我们对安全性的持续承诺

我们通过定期交流以及公开透明化我们的流程、目标、认证和原则来支持成员和图书馆社区的安全需求。
OCLC 拥有强大的控制系统来维护云中数据和服务的严格安全性。我们的治理流程注重合规性和审计标准,以确保用户始终在安全、可控的环境中进行数据访问。
战略安全目标
- 通过重点保护数据和关键信息系统的机密性、完整性、可用性和弹性来保护信息和系统,以确保我们向用户和员工提供服务的能力。
- 通过创建文化、框架和解决安全风险所需的流程来降低安全风险。
- 通过开发保护 OCLC 免受安全威胁所需的惯例、流程、员工团队和整体安全能力来增强安全能力,以便持续改进、应对未来的安全挑战。我们在这样做的同时也将安全优先级与业务需求和战略保持一致。
- 通过制定公司范围内的安全计划、最佳实践、通用框架和信息安全政策,在企业级别提高安全性来增强整个组织的安全性。
- 通过研讨会、教育机会和合作机会,领导图书馆社区作为合作伙伴,帮助图书馆、供应商、出版商和领域内其他合作伙伴增强其安全性。
认证与证明

FedRAMP:美国联邦政府批准的云提供商市场
联邦政府风险与授权管理计划 (FedRAMP) 是一项美国联邦政府计划,为云产品和服务提供一种安全评估、授权和连续监视的标准化方法。FedRAMP 要求执行一套核心流程,以确保拥有联防政府数据的云服务产品的效率以及可重复的云安全性。OCLC 保持 FedRAMP Li-SAAS 的运营授权 (ATO)。

StateRAMP:美国各州和地方政府批准云提供商市场
州政府风险与授权管理计划 (StateRAMP) 是一项美国州和地方政府计划,为云产品和服务提供一种安全评估、授权和连续监视的标准化方法。StateRAMP 要求执行一套安全标准核心流程,该流程基于国家标准技术局 (NIST) 信息系统和机构安全和隐私控制特别出版物 800-53 的内容。OCLC 保持‘就绪’ (Ready) 安全状态,并且是 StateRAMP 授权供应商列表的成员。

ISO/IEC 27001
信息安全管理标准 ISO/IEC 27001 是一个正式指定信息安全管理系统 (ISMS) 的安全标准,旨在将信息安全置于明确的管理控制之下。它规定用于定义实施、监控、维护和持续改善 ISMS 的方式的各项要求。该认证有助于 OCLC 遵守与信息安全有关的众多监管法规和法律要求。

ISO/IEC 27018
个人身份信息 (PII) 数据保护标准 ISO/IEC 27018 是针对云隐私的国际操作规范。根据欧盟数据保护法,它为充当个人身份信息 (PII) 处理者的云服务提供商 (CSP) 提供有关评估风险和实施保护 PII 的最新控制的具体指导。

ISO/IEC 27701
隐私信息管理系统 (PIMS) 标准 ISO/IEC 27701 是用于保护个人身份信息 (PII) 的国际隐私框架。该标准涵盖数据保护法规(例如《通用数据保护条例》[GDPR])中的数据保护要求。

SOC 2:安全性、可用性、处理完整性和机密性标准
SOC 2 是一份基于美国注册会计师协会 (AICPA) 现有信任服务标准 (TSC) 审计标准委员会的报告。审计的目的在于评估与安全性、可用性、处理完整性和机密性相关的组织信息系统。
认证存档

Cloud Security Alliance(云安全联盟):云安全及隐私标准
CSA 安全信任保证和风险计划促进最佳实践的使用,用于在云计算中提供安全保证。OCLC 参加了自愿的 CSA 安全、信任和保证注册 (STAR),以记录其符合 CSA 发布的安全和隐私控制措施。

EU Cybersecurity Act(欧盟网络安全法案):欧州网络安全标准
EU Cybersecurity Act(欧盟网络安全法案)为数字产品和服务建立了网络安全框架。该网络安全框架定义了公司在欧盟开展业务时必须遵循的安全控制措施。
OCLC 执行了年度 ISO 27001 审计,用以证明符合本法规条款

意大利 AGID:意大利批准的云提供商市场
Agency for Digital Italy(意大利国家数字化署,AgID)负责协调创新领域的政策并积极促进信息和通讯技术的传播,支持公共管理数字化和现代化进程。它的所有准则和行动均在国家和欧洲层面采取统一、一致的形式制定,整合技术基础设施、确保公共数据保存和管理的安全性和可靠性以及提供集成共享的高质量服务。

Spain Esquema Nacional de Seguridad (西班牙国家安全计划,ENS):西班牙网络安全标准
ENS 认证计划由财政和公共行政部以及国家密码学中心 (CCN) 联合制定。该计划由基本原则和充分保护信息所需的最低要求构成。
认证存档

United Kingdom Cyber Essentials(英国数码安全要略):英国网络安全标准
Cyber Essentials(英国数码安全要略)是英国政府支持的计划,旨在帮助组织评估和缓解 IT 系统中常见的网络完全威胁带来的风险。Cyber Essentials(英国数码安全要略)计划是一项网络安全标准,用于确定组织在其 IT 系统中需采取的安全控制。Cyber Essentials(英国数码安全要略)计划要求所有处理任何个人信息的英国政府供应商都必须遵守其规定。
所有规定均由第三方和/或独立审计员定期评估,并以认证、审计报告或合规性确认等方式确认结果(除非另有说明)。合规性的一致性和框架包括针对特定目的的已发布要求。
战略安全原则
在 OCLC,我们相信,为提高安全性所做出的所有努力都必须:
- 正确反应当今环境的无边界性、互联性和全球化性质
- 基于风险管理
- 由所有 OCLC 员工参与
- 快速适应新出现的威胁、技术和业务模型
- 重点关注不良行为者及其威胁
介绍 OCLC 信息安全专家
OCLC 全球安全服务团队
OCLC 全球安全服务团队由安全治理项目主管、信息安全经理、安全架构师、信息安全工程师、安全合规和管理分析师构成。此外,OCLC 还任命了一位数据保护官和这些专业人士一起致力于 OCLC 客户相关的个人和机构数据安全性和保护工作。
全球安全信息团队成员拥有众多业界认可的专业认证,例如 ISC2 注册信息系统安全专家 (CISSP)、ISACA 注册信息系统安全审计师、IAPP 注册隐私专家等等。我们的数据治理机构向执行管理层报告,而且我们的事件响应团队还接受了事件响应和取证方面的培训。作为我们安全意识计划的一部分,所有的 OCLC 工作人员每年都接受培训和定期测试。
欧洲、非洲、亚洲和太平洋地区的信息安全
Mira Golsteijn 是 OCLC 欧洲、中东和非洲 (EMEA) 以及亚太 (APAC) 地区的信息安全经理。她是这些地区安全计划主题方面的专家,并全身心致力于个人和机构数据的安全和保护工作。
有任何疑问吗?
请联系 OCLC 全球信息安全团队,团队成员将与您取得联系。