen anderen Standort transportiert und sicher vernichtet, wenn sie nicht mehr benötigt werden
  • OCLC-Experten für Informationssicherheit überwachen Benachrichtigungen aus verschiedenen Quellen und Warnungen aus internen Systemen, um Bedrohungen frühzeitig zu erkennen und zu verwalten

Entwicklung und Verwaltung von Systemen

  • OCLC testet sämtliche Codes vor der Veröffentlichung auf Sicherheitsrisiken und untersucht das Netzwerk und die Systeme regelmäßig auf Sicherheitslücken
  • Prüfung auf Sicherheitslücken im Netzwerk
  • Ausgewählte Penetrationstests und Prüfung von Codes
  • Prüfung und Tests des Sicherheitskontrollen-Frameworks

Business-Continuity und Disaster-Recovery

  • Der OCLC-Dienst führt in jedem Datenzentrum eine Echtzeit-Replikation auf Disk sowie eine echtzeitnahe Replikation zwischen dem Produktionsdatenzentrum und dem Disaster-Recovery-Standort durch
  • Sensible Daten werden über dedizierte Verbindungen übermittelt
  • In Disaster-Recovery-Tests werden unsere vorgesehenen Recovery-Zeiten und die Integrität der Kundendaten überprüft

Vorfallreaktion, Benachrichtigung und Behebung

  • Incident-Verwaltungsprozess für Sicherheitsvorfälle, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Systemen oder Daten beeinträchtigen können
  • Die Informationssicherheitsexperten von OCLC sind in den Bereichen Forensik und Beweissicherung unter Verwendung von eigenen und Drittanbieter-Tools ausgebildet

Einhaltung von Vorschriften

  • Informationen können nur im Rahmen rechtlicher Prozesse Dritten zur Verfügung gestellt werden, z. B. bei Durchsuchungsbefehlen, gerichtlichen Anordnungen, Vorladungen, durch gesetzliche Ausnahmen oder nach Zustimmung des entsprechenden Benutzers
  • OCLC verfolgt eine strenge Datenschutzrichtlinie zum Schutz der Kundendaten.

Die Dienste von OCLC entsprechen den Empfehlungen der Gartner Group 1 (Abb. 1.) sowie den Richtlinien „Security Guidance for Critical Areas of Focus in Cloud Computing“ der Cloud Security Alliance oder gehen über diese hinaus.

Abb. 1. Gartner: Sieben Sicherheitsrisiken beim Cloud-Computing

Empfehlungen von Gartner OCLC Microsoft

Cloud (BPOS)
Google Apps

Unternehmen
Kontrolle der Benutzerzugriffsrechte X X X
Einhaltung von Rechtsvorschriften X X X
Auffinden von Daten X X X (keine Offenlegung)
Trennung von Daten X X X
Recovery X X X
Investigative Unterstützung X X X
Langfristige Nutzbarkeit X X X

1 Jay Heiser und Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3. Juni 2008