Datensicherheit

Einführung

Die Klassifizierung von Informationsressourcen von Oracle bestimmt die Anforderungen an die Unternehmensdatensicherheit für von Oracle verwaltete Systeme. Die Richtlinien von Oracle bieten globale Leitlinien für angemessene Kontrollen zum Schutz von Unternehmens-, Cloud- und Kundendaten gemäß der Datenklassifizierung.

Die Sicherheitsmaßnahmen von Oracle lassen sich in drei Kategorien einteilen: administrative, physische und technische Sicherheitsmaßnahmen.

• Administrative Kontrollen, einschließlich logischer Zugriffskontrolle und Personalprozessen
• Physische Kontrollen zur Verhinderung des unbefugten physischen Zugriffs auf Server und Datenverarbeitungsumgebungen
• Technische Kontrollen, einschließlich sicherer Konfigurationen und Verschlüsselung von Daten im Ruhezustand sowie bei der Übertragung.

Verschlüsselung

Verschlüsselung ist der Vorgang, bei dem Daten ohne den spezifischen Schlüssel zum Entschlüsseln unlesbar gemacht werden. Die Information Protection Policy von Oracle definiert allgemeine Anforderungen für den Schutz von Daten durch Verschlüsselung, wenn diese auf Laptops, Geräten und Wechseldatenträgern gespeichert sind (im Ruhezustand).

Oracle verfügt über Unternehmensstandards, die die zugelassenen kryptografischen Algorithmen und Protokolle festlegen. Oracle Produkte und Dienstleistungen dürfen nur aktuelle Versionen von genehmigten sicherheitsrelevanten Implementierungen verwenden, wie es der branchenüblichen Praxis entspricht. Oracle passt diese Standards an die Entwicklungen in der Branche und der Technologie an, um beispielsweise die rechtzeitige Abkündigung schwächerer Verschlüsselungsalgorithmen durchzusetzen.

Daten verschlüsseln

Oracle implementiert eine Vielzahl technischer Sicherheitskontrollen, die zum Schutz von Informationsressourcen im Ruhezustand und während der Übertragung entwickelt wurden. Diese Kontrollen werden nach Branchenstandards gesteuert und in der gesamten Unternehmensinfrastruktur bereitgestellt:

• Unternehmenssysteme wie Anwendungen und Kooperationstools
• Abnehmbares Speichermedium
• Laptops und Mobilgeräte

Verwaltung von Verschlüsselungsschlüsseln

Lösungen zur Verwaltung von Verschlüsselungsschlüsseln bei Oracle müssen gemäß dem Corporate Security Solution Assurance Process (CSSAP) genehmigt werden. Oracle legt die Anforderungen für die Verschlüsselung fest, einschließlich Schlüsselstärken, Schlüsselverwaltung, -erzeugung, -austausch/-übertragung, -speicherung, -verwendung und -erneuerung. Zu den spezifischen Anforderungen dieser Norm gehören:

• Orte und Technologien zur Speicherung von Verschlüsselungsschlüsseln
• Kontrollen zur Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität übertragener Verschlüsselungsschlüssel, wie beispielsweise digitale Signaturen
• Ändern der Standard-Verschlüsselungsschlüssel
• Ersatzplan für verschiedene Arten von Verschlüsselungsschlüsseln

Stilllegung von Servern und anderen IT-Ressourcen

Die Media Sanitization and Disposal Policy von Oracle definiert Anforderungen für die Entfernung von Informationen aus elektronischen Speichermedien (Bereinigung) und die Entsorgung von Informationen, die nicht mehr zum Schutz vor unbefugtem Zugriff und der Wiederherstellung vertraulicher Daten erforderlich sind. Elektronische Speichermedien umfassen Laptops, Festplatten, Speichergeräte und Wechselmedien wie Bänder.

Weitere Informationen

• Oracle Laptop and Mobile Device Security
• Oracle Network Security
• Oracle Software Security Assurance