Deutsch

Unser permanenter Einsatz für Sicherheit

Foto-Illustration: Cybersicherheit

Um den Sicherheitsanforderungen unserer Mitglieder und der Bibliotheksgemeinschaft gerecht zu werden, stellen wir regelmäßig Informationen bereit und schaffen Transparenz bezüglich unserer Abläufe, Ziele, Zertifizierungen und Grundsätze.

OCLC verfügt über zuverlässige Kontrollmechanismen, um konsequent die Sicherheit von Daten und Diensten in der Cloud zu wahren. Bei unseren administrativen Abläufen legen wir größten Wert auf die Einhaltung von Richtlinien und Prüfstandards, um sicherzustellen, dass Datenzugriffe stets in einer sicheren, kontrollierten Umgebung erfolgen.

Strategische Sicherheitsziele

  • Der Schutz von Informationen und Systemen durch Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit und Resilienz von Daten und kritischen Informationssystemen, um zu gewährleisten, dass wir Kunden und Mitarbeitern unsere Dienste bereitstellen können.
  • Das Eindämmen von Sicherheitsrisiken durch Schaffung der nötigen Kultur, Rahmenbedingungen und Abläufe, um Sicherheitsrisiken entgegenzuwirken.
  • Der Ausbau von Sicherheitskapazitäten durch die Einführung der nötigen Verfahren, Prozesse, Kompetenzen und allgemeinen Sicherheitsmechanismen, um OCLC vor Bedrohungen zu schützen und kontinuierliche Verbesserungen zu gewährleisten, um auf künftige Gefährdungen vorbereitet zu sein. Dabei werden die sicherheitsbezogenen Prioritäten stets mit den geschäftlichen Bedürfnissen und Strategien in Einklang gebracht.
  • Ein übergreifender Sicherheitsansatz, um durch die Einführung unternehmensweiter Sicherheitsprogramme, Best Practices, einheitlicher Rahmenbedingungen und Informationssicherheitsrichtlinien die Sicherheit in der gesamten Organisation zu verbessern.
  • Eine führende Stellung in der Bibliotheksgemeinschaft als Partner, der Bibliotheken, Anbietern, Verlagen und anderen Partnern in der Branche mit Workshops, Weiterbildungsangeboten und Kooperationsmöglichkeiten hilft, ihre Sicherheit zu verbessern.

Zertifizierungen und Bescheinigungen

Logo: FedRamp

FedRAMP: Marktplatz für von der US-Regierung zugelassene Cloud-Anbieter

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein bundesweites Programm der US-Regierung, das einen standardisierten Ansatz für die Sicherheitsbewertung, Genehmigung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten bietet. FedRAMP schreibt eine Reihe grundlegender Abläufe vor, um für Cloud-Service-Angebote, die Daten von Bundesbehörden verwalten, eine effektive, reproduzierbare Cloud-Sicherheit zu gewährleisten. OCLC verfügt über eine Li-SAAS-Betriebsgenehmigung (Authority to Operate, ATO) von FedRAMP.

Zertifikat

Logo: ISO 27001

ISO/IEC 27001

Die internationale Norm für Informationssicherheitsmanagement ISO/IEC 27001 ist ein Sicherheitsstandard, der formale Spezifikationen für ein Informationssicherheits-Managementsystem (ISMS) vorgibt, um die Informationssicherheit eindeutig zu definieren, zu steuern und zu kontrollieren. Sie schreibt Anforderungen für die Einrichtung, Überwachung, Aufrechterhaltung und fortlaufende Verbesserung des ISMS vor. Dieses Zertifikat hilft OCLC, eine Reihe gesetzlicher und regulatorischer Vorgaben hinsichtlich der Informationssicherheit einzuhalten.

Zertifikat

Logo: ISO 27018

ISO/IEC 27018

Die internationale Norm zum Schutz personenbezogener Daten ISO/IEC 27018 ist ein Verhaltenskodex für den Datenschutz in der Cloud. Auf Grundlage der EU-Datenschutzgesetze gibt sie Cloud-Service-Providern (CSPs), die personenbezogene Daten (Personally Identifiable Information, PII) verarbeiten, konkrete Empfehlungen bezüglich der Risikobewertung und Einführung zeitgemäßer Kontrollmechanismen für den Schutz von PII.

Zertifikat

Logo: SOC 2

SOC 2: Standard für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit

SOC 2 ist ein Bericht auf Grundlage der geltenden Trust Services Criteria (TSC) des Auditing Standards Board of the American Institute of Certified Public Accountants (AICPA). Bei dieser Prüfung werden die für die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit relevanten Informationssysteme einer Organisation beurteilt.

Zertifikat vorhanden

Logo: Cloud Security Alliance

Cloud Security Alliance: Standard für Cloud-Sicherheit und Datenschutz

Das CSA Security Trust Assurance and Risk Programm soll den Einsatz bewährter Methoden fördern, um die Sicherheit beim Cloud-Computing zu gewährleisten. OCLC beteiligt sich am freiwilligen Security, Trust & Assurance Registry (STAR), um die Einhaltung der von der CSA empfohlenen Sicherheits- und Datenschutzkontrollen zu dokumentieren.

Zertifikat vorhanden

Logo: Agentur der Europäischen Union für Cybersicherheit (ENISA)

EU Cybersecurity Act: Rechtsakt zur Cybersicherheit in der EU

Der Rechtsakt zur Cybersicherheit stellt ein Rahmenwerk für die Informationssicherheit digitaler Produkte und Dienstleistungen auf. In diesem Rahmenwerk werden die erforderlichen Sicherheitsmaßnahmen definiert, die Unternehmen bei Geschäftstätigkeiten in der EU einhalten müssen.

OCLC unterzieht sich jährlich einer Prüfung nach ISO 27001, um die Einhaltung dieser Vorgaben nachzuweisen.

Logo: Agenzia per l'Italia digitale

AGID: Marktplatz für in Italien zugelassene Cloud-Anbieter

Die Digitalisierungsagentur der italienischen Regierung, Agenzia per l'Italia digitale (AgID), koordiniert innovationspolitische Maßnahmen und unterstützt aktiv die Ausweitung von Informations- und Kommunikationstechnologien, um die Digitalisierung und Modernisierung der öffentlichen Verwaltung voranzubringen. All ihre Leitlinien und Aktivitäten werden auf nationaler und europäischer Ebene mit einer ganzheitlichen, konsistenten Sichtweise erarbeitet, um die technische Infrastruktur zu vereinheitlichen, die Sicherheit und Zuverlässigkeit bei der Aufbewahrung und Verwaltung öffentlicher Daten zu gewährleisten und integrierte, gemeinsam genutzte Qualitätsdienstleistungen zu erbringen.

Zertifikat

Logo: Esquema Nacional de Seguridad (ENS)

Esquema Nacional de Seguridad (ENS): spanischer Standard für Cybersicherheit

Die Zulassungsregelung ENS wurde vom Ministerium für Finanzen und öffentliche Verwaltung und dem nationalen Kryptologiezentrum (Centro Criptológico Nacional, CCN) aufgestellt. Es beinhaltet die erforderlichen Grundprinzipien und Mindestanforderungen für den angemessenen Schutz von Informationen.

Zertifikat vorhanden

Logo: Cyber Essentials

Cyber Essentials: britischer Standard für Cybersicherheit

Cyber Essentials ist eine von der britischen Regierung unterstützte Zertifizierung, die Unternehmen helfen soll, die Risiken gängiger Cyberbedrohungen für ihre IT-Systeme zu bewerten und einzudämmen. Das Cyber-Essentials-Programm ist ein Standard für Cybersicherheit, der Sicherheitskontrollen vorgibt, die Organisationen in ihre IT-Systeme integrieren müssen. Alle Auftragnehmer der britischen Regierung, die personenbezogene Daten verarbeiten, müssen eine Cyber-Essentials-Zertifizierung besitzen.

Zertifikat

All diese Zertifizierungen und Bescheinigungen werden regelmäßig durch Dritte und/oder unabhängige Prüfer beurteilt und mit einem Zertifikat, Prüfbericht oder einer Konformitätsbescheinigung bestätigt (sofern nicht anders angegeben). Die Anpassungen und Rahmenbedingungen für die Einhaltung umfassen veröffentliche Anforderungen für bestimmte Zwecke.

Strategische Sicherheitsgrundsätze

Die Bemühungen von OCLC zur Verbesserung der Sicherheit sollen:

  • Der Tatsache Rechnung tragen, dass unsere heutige Welt grenzenlos, vernetzt und global ist.
  • Auf Risikomanagement beruhen.
  • Alle Mitarbeiterinnen und Mitarbeiter von OCLC einschließen.
  • Schnell an neue Bedrohungen, Technologien und Geschäftsmodelle angepasst werden.
  • Sich auf Kriminelle und deren Angriffe konzentrieren.