Risiken und Schwachstellen mindern; regelmäßige technische und nichttechnische Evaluierungen als Reaktion auf Änderungen der Umgebung oder der Betriebsabläufe durchführen

Wir führen jährlich eine Gap-Analyse durch, aktualisieren unsere Sicherheitsrisikoanalyse und erhalten eine HIPAA-Bescheinigung von einer unabhängigen Zertifizierungsstelle.

Wir führen Risikobewertungen durch, die die Identifizierung, Bewertung, Zuweisung, Abnahme, Behebung und andere relevante Managementaktivitäten umfassen, um sicherzustellen, dass wir die vereinbarte Risikobereitschaft und die relevanten gesetzlichen und regulatorischen Anforderungen einhalten. Wir bewerten kontinuierlich das Design von Kontrollen und Risikominderungsstrategien und empfehlen Änderungen der Steuerungsumgebung. Wir pflegen eine Risiko- und Kontrollmatrix in unserem GRC-Tool (Governance, Risk and Compliance).

Hintergrundüberprüfung und ordnungsgemäße Kündigungsverfahren durchführen

Für neue Atlassian-Mitarbeiter weltweit ist eine Hintergrundüberprüfung erforderlich, wenn sie ein Stellenangebot annehmen. Eine Reihe von Hintergrundprüfungen wird automatisch ausgelöst und für alle neu eingestellten Mitarbeiter sowie für unabhängige Auftragnehmer ausgeführt.

Unsere Mitarbeiter und Auftragnehmer, die Zugriff auf vertrauliche Informationen haben, sind an ihre Arbeitsverträge und Vertraulichkeitserklärungen gebunden, um sicherzustellen, dass die Verantwortlichkeiten und Pflichten zur Informationssicherheit auch nach Beendigung oder Änderung des Arbeitsverhältnisses gültig bleiben.

Sanktionen gegen Mitglieder der Belegschaft festlegen

Beim Onboarding müssen alle neuen Mitarbeiter unseren Verhaltenskodex und unsere Ethikrichtlinien anerkennen sowie eine Schulung zum Sicherheitsbewusstsein absolvieren. Es gibt offizielle Sanktionen, die verhängt werden können, wenn Personen gegen die festgelegten Richtlinien und Verfahren zur Informationssicherheit verstoßen.

Zugriffsautorisierung für Mitarbeiter, die mit ePHI arbeiten, durchsetzen

Die Active Directory-Rollenmitgliedschaft wird automatisch basierend auf der Abteilung und dem Team eines Benutzers zugewiesen und ist auf diejenigen beschränkt, die entsprechenden Zugriff benötigen. Wenn ein Benutzer in ein anderes Team wechselt, wird eine Warnmeldung generiert, die gegebenenfalls die Nachverfolgung und Entfernung des bisherigen Zugriffs auslöst. System- oder Servicebesitzer wurden als Genehmiger benannt, die den Benutzerzugriff innerhalb der Active Directory-Zugriffsebenen für verschiedene Systeme gewähren oder ändern können.

Privilegierten Zugriff auf Produktionsumgebungen erhalten nur autorisierte und geeignete Benutzer.

Der Zugriff auf unser internes Netzwerk und unsere Tools wird über logische Zugriffsmaßnahmen auf autorisierte Benutzer beschränkt. Jedes Benutzerkonto muss Folgendes erfüllen:

• Es muss über ein aktives Active Directory-Konto verfügen und
• Mitglied der entsprechenden Active Directory-Gruppe sein.

Zugriff nur bei Angemessenheit gewähren (nach dem Prinzip der geringsten Rechte)

Sitzungen nach einer vorab festgelegten Zeit der Inaktivität beenden

Für Desktop- und Mobilgeräteanwendungen wird ein Zeitüberschreitungswert für Benutzersitzungen festgelegt, der sich nach unseren üblichen Betriebsverfahren richtet (8 bis 24 Stunden für Desktop-Sitzungen, 30 bis 90 Tage für Mobilgerätesitzungen).

Bei macOS- und Windows-Endgeräten wird ein Bildschirmschoner durchgesetzt, bei dem zum Entsperren ein Passwort eingegeben werden muss.

Auditprotokollierung/-erkennung durchführen (einschließlich Überwachung von Anmeldeversuchen)

Wir bewahren Ereignisprotokolle auf und schützen sie vor Verlust und Manipulation. Wir überprüfen regelmäßig den Zugriff auf Protokolle. Wir haben die Protokollierung in unserer AWS-Umgebung aktiviert und leiten diese Protokolle an Splunk weiter. Wir haben automatische Warnmeldungen für AWS sowie Jira- und Confluence Cloud-Ereignisse basierend auf bekannten und früheren Sicherheitsereignissen und Vorfällen eingerichtet.

Wir führen einen Überprüfungsprozess durch, um unsere Warnmeldungen zu optimieren und Fehlalarme zu entfernen. Wir haben einen fest zugewiesenen Automatisierungstechniker, der den Prozess der Entwicklung und Selektierung von Warnmeldungen optimiert.

Vermutete oder bekannte Sicherheitsvorfälle identifizieren und darauf reagieren; Vorfälle und ihre Folgen beheben und dokumentieren

Wir haben einen unternehmensweiten Vorfallmanagementprozess implementiert, bei dem das Sicherheitsteam für das Programm verantwortlich ist. Dieser umfasst Folgendes:

• Aufzeichnung jeder Aktion beim Vorfallmanagement in einem dafür vorgesehenen System in Form eines Tickets für den Vorfall. Diese Aufzeichnungen müssen Folgendes enthalten:
  • Zeitpunkt, zu dem der Vorfall begonnen hat
  • Beschreibung des Vorfalls
  • Schweregrad
  • Betroffene Services
  • IT-Einfluss
  • Anzahl der betroffenen Kunden
  • Grundlegende Ursache
  • Ergriffene Maßnahmen
  • Betroffene SLOs (Funktionen betroffen)
• Zuordnung der Probleme, soweit möglich, zur zugrunde liegenden Ursache und/oder Zusammenfassung zu übergeordneten Vorfällen
• Durchführung einer Überprüfung nach dem Vorfall (Post Incident Review, PIR) im Anschluss an größere und kritische Vorfälle

Eine Person benennen, die für die Entwicklung und Implementierung des HIPAA-Sicherheits-Compliance-Programms zuständig sein soll

Wir haben einen fest zugewiesenen HIPAA-Sicherheitsbeauftragten. Dieser kennt seine Verantwortlichkeiten und die HIPAA-Sicherheitsregel und weiß, was diese Anforderungen für unsere Produkte bedeuten.

Eine Person benennen, die für die Entwicklung und Implementierung des HIPAA-Datenschutz-Compliance-Programms zuständig sein soll

Wir haben einen fest zugewiesenen HIPAA-Datenschutzbeauftragten. Dieser kennt seine Verantwortlichkeiten und die HIPAA-Datenschutzregel und weiß, was diese Anforderungen für unsere Produkte bedeuten.

Schulungen zum Sicherheitsbewusstsein durchführen

Im Rahmen des Atlassian-Programms zum Sicherheitsbewusstsein müssen alle Mitarbeiter jährlich Schulungen absolvieren. Darüber hinaus verteilen wir das ganze Jahr über spontan Übungen zur Sicherheitssensibilisierung und -kommunikation.

Verfahren zur Fortführung kritischer Geschäftsprozesse einrichten

Wir haben Verfahren für Disaster Recovery definiert, überprüft und getestet. Die Richtlinie beschreibt allgemein den Zweck, die Ziele, den Umfang, das Recovery Time Objective (RTO), das Recovery Point Objective (RPO) und die Rollen/Verantwortlichkeiten. Wir testen unsere offiziellen Pläne für Geschäftskontinuität und Disaster Recovery vierteljährlich. Zur Unterstützung von Notfallplankomponenten bewerten wir jährlich, welche Services und Systeme geschäftskritisch sind.

Wir führen Backups und Wiederherstellungen von Anwendungen, Systemen und Konfigurationen, die mit den Atlassian-Assets verknüpft sind, gemäß unseren Standardbetriebsverfahren durch und testen sie.

Vereinbarungen mit Geschäftspartnern aufsetzen, die zufriedenstellende Zusicherungen beinhalten, dass Kundendaten von Atlassian und Drittanbietern angemessen geschützt werden

Wir versichern, dass wir deine Daten angemessen schützen und nur verwenden oder offenlegen, soweit dies zulässig oder erforderlich ist, wo immer wir PHI in deinem Namen erstellen, empfangen, verwalten oder übertragen. Diese Zusicherungen werden in den mit dir getroffenen Geschäftspartnervereinbarungen festgehalten. Wir haben auch einen Implementierungsleitfaden erstellt, der Anweisungen für Kunden zur Nutzung und Konfiguration unserer Services enthält, um sicherzustellen, dass sie Informationen ebenfalls angemessen schützen.

Darüber hinaus stellen wir sicher, dass relevante Drittanbieter deine PHI schützen, indem wir sie auffordern, Geschäftspartnervereinbarungen mit uns zu unterzeichnen.

Physische Einrichtungen und Geräte vor Manipulation/Diebstahl schützen

Alle unsere Mitarbeiter und Auftragnehmer erhalten beim Onboarding einen Sicherheitsausweis, um physischen Zugang zu einer Einrichtung zu erhalten. Wenn die betreffende Person aus dem Unternehmen ausscheidet und ihr Profil in unserem Personalinformationssystem geschlossen wurde, widerruft unser System automatisch den physischen Zugang.

Besucher lokaler Standorte erhalten temporäre Ausweise. Diese Gastausweise müssen beim Verlassen des Gebäudes zurückgeben werden. Wenn die Ausweise nicht zurückgegeben werden, werden sie automatisch ungültig.

Physische Sicherheitsvorkehrungen für alle Workstations implementieren, die auf ePHI zugreifen

Wir haben ein Zero Trust-Netzwerk implementiert, damit nur bekannte Geräte Zugriff erhalten, die bei einer Verwaltungsplattform registriert sind. Wir haben unsere Anwendungen je nach den Daten, die darin gespeichert werden, und den Systemen, mit denen sie sich verbinden, in Sicherheitsstufen eingeteilt. Es gibt eine hohe, eine niedrige und eine offene Stufe. Der Gerätetyp und der zugehörige Sicherheitsstatus werden bewertet, um zu ermitteln, auf welche Anwendungen Zugriff gewährt wird.

Wir verwalten Festplattenverschlüsselung, Passwortsperre und Sicherheitspatches auf allen macOS- und Windows-Laptops.

Wir haben USB-Massenspeichergeräte auf allen von Atlassian ausgegebenen macOS- und Windows-Computern als schreibgeschützt konfiguriert.

Verfahren zum Umgang mit der endgültigen Disposition von ePHI und der Hardware, auf der sie gespeichert sind, einführen

Wir löschen die Daten von allen zurückgegebenen Laptops, bevor sie erneut bereitgestellt oder entsorgt werden. Es gibt auch ein Verfahren für verlorene/gestohlene Laptops, um sicherzustellen, dass keine Daten gestohlen werden.

Dokumente ab Erstelldatum oder letztem Gültigkeitsdatum 6 Jahre aufbewahren

Alle unsere Richtlinien werden mindestens einmal jährlich vom designierten Richtlinienverantwortlichen überprüft und auf unbestimmte Zeit aufbewahrt. Einen Überblick über unsere Richtlinien findest du unter Unsere Atlassian-Richtlinien für Sicherheit & Technologie.

Unsere Datenschutzrichtlinie kannst du hier einsehen.

Sicherheitsmaßnahmen implementieren, damit ePHI nicht unsachgemäß geändert werden können

Wir verschlüsseln alle Daten von HIPAA-qualifizierten Cloud-Produkten im Ruhezustand. Darüber hinaus verschlüsseln wir Daten, die über öffentliche Netzwerke übertragen werden, und stellen sicher, dass die Daten das vorgesehene Ziel erreichen.

Externe Benutzer müssen bei Verbindungen zu HIPAA-qualifizierten Cloud-Produkten SSL-Verschlüsselung für den Datenverkehr nutzen.

Nach Bedarf Mechanismen zur Verschlüsselung von ePHI festlegen