Unser permanenter Einsatz für Sicherheit
Um den Sicherheitsanforderungen unserer Mitglieder und der Bibliotheksgemeinschaft gerecht zu werden, stellen wir regelmäßig Informationen bereit und schaffen Transparenz bezüglich unserer Abläufe, Ziele, Zertifizierungen und Grundsätze.
OCLC verfügt über zuverlässige Kontrollmechanismen, um konsequent die Sicherheit von Daten und Diensten in der Cloud zu wahren. Bei unseren administrativen Abläufen legen wir größten Wert auf die Einhaltung von Richtlinien und Prüfstandards, um sicherzustellen, dass Datenzugriffe stets in einer sicheren, kontrollierten Umgebung erfolgen.
Strategische Sicherheitsziele
- Der Schutz von Informationen und Systemen durch Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit und Resilienz von Daten und kritischen Informationssystemen, um zu gewährleisten, dass wir Kunden und Mitarbeitern unsere Dienste bereitstellen können.
- Das Eindämmen von Sicherheitsrisiken durch Schaffung der nötigen Kultur, Rahmenbedingungen und Abläufe, um Sicherheitsrisiken entgegenzuwirken.
- Der Ausbau von Sicherheitskapazitäten durch die Einführung der nötigen Verfahren, Prozesse, Kompetenzen und allgemeinen Sicherheitsmechanismen, um OCLC vor Bedrohungen zu schützen und kontinuierliche Verbesserungen zu gewährleisten, um auf künftige Gefährdungen vorbereitet zu sein. Dabei werden die sicherheitsbezogenen Prioritäten stets mit den geschäftlichen Bedürfnissen und Strategien in Einklang gebracht.
- Ein übergreifender Sicherheitsansatz, um durch die Einführung unternehmensweiter Sicherheitsprogramme, Best Practices, einheitlicher Rahmenbedingungen und Informationssicherheitsrichtlinien die Sicherheit in der gesamten Organisation zu verbessern.
- Eine führende Stellung in der Bibliotheksgemeinschaft als Partner, der Bibliotheken, Anbietern, Verlagen und anderen Partnern in der Branche mit Workshops, Weiterbildungsangeboten und Kooperationsmöglichkeiten hilft, ihre Sicherheit zu verbessern.
Zertifizierungen und Bescheinigungen
FedRAMP: Marktplatz für von der US-Regierung zugelassene Cloud-Anbieter
Das Federal Risk and Authorization Management Program (FedRAMP) ist ein bundesweites Programm der US-Regierung, das einen standardisierten Ansatz für die Sicherheitsbewertung, Genehmigung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten bietet. FedRAMP schreibt eine Reihe grundlegender Abläufe vor, um für Cloud-Service-Angebote, die Daten von Bundesbehörden verwalten, eine effektive, reproduzierbare Cloud-Sicherheit zu gewährleisten. OCLC verfügt über eine Li-SAAS-Betriebsgenehmigung (Authority to Operate, ATO) von FedRAMP.
StateRAMP: Marktplatz für von US-amerikanischen Staats- und Kommunalregierungen zugelassene Cloud-Anbieter
Das State Risk and Authorization Management Program (StateRAMP) ist ein Programm von US-amerikanischen Bundesstaats- und Kommunalregierungen, das einen standardisierten Ansatz für die Sicherheitsbewertung, Genehmigung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten bietet. StateRAMP schreibt eine Reihe von Sicherheitsstandards auf Grundlage der Sonderpublikation 800-53 des National Institute of Standards and Technology (NIST) zu Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen vor. OCLC besitzt den Sicherheitsstatus „Ready“ und steht auf der StateRAMP-Liste autorisierter Anbieter.
ISO/IEC 27001
Die internationale Norm für Informationssicherheitsmanagement ISO/IEC 27001 ist ein Sicherheitsstandard, der formale Spezifikationen für ein Informationssicherheits-Managementsystem (ISMS) vorgibt, um die Informationssicherheit eindeutig zu definieren, zu steuern und zu kontrollieren. Sie schreibt Anforderungen für die Einrichtung, Überwachung, Aufrechterhaltung und fortlaufende Verbesserung des ISMS vor. Dieses Zertifikat hilft OCLC, eine Reihe gesetzlicher und regulatorischer Vorgaben hinsichtlich der Informationssicherheit einzuhalten.
ISO/IEC 27018
Die internationale Norm zum Schutz personenbezogener Daten ISO/IEC 27018 ist ein Verhaltenskodex für den Datenschutz in der Cloud. Auf Grundlage der EU-Datenschutzgesetze gibt sie Cloud-Service-Providern (CSPs), die personenbezogene Daten (Personally Identifiable Information, PII) verarbeiten, konkrete Empfehlungen bezüglich der Risikobewertung und Einführung zeitgemäßer Kontrollmechanismen für den Schutz von PII.
ISO/IEC 27701
Die internationale Norm ISO/IEC 27701 ist ein Datenschutzrahmenwerk zum Schutz personenbezogener Daten, das die Anforderungen für das Personal-Information-Management-System (PIMS) spezifiziert. Diese Norm deckt Datenschutzanforderungen von Datenschutzverordnungen wie der Datenschutz-Grundverordnung (DSGVO) ab.
SOC 2: Standard für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit
SOC 2 ist ein Bericht auf Grundlage der geltenden Trust Services Criteria (TSC) des Auditing Standards Board of the American Institute of Certified Public Accountants (AICPA). Bei dieser Prüfung werden die für die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit relevanten Informationssysteme einer Organisation beurteilt.
Zertifikat vorhanden
Cloud Security Alliance: Standard für Cloud-Sicherheit und Datenschutz
Das CSA Security Trust Assurance and Risk Programm soll den Einsatz bewährter Methoden fördern, um die Sicherheit beim Cloud-Computing zu gewährleisten. OCLC beteiligt sich am freiwilligen Security, Trust & Assurance Registry (STAR), um die Einhaltung der von der CSA empfohlenen Sicherheits- und Datenschutzkontrollen zu dokumentieren.
EU Cybersecurity Act: Rechtsakt zur Cybersicherheit in der EU
Der Rechtsakt zur Cybersicherheit stellt ein Rahmenwerk für die Informationssicherheit digitaler Produkte und Dienstleistungen auf. In diesem Rahmenwerk werden die erforderlichen Sicherheitsmaßnahmen definiert, die Unternehmen bei Geschäftstätigkeiten in der EU einhalten müssen.
OCLC unterzieht sich jährlich einer Prüfung nach ISO 27001, um die Einhaltung dieser Vorgaben nachzuweisen.
AGID: Marktplatz für in Italien zugelassene Cloud-Anbieter
Die Digitalisierungsagentur der italienischen Regierung, Agenzia per l'Italia digitale (AgID), koordiniert innovationspolitische Maßnahmen und unterstützt aktiv die Ausweitung von Informations- und Kommunikationstechnologien, um die Digitalisierung und Modernisierung der öffentlichen Verwaltung voranzubringen. All ihre Leitlinien und Aktivitäten werden auf nationaler und europäischer Ebene mit einer ganzheitlichen, konsistenten Sichtweise erarbeitet, um die technische Infrastruktur zu vereinheitlichen, die Sicherheit und Zuverlässigkeit bei der Aufbewahrung und Verwaltung öffentlicher Daten zu gewährleisten und integrierte, gemeinsam genutzte Qualitätsdienstleistungen zu erbringen.
Esquema Nacional de Seguridad (ENS): spanischer Standard für Cybersicherheit
Die Zulassungsregelung ENS wurde vom Ministerium für Finanzen und öffentliche Verwaltung und dem nationalen Kryptologiezentrum (Centro Criptológico Nacional, CCN) aufgestellt. Es beinhaltet die erforderlichen Grundprinzipien und Mindestanforderungen für den angemessenen Schutz von Informationen.
Zertifikat vorhanden
Cyber Essentials: britischer Standard für Cybersicherheit
Cyber Essentials ist eine von der britischen Regierung unterstützte Zertifizierung, die Unternehmen helfen soll, die Risiken gängiger Cyberbedrohungen für ihre IT-Systeme zu bewerten und einzudämmen. Das Cyber-Essentials-Programm ist ein Standard für Cybersicherheit, der Sicherheitskontrollen vorgibt, die Organisationen in ihre IT-Systeme integrieren müssen. Alle Auftragnehmer der britischen Regierung, die personenbezogene Daten verarbeiten, müssen eine Cyber-Essentials-Zertifizierung besitzen.
All diese Zertifizierungen und Bescheinigungen werden regelmäßig durch Dritte und/oder unabhängige Prüfer beurteilt und mit einem Zertifikat, Prüfbericht oder einer Konformitätsbescheinigung bestätigt (sofern nicht anders angegeben). Die Anpassungen und Rahmenbedingungen für die Einhaltung umfassen veröffentliche Anforderungen für bestimmte Zwecke.
Strategische Sicherheitsgrundsätze
Die Bemühungen von OCLC zur Verbesserung der Sicherheit sollen:
- Der Tatsache Rechnung tragen, dass unsere heutige Welt grenzenlos, vernetzt und global ist.
- Auf Risikomanagement beruhen.
- Alle Mitarbeiterinnen und Mitarbeiter von OCLC einschließen.
- Schnell an neue Bedrohungen, Technologien und Geschäftsmodelle angepasst werden.
- Sich auf Kriminelle und deren Angriffe konzentrieren.
Lernen Sie die Informationssicherheitsexperten von OCLC kennen
Global Security Services-Team von OCLC
Das Global Security Services-Team von OCLC besteht aus einem Security Governance Program Director, einem Information Security Manager, Security Architect, Information Security Engineers, Security Compliance und Governance Analysts. Darüber hinaus hat OCLC einen Datenschutzbeauftragten ernannt. Diese Fachleute kümmern sich um die Sicherheit und den Schutz der persönlichen und institutionellen Daten der OCLC-Kunden.
Die Mitglieder des Global Security Services-Teams verfügen über viele anerkannte professionelle Zertifikate, darunter ISC2 Certified Information System Security Professional (CISSP), ISACA Certified Information Security Auditor und IAPP Certified Privacy Professional. Unser Data Governance-Gremium berichtet an die Geschäftsleitung und unser Incident Response-Team ist in Incident Response und Forensik geschult. Alle OCLC-Mitarbeiter werden im Rahmen unseres Security Awareness-Programms jährlich geschult und regelmäßig geprüft.
Informationssicherheit in Europa, Afrika und Asien-Pazifik
Mira Golsteijn ist OCLCs Information Security Manager für die Regionen Europa, Naher Osten und Afrika (EMEA) und Asien-Pazifik (APAC). Sie ist Expertin für Sicherheitsprogramme in diesen Regionen und setzt sich für die Sicherheit und den Schutz von persönlichen und institutionellen Daten ein.
Haben Sie noch Fragen?
Wenden Sie sich an das globale Informationssicherheitsteam von OCLC. Dann wird sich ein Mitglied unseres Teams bei Ihnen melden.