物理和环境安全
概述
Oracle 全球物理安全团队负责定义、开发、实施和管理物理安全,以保护 Oracle 的员工、设施、企业和资产。
预防性控制:保护 Oracle 的资产和员工
Oracle 在 Oracle 设施中实施了以下行为规范:
- 仅限 Oracle 员工、承包商和授权访客可以物理访问设施。
- Oracle 员工、分包商和授权访客都会获得身份卡,在 Oracle 场所内必须佩戴。
- 访客在进入 Oracle 设施之前必须进行注册,并且必须由 Oracle 设施中的 Oracle 人员陪同。
- 安全团队负责监控钥匙/门禁卡的持有情况以及进入设施的权力。从 Oracle 离职的员工必须归还钥匙/卡,并且钥匙/卡在终止雇佣关系时将被停用。
- 安全授权对服务位置的物理安全屏障或进入控制进行所有修复和修改。
- 根据设施的风险/保护级别,配备全天候现场保安人员或巡逻人员。所有情况下,安保人员均负责巡逻、响应警报以及记录物理安全事件。
- 集中管理的电子门禁系统集成了入侵者警报功能以及闭路电视监控和记录。根据 Oracle 记录保留政策,访问控制系统日志和 CCTV 录像必须保留 30-90 天,具体取决于设施功能、风险等级和当地法律。
数据中心安全
托管 Oracle 云技术服务的数据中心采用专门设计,有助于确保客户数据的安全性和可用性。其中的方法始于 Oracle 的站点选择和数据中心提供商选择流程。选择备选设施和提供方地点时会进行风险评估,其中考虑到了多项标准,包括环境威胁、电力可用性和稳定性、供应商声誉和历史、邻近设施功能(例如,高风险制造或高威胁目标)、标准合规性以及地缘政治因素等。
Oracle 根据行业优秀实践制定了托管 Oracle Cloud Infrastructure (OCI) 服务的数据中心供应商要求。对数据中心提供商的要求包括冗余电源和备用发电机维护(以便在停电时确保业务连续性)以及空气温度和湿度的监测。消防系统也是必须配备的。人员必须接受响应和升级程序方面的培训,以应对可能出现的安全事件和可用性事件。Oracle 数据中心团队通过供应商的独立第三方认证(例如 ISO 27001 和 SOC 2 )来评估数据中心提供商的业务连续性和安全性控制。