Oracle 企业安全计划治理

目标

Oracle 企业安全计划旨在保护 Oracle 和客户信息资产，例如：

• 保护客户依赖的云技术、技术支持及其他服务的关键任务系统
• 保护 Oracle 源代码和其他敏感数据免遭盗窃和恶意更改
• 保护 Oracle 在商业活动中收集的个人及其他敏感信息，包括 Oracle 系统中的客户、合作伙伴、供应商和员工数据

行业标准和认证

Oracle 的安全策略涵盖了 Oracle 内部运营和 Oracle 为客户提供的服务的安全管理，适用于包括员工和承包商在内的所有 Oracle 人员。这些政策符合 ISO/IEC 27001:2022（原名为 ISO/IEC 17799:2005）和 ISO/IEC 27002:2022 标准，并指导 Oracle 内部所有安全领域的工作。

基于国际标准化组织 (ISO)、美国国家标准与技术研究院 (NIST) 及其他行业来源发布的安全标准中的推荐实践，Oracle 已实施了多种预防性、检测性和纠正性安全控制措施，旨在保护信息资产。

了解有关 Oracle Cloud 合规性仪表盘的更多信息。

业务线安全组织

各业务部门 (LoB) 设有安全团队，在 Oracle 首席安全官的领导下，负责监督该组织所管理的相关产品、系统及云技术服务。业务线需要根据 Oracle 的信息安全策略定义技术标准，并在其部门和云技术服务团队中推动 Oracle 策略和标准的合规性。业务线还需要遵守企业安全计划的规定和说明。本文不描述各业务部门的具体安全组织架构、标准及计划。

组织安全

Oracle 的总体组织安全框架在《Oracle 安全组织政策》和《Oracle 信息安全政策》中进行了说明。

企业安全团队和计划定义了企业政策，为负责监督由业务线自己管理的产品、系统和云技术服务的业务线 (LoB) 安全团队提供全球性指导。

Oracle 安全监督委员会

Oracle 安全监督委员会 (OSOC) 每年召开一次会议，讨论和审查安全计划和方向。该委员会汇集了业务线的高级管理人员与企业安全组织，为高管提供了在 Oracle 全球组织中传达安全策略的机会。

企业安全性组织

• 首席安全官
• 全球产品安全
• 全球物理安全
• 企业安全架构
• 全球贸易合规

隐私与安全法律事务

隐私与安全法律部 (P&SL) 负责就数据隐私和安全事宜向 Oracle 的安全部门提供法律建议，包括安全事件和安全事故响应、数据保护法律合规、合同义务及报告要求，并酌情与其他 Oracle 法律团队进行协调。

Oracle 信息技术组织

Oracle 信息技术 (IT) 和云技术 DevOps 部门负责 IT 安全策略、安全解决方案的架构设计、工程开发、风险管理、安全基础设施的运维与支持、标准与合规、威胁情报与修复，以及新基础设施的安全技术评估。

更多信息

• 向 Oracle 报告事件
• Oracle 慎重对待隐私