OCLC 的安全圖書館服務承諾
在分享您的館藏時保護您的資料
OCLC 瞭解會員資訊的機密性、完整性和可用性對其業務運作和我們的成功至關重要。 我們透過持續監控和改善我們的應用程式、系統和流程,使用多層次的方法保護重要資訊,以符合日漸成長的需求和動態安全威脅的挑戰。 OCLC 已符合 ISO 27001 安全標準並獲准註冊,認可我們對安全所作的努力。
資訊安全和企業風險管理
- 建置資訊安全管理系統以遵守 ISO/IEC 27001:2005
- 認證的資訊安全專業工作人員和資訊技術稽核專家以及企業永續性規劃和嚴重損壞修復專職專家
實體和環境控制
- 24 小時工作人員維持安全
- 透過感應卡限制存取
- 位於控制存取區域的計算設備
- 整體設備和周邊錄影監視
- 溼度和溫度控制
- 架高地板以促進空氣持續流通
- 地下設施供電
- 可中斷電力系統 (UPS)
- 備援電力分配裝置 (PDU)
- 現場具有柴油燃料儲存的柴油發電機
- 資料中心的煙霧和火警偵測感應器
- 都柏林服務提供中心 (DSDC) 由具有足夠儲藏量以供多重排放的 Halon 系統保護
- 哥倫布服務提供中心 (CSDC) 由 DuPont FM-200 滅火系統保護
- 資料中心也由撒水系統系統保護
- 在 DSDC 和 CSDC 裡都備有滅火器維護安全
邏輯存取控制
- 使用者識別和存取管理
* 透過 SSL 3.0/TLS 1.0 使用全球增強 Thawte 憑證連線至使用者資料,確保使用者在其瀏覽器和我們的服務之間能夠安全連線
* 透過 SAML 2.0 使用 XML 加密的安全判斷提示,以每個交易識別和重新驗證個別使用者工作階段
* 取決於利用的特定服務
運作安全控制
- 從多個電信供應商 Points of Presence 提供的多個網際網路服務供應商,透過各種備援轉送連結連線至網際網路
- 周邊防火牆和邊緣路由器可封鎖未使用的通訊協定
- 內部防火牆可隔離應用程式和資料庫層之間的流量
- 負載平衡器提供內部流量的 Proxy
- OCLC 使用各種方法預防、偵測和清除惡意軟體
- 同時定期執行第三方獨立安全評估
- 每個資料中心都會將所有資料備份到磁帶
- 透過安全連結將備份複製到安全磁帶檔案
- 異地傳輸磁帶,並在淘汰時將其安全銷毀
- OCLC 資訊安全工作人員監控各種來源通知和內部系統警示,以識別和管理威脅
系統開發和維護
- OCLC 會在發行前針對所有程式碼測試安全漏洞,並針對網路和系統定期掃描漏洞
- 網路漏洞評估
- 選擇的滲透測試和程式碼檢閱
- 安全控制架構檢閱和測試
企業永續性和嚴重損壞修復
- OCLC 服務在每個資料中心的磁碟執行即時複製,並在生產資料中心和嚴重損壞修復站點之間執行近即時資料複製
- 透過專用連結傳輸敏感性資料
- 嚴重損壞修復測試可驗證預計修復次數和客戶資料完整性
事件回應、通知和修復
- 影響系統或資料機密性、完整性或可用性的安全事件管理流程
- 資訊安全團隊經過鑑識和處理為事件準備之證據的訓練,包含第三方和專利工具的使用
遵循
- 第三方只可透過法律程序 (例如搜索票、法院命令、傳票)、法定豁免或使用者同意取得資訊
- OCLC 維持健全的隱私性原則,以協助保護客戶和使用者資料。
OCLC 服務符合或超過 Gartner Group 1 (表 1.) 和雲端安全聯盟「雲端運算重點領域安全指南」的建議。
表 1.Gartner: 七種雲端計算安全風險| Gartner 建議 | OCLC | Microsoft 雲端 (BPOS) | Google Apps 企業 |
|---|---|---|---|
| 擁有權限的使用者存取控制 | X | X | X |
| 法規遵循 | X | X | X |
| 資料位置 | X | X | X (未揭露) |
| 資料隔離 | X | X | X |
| 修復 | X | X | X |
| 調查支援 | X | X | X |
| 長期可行性 | X | X | X |
1 Jay Heiser 和 Mark Nicolett。 「評估雲端計算的安全風險。」 Gartner Group. 2008 年 6 月 3 日