Oracle Corporate Security Program – Governance
Ziele
Die Corporate Security-Programme von Oracle dienen dem Schutz der Informationsressourcen von Oracle und seinen Kunden, darunter:
- die unternehmenskritischen Systeme, auf die Kunden für Cloud-Services, technischen Support und andere Services vertrauen;
- Oracle Quellcode und andere sensible Daten vor Diebstahl und böswilliger Veränderung;
- Persönliche und andere sensible Daten, die Oracle im Rahmen seiner Geschäftstätigkeit erfasst, einschließlich Kunden-, Partner-, Lieferanten- und Mitarbeiterdaten in den internen IT-Systemen von Oracle.
Industriestandards und Zertifizierungen
Die Sicherheitsrichtlinien von Oracle umfassen die Verwaltung der Sicherheit sowohl für die internen Abläufe von Oracle als auch für die Dienstleistungen, die Oracle seinen Kunden anbietet, und gelten für alle Personen, die für Oracle tätig sind, z. B. Mitarbeiter und Auftragnehmer. Diese Richtlinien sind an den Standards ISO/IEC 27001:2022 (früher bekannt als ISO/IEC 17799:2005) und ISO/IEC 27002:2022 ausgerichtet und steuern alle Sicherheitsbereiche innerhalb von Oracle.
Im Einklang mit den empfohlenen Praktiken aus Sicherheitsstandards der International Organization for Standardization (ISO), des US National Institute of Standards and Technology (NIST) sowie weiterer Branchenquellen hat Oracle eine breite Palette präventiver, detektiver und korrektiver Sicherheitskontrollen implementiert – mit dem Ziel, Informationswerte wirksam zu schützen.
Weitere Informationen im Cloud-Compliance-Dashboard.
Sicherheitsorganisationen für Geschäftsbereiche
Die einzelnen Geschäftsbereiche (LoB) verfügen über Sicherheitsteams, die unter der Leitung des Oracle Chief Security Office arbeiten und die von ihnen verantworteten Produkte, Systeme und Cloud‑Services überwachen. LoBs müssen technische Standards gemäß den Informationssicherheitsrichtlinien von Oracle definieren und die Einhaltung der Oracle Richtlinien und -Standards innerhalb ihrer Organisation und ihrer Cloud-Service-Teams sicherstellen. Die LoBs sind außerdem verpflichtet, die Anforderungen und Vorgaben des Unternehmenssicherheitsprogramms einzuhalten. Dieses Dokument beschreibt nicht die spezifischen Sicherheitsorganisationen, -standards und -programme der einzelnen Geschäftsbereiche (LoB).
Unternehmenssicherheit
Die übergreifende Organisationssicherheit von Oracle ist in der Richtlinie zur Sicherheitsorganisation von Oracle sowie in der Oracle Informationssicherheitsrichtlinie beschrieben.
Die Unternehmenssicherheitsteams und -programme definieren Unternehmensrichtlinien und geben den Sicherheitsteams der Geschäftsbereiche (LoB) globale Vorgaben, die für die Überwachung der von ihrer Organisation verwalteten Produkte, Systeme und Cloud-Services verantwortlich sind.
Oracle Security Oversight Committee
Das Security Oversight Committee (OSOC) von Oracle trifft sich einmal jährlich, um Sicherheitsinitiativen und -richtlinien zu besprechen und zu überprüfen. Der Ausschuss bringt Führungskräfte aus den verschiedenen Geschäftsbereichen mit den Unternehmenssicherheitsorganisationen zusammen und bietet ihnen die Möglichkeit, Sicherheitsstrategien innerhalb der gesamten Oracle Organisation zu kommunizieren.
Unternehmensweite Sicherheitsorganisationen
- Chief Security Officer
- Global Product Security
- Global Physical Security
- Corporate Security Architecture
- Global Trade Compliance
Privacy & Security Legal
Privacy & Security Legal (P&SL) ist dafür verantwortlich, die Sicherheitsorganisationen von Oracle in Fragen des Datenschutzes und der Informationssicherheit rechtlich zu beraten – einschließlich der Reaktion auf Sicherheitsereignisse und Sicherheitsvorfälle, der Einhaltung von Datenschutzgesetzen, vertraglichen Verpflichtungen und Meldepflichten – und koordiniert bei Bedarf mit anderen Teams innerhalb von Oracle Legal.
Oracle Informationstechnologieorganisationen
Die IT‑ und Cloud‑DevOps‑Organisationen von Oracle sind verantwortlich für die IT‑Sicherheitsstrategie, die architektonische Gestaltung von Sicherheitslösungen, Engineering, Risikomanagement, den Betrieb und Support der Sicherheitsinfrastruktur, Standards und Compliance, Threat Intelligence und Remediation sowie die sicherheitstechnische Bewertung neuer Infrastrukturen.