Présentation

La Politique formelle de protection des informations d'Oracle établit les exigences pour la classification et le traitement des informations publiques et confidentielles.

Oracle classe les informations en quatre classes (Public, Interne, Restreint, Hautement restreint), chaque classification nécessitant les niveaux de contrôle de sécurité correspondants, tels que les exigences de chiffrement pour les données non publiques :

• Les informations « Publiques » ne sont pas sensibles et ne sont pas considérées confidentielles pour Oracle.
• Les informations « Internes » d'Oracle doivent rester confidentielles à Oracle.
• Les informations « Restreintes » et « Hautement restreintes » doivent rester confidentielles à Oracle et l'accès au sein d'Oracle doit être restreint sur la base du « besoin d'en avoir connaissance », avec des exigences supplémentaires en matière de gestion des informations « hautement restreintes ».

Formation et sensibilisation

La formation obligatoire d'Oracle informe les collaborateurs de la politique de protection des informations de l'entreprise. Cette formation teste également la compréhension par les collaborateurs des classifications des informations et des exigences en matière de traitement. Les collaborateurs doivent suivre cette formation lorsqu'ils rejoignent Oracle et la répéter périodiquement par la suite. Des rapports permettent aux responsables de suivre la progression des cours dans leur organisation.

Gestion et conservation des données chez Oracle

Oracle a des exigences formelles en matière de gestion de la conservation des données. Ces stratégies opérationnelles définissent les exigences par type et catégorie de données, notamment des exemples d'enregistrements dans divers services Oracle.

Inventaire des systèmes

L'élaboration et la tenue à jour d'un inventaire précis des systèmes est un élément nécessaire à une gestion efficace des systèmes d'information généraux et à la sécurité opérationnelle. Les Politiques d'Oracle relatives à l'inventaire des actifs des systèmes d'information exigent que les branches d'activité (LoB) procèdent à un inventaire précis et complet de leurs systèmes d'information, de leur matériel et de leurs logiciels. La présente politique s'applique à toutes les ressources d'information détenues sur n'importe quel système Oracle, y compris les systèmes d'entreprise et les services cloud.

La politique d'Oracle spécifie les données (ou champs) qui doivent être gérées à propos de ces systèmes d'information dans l'inventaire du système approuvé. Les informations techniques et commerciales requises relèvent des catégories suivantes :

• Détails matériels tels que le fabricant, le numéro de modèle et le numéro de série de l'équipement, du système ou du périphérique
• Emplacement physique du data center/de l'installation et emplacement dans ce bâtiment
• Détails du logiciel, tels que les applications et les versions associées
• Classification des actifs d'information
• Informations sur la propriété au niveau de l'organisation.