Gouvernance de programmes d'Oracle relatifs à la sécurité d'entreprise
Objectifs
Les programmes de Sécurité d'entreprise d'Oracle sont conçus pour protéger les ressources d'informations d'Oracle et des clients, telles que :
- Les systèmes essentiels sur lesquels les clients comptent pour le cloud, le support technique et d'autres services
- Le code source d'Oracle et autres données sensibles contre le vol et les altérations malveillantes
- Les informations personnelles et autres informations sensibles qu'Oracle collecte dans le cadre de son activité, notamment les données des clients, des partenaires, des fournisseurs et des collaborateurs dans les systèmes informatiques internes d'Oracle
Normes et certifications sectorielles
Les politiques de sécurité d'Oracle couvrent la gestion de la sécurité pour les opérations internes d'Oracle et les services qu'Oracle fournit à ses clients, et s'appliquent à tout le personnel d'Oracle, comme les salariés et les co-contractants prestataires de services. Ces politiques répondent aux normes ISO/IEC 27001:2022 (anciennement ISO/IEC 17799:2005) et ISO/IEC 27002:2022, et guident tous les domaines de la sécurité au sein d'Oracle.
Reflétant les pratiques recommandées dans les normes de sécurité publiées par l'Organisation internationale de normalisation (ISO), le National Institute of Standards and Technology (NIST) des États-Unis, ainsi que d'autres sources du secteur, Oracle a mis en œuvre une large gamme de contrôles de sécurité préventifs, détectifs et correctifs dans l'objectif de protéger les ressources d'information.
En savoir plus sur le tableau de bord Conformité du cloud.
Organisations de sécurité des branches d'activité
Les branches d'activité (LoB) disposent d'équipes de sécurité, travaillant sous la direction du Chief Security Office d'Oracle, qui supervisent leurs produits, systèmes et services cloud gérés par cette organisation. Les branches d'activité sont nécessaires pour définir les normes techniques conformément aux politiques de sécurité de l'information d'Oracle, ainsi que pour assurer la conformité aux politiques et normes d'Oracle au sein de leur organisation et des équipes de service cloud. Les branches d'activité sont également tenues de se conformer aux exigences et aux directives du programme de sécurité d'entreprise. Ce document ne décrit pas les organisations, normes et programmes de sécurité propres aux branches d'activité.
Sécurité organisationnelle
La sécurité organisationnelle globale d'Oracle est décrite dans la politique d'organisation de la sécurité d'Oracle et dans la politique de sécurité de l'information d'Oracle.
Les équipes et les programmes de sécurité de l'entreprise définissent les politiques de l'entreprise et fournissent une orientation globale aux équipes de sécurité des branches d'activité, qui sont responsables de la supervision de leurs produits, systèmes et services cloud.
Oracle Security Oversight Committee
Le Comité de surveillance de la sécurité d'Oracle (Oracle's Security Oversight Committee, OSOC) se réunit chaque année pour discuter et examiner les initiatives et les orientations en matière de sécurité. Le Comité réunit les cadres supérieurs des secteurs d'activité avec les organisations de sécurité d'entreprise et offre aux cadres l'occasion de communiquer leur stratégie de sécurité dans l'ensemble d'Oracle.
Organisations de sécurité d'entreprise
- Chief Security Officer
- Sécurité globale des produits
- Sécurité physique globale
- Architecture de sécurité d'entreprise
- Conformité commerciale internationale
Privacy & Security Legal
Privacy & Security Legal (P&SL) est chargé de fournir des conseils juridiques aux équipes de sécurité d'Oracle sur les sujets de confidentialité des données et de sécurité, notamment la réponse aux événements et aux incidents de sécurité, la conformité aux réglementations sur la protection des données, les obligations contractuelles et les exigences de reporting, ainsi que la coordination avec d'autres équipes juridiques d'Oracle, selon les besoins.
Équipes informatiques d'Oracle
Les équipes informatique (IT) et cloud DevOps d'Oracle sont responsables de la stratégie de sécurité informatique, de la conception architecturale des solutions de sécurité, de l'ingénierie, de la gestion des risques, des opérations et du support de l'infrastructure de sécurité, des normes et de la conformité, du renseignement sur les menaces et de la correction, ainsi que de l'évaluation technique de la sécurité pour les nouvelles infrastructures.