Onze voortdurende inspanningen op het gebied van veiligheid
We ondersteunen de beveiligingsbehoeften van onze leden en de bibliotheekgemeenschap door middel van regelmatige communicatie en transparantie over onze processen, doelen, certificeringen en principes.
Bij OCLC beschikken we over robuuste controles om de strikte beveiliging van informatie en cloudsystemen te handhaven. Onze governanceprocessen richten zich op nalevings- en auditnormen om ervoor te zorgen dat toegang tot informatie altijd in beveiligde, gecontroleerde omgevingen plaatsvindt.
Strategische beveiligingsdoelen
- Bescherm informatie en systemen door te focussen op het waarborgen van de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van gegevens en kritieke informatiesystemen om ons vermogen om services te leveren aan klanten en medewerkers te waarborgen.
- Zoveel mogelijk inperken van beveiligingsrisico's door een werksfeer, normen en processen te creëren die nodig zijn om beveiligingsrisico's aan te pakken.
- Verbeteren van de beveiligingsmogelijkheden door de ontwikkeling van werkwijzen, processen, algemene beveiligingsmogelijkheden en van ons personeel beschermt OCLC zichzelf tegen beveiligingsrisico's en zetten wij in op voortdurende verbetering van onze systemen zodat wij ook in de toekomst bestand zijn tegen eventuele beveiligingsuitdagingen. Wij stemmen daarbij onze beveiligingsprioriteiten af op de organisatorische behoeften en strategieën.
- Beveiligingsaanpak op organisatorisch niveau en verbeterde beveiliging in de organisatie door bedrijfsbrede beveiligingsprogramma's op te zetten, evenals best practices, gemeenschappelijke kaders en duidelijk beleid ten aanzien van informatiebeveiliging.
- Advies geven aan de bibliotheekgemeenschap door ons op te stellen als partner die bibliotheken, leveranciers, uitgevers en andere partners in de sector helpt hun veiligheid te verbeteren door middel van workshops, training en samenwerkingsmogelijkheden.
Certificaten en attesten
FedRAMP: door de Amerikaanse federale overheid goedgekeurde marktplaats voor cloudproviders
Het Federal Risk and Authorization Management Program (FedRAMP) is een federaal overheidsprogramma in de Verenigde Staten dat een gestandaardiseerde benadering biedt voor veiligheidsbeoordeling, autorisatie en continue monitoring voor cloudproducten en -services. FedRAMP stelt een kernset van processen verplicht om effectieve, herhaalbare cloudbeveiliging te garanderen voor cloudserviceaanbiedingen die data van de federale overheid bevatten. OCLC heeft een FedRAMP Li-SAAS-gebruiksautorisatie (ATO).
StateRAMP: door de Amerikaanse staat en lokale overheid goedgekeurde marktplaats voor cloudproviders
Het State Risk and Authorization Management Program (StateRAMP) is een programma voor staats- en lokale overheid in de Verenigde Staten dat een gestandaardiseerde benadering biedt voor de beoordeling van beveiliging, autorisatie en voortdurende monitoring voor cloudproducten en -services. StateRAMP stelt een kernset aan beveiligingsstandaarden verplicht op basis van de Special Publication 800-53 beveiligings- en privacycontroles voor informatiesystemen en organisaties van het National Institute of Standards and Technology (NIST). OCLC beschikt over beveiligingsstatus 'Ready' en is opgenomen in de StateRAMP Authorized Vendor List.
ISO/IEC 27001
Standaard voor informatiebeveiligingsbeheer ISO/IEC 27001 is een beveiligingsstandaard. Deze is bedoeld voor het formaliseren van een Information Security Management System (ISMS) met als doel de beveiliging van informatie expliciet onder te brengen bij managementbeheer. In deze standaard staan eisen vervat om vast te leggen hoe het ISMS moet worden geïmplementeerd, gecontroleerd, onderhouden en voortdurend moet worden verbeterd. Deze certificering helpt OCLC te voldoen aan uiteenlopende regelgevende en wettelijke vereisten ten aanzien van de beveiliging van informatie.
ISO/IEC 27018
Gegevensbeschermingsniveau voor persoonlijk identificeerbare informatie (PII) - ISO IEC 27018 is een internationale praktijkcode voor cloudprivacy. Op basis van de gegevensbeschermingswetgeving van de EU geeft het specifieke richtlijnen aan cloudserviceproviders (CSP's) die optreden als verwerkers van persoonsgegevens (PII) bij het beoordelen van risico's en het implementeren van de modernste controles voor het beschermen van PII.
ISO/IEC 27701
De standaard ISO/IEC 27701 voor privacy-informatiesystemen (PIMS) is een internationaal privacykader voor de bescherming van persoonlijk identificeerbare informatie (PII). Deze standaard beslaat de vereisten inzake gegevensbescherming van verordeningen inzake gegevensbescherming, zoals de Algemene verordening gegevensbescherming (AVG).
SOC 2: Beveiliging, beschikbaarheid, verwerkingsintegriteit en vertrouwelijkheidsnorm
De SOC 2 is een rapport gebaseerd op de Auditing Standards Board van de bestaande Trust Services Criteria (TSC) van het American Institute of Certified Public Accountants (AICPA). Het doel van deze audit is om de informatiesystemen van een organisatie te evalueren die relevant zijn voor veiligheid, beschikbaarheid, verwerkingsintegriteit en vertrouwelijkheid.
Certificering geregistreerd
Cloud Security Alliance: cloudbeveiliging en privacynorm
Het Security Trust Assurance and Risk-programma van CSA bevordert het gebruik van best practices voor het bieden van beveiligingsgarantie binnen cloudcomputing. OCLC neemt deel aan de vrijwillige Security, Trust & Assurance Registry (STAR) van CSA om de naleving van door CSA gepubliceerde beveiligings- en privacycontroles te documenteren.
EU Cybersecurity Act: Europese cyberbeveiligingsnorm
De Europese cyberbeveiligingsverordening bevat een cyberbeveiligingskader voor digitale producten en services. Het cyberbeveiligingskader definieert de vereiste veiligheidscontroles die bedrijven moeten volgen wanneer ze zaken doen in de EU.
OCLC ondergaat een jaarlijkse ISO 27001-audit om naleving van deze regelgeving aan te tonen
Italiaanse AGID: door Italië goedgekeurde marktplaats voor cloudproviders
Het Agency for Digital Italy (AgID) coördineert het beleid op het gebied van innovatie en ondersteunt actief de verspreiding van informatie- en communicatietechnologieën ten gunste van de digitalisering en modernisering van het openbaar bestuur. Alle richtlijnen en acties ervan zijn ontwikkeld op nationaal en Europees niveau in een unitair en consistent perspectief om de technologische infrastructuur te bundelen, om de veiligheid en betrouwbaarheid van de bewaring en het beheer van openbare gegevens te waarborgen en om geïntegreerde en gedeelde services van hoge kwaliteit te bieden.
Spaanse Esquema Nacional de Seguridad (ENS): Spaanse cyberbeveiligingsnorm
Het ENS-accreditatieschema is ontwikkeld door het Ministerie van Financiën en Openbaar Bestuur en het CCN (Centro Criptológico Nacional). Dit schema bestaat uit basisprincipes en minimumvereisten die nodig zijn voor een adequate bescherming van informatie.
Certificering geregistreerd
Britse Cyber Essentials: Britse cyberbeveiligingsnorm
Cyber Essentials is een door de Britse overheid gesteund programma dat is ontworpen om organisaties te helpen bij het beoordelen en beperken van risico's van veelvoorkomende cyberveiligheidsbedreigingen voor hun IT-systemen. Het Cyber Essentials-schema is een cyberbeveiligingsnorm die beveiligingsmaatregelen identificeert die een organisatie moet hebben binnen hun IT-systemen. Het Cyber Essentials-schema is een vereiste voor alle leveranciers van de Britse overheid die persoonsgegevens behandelen.
Deze worden allemaal regelmatig beoordeeld door derde partijen en/of onafhankelijke auditors en resulteren in een certificering, auditrapport of bevestiging van naleving (tenzij anders vermeld). Compliance-afstemmingen en -kaders omvatten gepubliceerde vereisten voor specifieke doeleinden.
Strategische beveiligingsprincipes
OCLC hanteert de volgende strategische uitgangspunten bij het beschermen en beveiligen van informatie en informatiesystemen:
- We analyseren dreigingen vanuit mondiaal perspectief
- We richten ons daarbij op kwaadwillende actoren en de dreigingen die zij met zich meebrengen
- Risicobeheer vormt de basis voor onze technische en organisatorische maatregelen
- Alle medewerkers van OCLC dragen bij aan het beschermen en beveiligen van informatie en informatiesystemen
- We zijn weerbaar en reageren snel op veranderende omstandigheden en opkomende dreigingen
Maak kennis met de experts van OCLC voor informatiebeveiliging
Het Global Security Services team van OCLC
In het Global Security Services-team van OCLC zitten een Security Governance Program Director, een Information Security Manager en verschillende Security Architects, Information Security Engineers, Security Compliance- en Governance Analysts. Uiteraard zit er ook een Data Protection Officer in dit team. Samen bewaken zij de beveiliging en bescherming van institutionele en persoonsgegevens van de klanten van OCLC.
Ons Global Security Services Team beschikt over professionele certificering op uiteenlopende erkende gebieden (onder meer ISC2 Certified Information System Security Professional (CISSP), ISACA Certified Information Security Auditor en IAPP Certified Privacy Professional). Degenen die werken met gegevensbeheer rapporteren aan de Executive Managers. Het Incident Response Team voorkomt eventuele beveiligingsincidenten en voert sporenonderzoek uit als zich een dergelijk incident heeft voorgedaan. Als onderdeel van ons programma voor beveiligingsbewustzijn worden alle medewerkers van OCLC jaarlijks getraind en periodiek getest.
Informatiebeveiliging in Europa, Afrika, Azië en de gebieden rond de Stille Oceaan
Mira Golsteijn is de Information Security Manager bij OCLC die verantwoordelijk is voor Europa, het Midden-Oosten en Afrika (EMEA) en de gebieden rond de Stille Oceaan (APAC). Zij is expert in beveiligingsprogramma's voor deze regio's en richt zich volledig op de beveiliging en bescherming van institutionele en persoonsgegevens.
Heb je vragen?
Neem contact op met het Global Security Services team.