Close

Unsere Atlassian-Richtlinien für Sicherheit & Technologie

Atlassian hat ein Information Security Management Program (ISMP) eingerichtet, das die Prinzipien und Regeln zur Pflege der Programme für Vertrauen und Sicherheit beschreibt. Dies erreichen wir, indem wir Risiken für unsere Betriebsabläufe kontinuierlich bewerten und die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit unserer Atlassian-Umgebung verbessern. Wir prüfen und aktualisieren Sicherheitsrichtlinien regelmäßig, führen Anwendungs- und Netzwerksicherheitstests in unserer Umgebung durch und überwachen die Einhaltung von Sicherheitsrichtlinien.

Nachstehend findest du eine Liste sowie eine kurze Beschreibung unserer wichtigsten Sicherheits- und Technologierichtlinien, die Atlassian für seine internen und Cloud-Umgebungen festgelegt hat.

Sicherheitsrichtlinien, Risiken und Kontrolle

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Management der Sicherheit bei Atlassian fest.

Grundlegende Prinzipien:

  • Atlassian verwaltet den Zugriff auf Unternehmens- und Kundeninformationen basierend auf den Geschäftsanforderungen und gemäß den Werten von Atlassian.
  • Atlassian führt eine Reihe von Kontrollen ein, um die Implementierung von Sicherheitsfunktionen entsprechend dieser Richtlinie zu verwalten.
  • Atlassian prüft regelmäßig Risiken und die Wirksamkeit der Kontrollen, mit denen diese Risiken gehandhabt werden sollen.
  • Atlassian wird weiterhin Unterstützung und Engagement bei der Einhaltung der geltenden Gesetze zum Schutz personenbezogener Daten und der Vertragsbedingungen von Cloud-Kunden zeigen.

Zugriffsmanagement

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Zugriffsmanagement fest.

Grundlegende Prinzipien:

  • Atlassian legt eine Richtlinie für die Zugriffskontrolle fest, die vorgibt, wie der Zugriff auf Systeme verwaltet wird.
  • Für das Zugriffsmanagement werden Benutzerkonten verwendet.
  • Alle Benutzer sind dafür verantwortlich, den Zugriff auf ihre Systeme zu verwalten.
  • Systeme werden protokolliert und auf einen möglichen unbefugten Zugriff hin überwacht.
  • Der Remote-Zugriff wird mithilfe einer mehrstufigen Authentifizierung ermöglicht.
  • Pflichten sollten gegebenenfalls getrennt werden.

Asset-Management

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Management der IT-Ressourcen von Atlassian sowie die Art und Weise fest, wie diese gehandhabt werden sollen.

Grundlegende Prinzipien des Asset-Managements bei Atlassian:

  • Atlassian pflegt den Bestand an Assets.
  • Den in einer Asset Management-Datenbank erfassten Assets werden Besitzer zugewiesen.
  • Die akzeptable Nutzung von Assets wird identifiziert, dokumentiert und implementiert.
  • Die Assets werden an Atlassian zurückgegeben, wenn ein Beschäftigungsverhältnis beendet wird.

Geschäftskontinuität & Disaster Recovery

Diese Richtlinie legt die allgemeinen Grundsätze fest, auf denen unser Ansatz bezüglich Ausfallsicherheit, Verfügbarkeit und Kontinuität von Prozessen, Systemen und Services bei Atlassian aufbaut. Sie definiert die Anforderungen an Prozesse für Geschäftskontinuität, Disaster Recovery und Krisenmanagement.

Grundlegende Prinzipien:

  • Besitzer von erfolgskritischen Systemen, Prozessen oder Services müssen im Falle einer Katastrophe und im Rahmen festgelegter Störungstoleranzen eine ordnungsgemäße Geschäftskontinuität und/oder Disaster Recovery sicherstellen.
  • Continuity-Pläne müssen angemessene Rückfallumgebungen beinhalten, die (zumindest) Kernfunktionen bieten, sowie einen Failover-Plan für diese Umgebung. Überlegungen zur Wiederaufnahme des normalen Geschäftsbetriebs sollten ebenfalls enthalten sein.
  • Ohne einen geeigneten Continuity-Plan dürfen keine erfolgskritischen Systeme, Prozesse oder Funktionen in der Produktion bereitgestellt werden.
  • Pläne müssen vierteljährlich geprüft und Probleme identifiziert und behoben werden.
  • Die maximale Recovery Time Objective (RTO) beginnt ab der Erkennung bis zur Wiederherstellung der wichtigsten Funktionen. Services werden in Stufen unterteilt, die die maximale RTO und RPO vorgeben.

Kommunikationssicherheit

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Management der Sicherheit unserer Kommunikationen und Netzwerke fest.

Grundlegende Prinzipien:

  • Der Netzwerkzugriff sollte kontrolliert werden.
  • Der Netzwerkzugriff wird gewährt und alle Benutzer sollten sich mit der Richtlinie für elektronische Systeme und Kommunikation vertraut machen.
  • Netzwerke sollten basierend auf ihrer Kritikalität voneinander getrennt werden.

Kryptografie und Verschlüsselung

Diese Richtlinie legt die allgemeinen Prinzipien fest, mit denen sichergestellt wird, dass Atlassian geeignete Verschlüsselungs- und Kryptografiemethoden implementiert, um die Vertraulichkeit und Integrität kritischer Daten zu gewährleisten. Atlassian stellt kryptografische Mechanismen bereit, um Risiken im Zusammenhang mit der Speicherung von vertraulichen Daten und deren Übertragung über mehrere Netzwerke, einschließlich der öffentlich zugänglichen (wie dem Internet), zu mindern. Der Einsatz von Verschlüsselungstechnologien, die zuverlässig und sicher sind und nachweislich effektiv funktionieren, ist ein zentrales Ziel dieses Standards, um das Risiko von unbefugtem Zugriff auf und/oder Änderung vertraulicher Unternehmensinformationen zu mindern.

Grundlegende Prinzipien:

  • Vertrauliche Daten werden angemessen verschlüsselt.
  • Die Stärke der ausgewählten Verschlüsselungsmethode entspricht der Informationsklassifikation.
  • Kryptografische Schlüssel werden auf sichere Weise verwaltet.
  • Es werden nur genehmigte kryptografische Algorithmen und Softwaremodule verwendet.

Datenklassifizierung

Diese Richtlinie legt Einstufungen für die Datenklassifizierung fest und definiert sie. Darin enthalten sind Beschreibungen, Beispiele, Anforderungen und Richtlinien für den Umgang mit Daten, die von den einzelnen Klassifizierungseinstufungen abgedeckt werden. Die Klassifizierungseinstufungen basieren auf den gesetzlichen Anforderungen, der Sensibilität, dem Wert und der Kritikalität der Daten für Atlassian, die Kunden von Atlassian sowie die Partner und Anbieter von Atlassian.

Grundlegende Prinzipien:

  • Daten müssen entsprechend gesetzlichen Anforderungen, ihrem Nutzen und der Kritikalität für Atlassian klassifiziert werden.
  • Daten müssen identifiziert, gekennzeichnet und in einer Datenflusskarte auf dem neuesten Stand gehalten werden, um eine angemessene Handhabung zu gewährleisten.
  • Zu entsorgende Medien müssen sorgfältig gelöscht werden.
  • Medien, die Unternehmensinformationen enthalten, müssen vor unbefugtem Zugriff, Missbrauch oder Beschädigung beim Transport geschützt werden.

Mobilgeräte & Bring Your Own Device (BYOD)

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für die Verwendung von persönlichen Geräten in Verbindung mit Netzwerken und Systemen von Atlassian fest.

Grundlegende Prinzipien:

  • Die Philosophie hinter dieser BYOD-Richtlinie (Bring Your Own Device) besagt, dass die Richtlinie möglichst unauffällig und flexibel sein soll, was die Nutzung von eigenen Geräten angeht, um die Autonomie von Atlassian-Mitarbeitern zu wahren und gleichzeitig sicherzustellen, dass wir unsere Kunden- und Unternehmensdaten schützen können.
  • Daher liegt der Fokus auf der Konfiguration/Prüfung des Sicherheitsstatus und der Überwachung der Geräte-Compliance. Statt Einschränkungen durchzusetzen, sollen die für die Erfüllung der erforderlichen Sicherheitsziele am wenigsten einschränkenden Prinzipien zur Anwendung kommen. Wenn Einschränkungen gelten sollen, werden diese je nach Art der Daten, auf die zugegriffen werden kann, selektiv festgelegt.
  • Diese Richtlinie deckt sowohl unsere aktuellen als auch vorweggenommene zukünftige Anforderungen ab. Einige der beschriebenen Funktionen werden eventuell nicht umgehend implementiert.

Operatives Geschäft

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für technologische Praktiken bei Atlassian fest.

Grundlegende Prinzipien:

  • Für Betriebsabläufe sollten Verfahren dokumentiert werden.
  • Es sollten regelmäßig Sicherungen erstellt und getestet werden.
  • Änderungen sollten verwaltet und von mehreren Personen bewertet werden.
  • Kapazitäten sollten bewertet und geplant werden.
  • Die Softwareinstallation sollte begrenzt und nicht notwendige Software eingeschränkt werden.
  • Protokolle sollten konfiguriert und an die zentrale Protokollierungsplattform weitergeleitet werden.
  • Betriebliche Vorfälle sollten gemäß unserem Standard-HOT-Prozess gehandhabt werden.

Personalsicherheit

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für die Personalsicherheit bei Atlassian fest.

Grundlegende Prinzipien:

  • Zuständigkeiten in Sachen Sicherheit werden in der Aufgabenbeschreibung dargelegt.
  • Alle Mitarbeiter und Benutzer nehmen regelmäßig an Schulungen des Sicherheitsbewusstseins teil.
  • Alle Mitarbeiter und Auftragnehmer sind verpflichtet, Sicherheitsvorfälle oder Schwachstellen zu melden.
  • Nach Beendigung des Beschäftigungsverhältnisses werden Ressourcen innerhalb eines angemessenen Zeitraums zurückgegeben und der Zugriff darauf wird verwehrt.

Physische und umgebungsbezogene Sicherheit

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für die Absicherung unserer Gebäude/Büros und den Schutz unserer Ausrüstung fest.

Grundlegende Prinzipien:

  • Atlassian stellt sichere Arbeitsbereiche zur Verfügung.
  • Wir schützen unsere IT-Ausrüstung an jedem Standort.
  • Wir beschränken den Zugang zu unseren Gebäuden und Büros.

Datenschutz

Diese Richtlinie legt Prinzipien fest, mit denen sichergestellt wird, dass Atlassian geeignete Sicherheitsmaßnahmen implementiert, um Datenschutz zu gewährleisten.

Atlassian ist sich bewusst, dass Verschlüsselung und andere den Datenschutz verbessernde Technologien (Privacy Enhancing Technologies, PETs) zwar leistungsstarke Tools sind, bei der Technologieauswahl und -implementierung jedoch eine sorgfältige Prüfung erforderlich ist. Atlassian verfolgt einen risikobasierten Datenschutzansatz, der die Art, den Umfang, den Kontext und die Zwecke der Datenverarbeitung sowie die Wahrscheinlichkeit und Schwere von Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigt.

Grundlegende Prinzipien:

  • PETs sollten gemäß einem risikobasierten Ansatz ausgewählt werden.
  • PETs dürfen Atlassian nicht daran hindern, regulatorische Anforderungen in Bezug auf Datenschutzrechte zu erfüllen.
  • PETs dürfen die Sicherheit von Systemen und Services, die Daten verarbeiten, nicht beeinträchtigen.
  • PETs dürfen die Möglichkeit zum Wiederherstellen des Zugriffs auf private Daten und der Verfügbarkeit dieser Daten im Falle eines Sicherheitsverstoßes nicht beeinträchtigen.
  • PETs müssen regelmäßige Tests, Bewertungen und Evaluierungen ihrer Wirksamkeit ermöglichen.

Management von Sicherheitsvorfällen

Diese Richtlinie legt die allgemeinen Grundsätze und Leitlinien fest, mit denen sichergestellt wird, dass Atlassian angemessen auf tatsächliche oder mutmaßliche Sicherheitsvorfälle reagiert. Atlassian ist dafür verantwortlich, Vorfälle innerhalb des Unternehmens zu überwachen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder Informationssystemen verletzen bzw. stören können. Alle mutmaßlichen Vorfälle müssen gemeldet und geprüft werden. Die Richtlinie wurde implementiert, damit Atlassian Security die Dauer von Vorfällen und ihre negativen Auswirkungen auf Atlassian und seine Kunden begrenzen und aus den Vorfällen lernen kann.

Grundlegende Prinzipien:

  • Antizipieren von Sicherheitsvorfällen und Vorbereitung auf die Incident Response
  • Eindämmung und Beseitigung von Vorfällen und anschließende Wiederherstellung
  • Investition in Mitarbeiter, Prozesse und Technologien, um sicherzustellen, dass auftretende Sicherheitsvorfälle erkannt und analysiert werden können
  • Der Schutz personenbezogener Daten und Kundendaten hat bei Sicherheitsvorfällen oberste Priorität.
  • Regelmäßige Testläufe des Prozesses zur Incident Response
  • Erlernen und Verbesserung der Funktion für das Management von Sicherheitsvorfällen
  • Wir melden kritische Sicherheitsvorfälle dem Führungsteam von Atlassian.

Anbietermanagement

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Auswählen, Beauftragen, Überwachen und Offboarding von Anbietern fest.

Zu den grundlegenden Prinzipien zählen:

  • Atlassian führt die Verwaltung des Anbieterauswahlprozesses zweckorientiert durch.
  • Für das Onboarding und Management aller Anbieter müssen die Risikobewertungs- und die Due-Diligence-Prozesse von Atlassian beachtet werden.
  • Geschäftsinhaber, die Lieferantenbeziehungen beantragen, müssen dafür standardmäßige Atlassian-Verträge nutzen.
  • Atlassian beobachtet die Geschäftsbeziehung, um sicherzustellen, dass die Atlassian-Standards erfüllt werden.
  • Atlassian behält sich das Recht vor, Verträge mit Anbietern zu beenden, wenn ihre Dienstleistung nicht mehr erforderlich ist.

Systembeschaffung, -entwicklung und -wartung

Diese Richtlinie legt die allgemeinen Grundsätze und Leitlinien für die Entwicklung von Anwendungen (intern und beim Kunden), für Einschränkungen bei der Verwaltung der Vorproduktionsumgebung und für die Integration von Open-Source-Software in unsere Produkte und Services fest.

Grundlegende Prinzipien:

  • Sicherheitsanforderungen werden für jede Umgebung, Anwendungsentwicklung oder Akquisition berücksichtigt und implementiert.
  • Die Produktentwicklung erfolgt gemäß unserem internen Qualitätssicherungsprozess, der die Integration von Sicherheitsprüfungen beinhaltet.
  • Produktionsdaten, die gemäß der Richtlinie für Datensicherheit und Information Lifecycle Management eingeschränkt sind, werden anonymisiert oder maskiert, wenn sie in Vorproduktionsumgebungen verwendet werden.
  • Die Integration von Open-Source-Frameworks oder -Bibliotheken erfolgt gemäß unserem internen Standard zur Verwendung von Code von Drittanbietern in Atlassian-Produkten

Bedrohungs- und Schwachstellenmanagement

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Management von Sicherheitsbedrohungen und Schwachstellen in unserer Umgebung und unseren Produkten fest.

Grundlegende Prinzipien:

  • Wir beheben Sicherheitsschwachstellen in unseren Produkten und Services und geben unter anderem Updates, Patches oder Hinweise heraus.
  • Wir gehen gezielt auf Sicherheitsbedrohungen und Schwachstellen in unserer gesamten Umgebung (intern und gehostet) ein.
  • Wir wehren Malware-Bedrohungen in unserer Umgebung ab.

Audit- & Compliance-Management

Diese Richtlinie legt die allgemeinen Grundsätze für die Verwaltung und Prüfung der Einhaltung von Kontrollen bei Atlassian fest.

Grundlegende Prinzipien:

  • Wir implementieren Kontrollen, um Risiken ordnungsgemäß zu managen und die Einhaltung relevanter Richtlinien, Vorschriften und externer Branchenstandards sicherzustellen.
  • Wir nutzen Audits, um die Angemessenheit und betriebliche Wirksamkeit unserer Kontrollen zu überprüfen.
  • Audits werden gegebenenfalls koordiniert und bereitgestellt, um ein umfassendes Vertrauen in unsere Kontrollumgebung zu erreichen und interne oder externe Zertifizierungen zu erhalten.
  • Atlassian bemüht sich um eine externe Validierung seiner Kontrollen.
  • Atlassian pflegt eine konsolidierte Ansicht aller seiner relevanten Kontrollziele, Kontrollaktivitäten und Tests.