Close
HIPAA 로고

이 차트는 Health Insurance Portability and Accountability Act(HIPAA)를 준수해야 하는 조직이 Atlassian에서 HIPAA 준수를 지원하는 방법을 이해하도록 돕기 위해 마련되었습니다.

기존 Atlassian 계약이 있거나 이러한 요구 사항이 조직에 어떻게 적용되는지 자세히 알아보려면 Atlassian에 문의하세요.

요구 사항

설명

Atlassian이 이 요구 사항을 충족하는 방법

위험 관리

설명

환경 또는 운영 변화에 대응하여 위험 및 취약점을 줄이고 정기적인 기술 및 기술 외 평가를 수행합니다

Atlassian이 이 요구 사항을 충족하는 방법

Atlassian은 매년 격차 평가를 수행하고 보안 위험 분석을 업데이트하며 독립 인증 기관으로부터 HIPAA 증명을 획득합니다.

식별, 평가, 할당, 수용, 수정 및 기타 관련 관리 활동을 포함하는 위험 평가를 수행하여 합의된 위험 성향 및 관련 법률 및 규제 요구 사항에 따라 운영되도록 보장합니다. 컨트롤 환경의 변화를 권고하는 것을 포함하여 컨트롤 및 완화 전략의 설계를 지속적으로 평가합니다. 거버넌스, 위험 및 컴플라이언스(GRC) 도구 내에서 위험 및 컨트롤 매트릭스를 유지합니다.

인력 보안

설명

신원 조회 및 적절한 고용 종료 절차

Atlassian이 이 요구 사항을 충족하는 방법

전 세계적으로 Atlassian 신규 직원은 고용 제안을 수락하면 경력 조사를 완료해야 합니다. 종합적인 배경 조사가 자동으로 트리거되어 모든 신규 직원과 독립 계약자에 대해 실시합니다.

기밀 정보에 액세스할 수 있는 Atlassian 직원 및 계약자는 고용 종료 또는 고용 변경, 계약 관계 종료 후에도 정보 보안 책임과 의무가 유효하게 유지되도록 고용 계약 및 기밀 유지 계약에 대한 책임이 있습니다.

설명

인력 구성원에 대한 제재

Atlassian이 이 요구 사항을 충족하는 방법

모든 신규 직원은 온보딩 과정에서 회사의 비즈니스 행동 및 윤리 강령 정책을 수락하고 보안 인식 교육도 이수해야 합니다. 확립된 정보 보안 정책 및 절차를 준수하지 않는 개인에게 적용되는 공식 제재가 존재하며 활용됩니다.

정보 액세스 관리

설명

ePHI를 사용하는 직원에 대한 액세스 권한 부여

Atlassian이 이 요구 사항을 충족하는 방법

Active Directory 역할 멤버십은 사용자의 부서 및 팀에 따라 자동으로 할당되며, 해당 액세스 권한이 필요한 사용자로 제한됩니다. 사용자가 다른 팀으로 이동하는 경우, 해당하는 레거시 액세스 권한에 대한 후속 조치 및 제거를 트리거하는 알림이 생성됩니다. 시스템 또는 서비스 소유자는 다양한 시스템에 대한 Active Directory 액세스 수준에 따라 사용자에게 액세스 권한을 부여하거나 수정하는 승인자로 지정되어 있습니다.

프로덕션 환경에 대한 권한 있는 액세스는 권한이 부여된 적절한 사용자로 제한됩니다.

내부 네트워크 및 도구에 대한 액세스는 논리적 액세스 수단을 통해 승인된 사용자로 제한됩니다. 각 사용자 계정은 다음과 같아야 합니다.

  • Active Directory 계정이 있습니다.
  • 적절한 Active Directory 그룹의 구성원입니다.

설명

적절한 액세스 권한 부여(최소 권한 기반)

설명

지정한 시간 동안 작업하지 않을 경우 세션 종료

Atlassian이 이 요구 사항을 충족하는 방법

데스크톱 및 모바일 애플리케이션의 경우 표준 운영 절차에 따라 최대 사용자 세션 시간 제한이 적용됩니다(데스크톱 세션의 경우 8~24시간, 모바일 세션의 경우 30~90일).

macOS와 Windows 엔드포인트 모두에 화면 보호기가 적용되며 잠금을 해제하려면 비밀번호를 입력해야 합니다.

인시던트 대응 관리

설명

감사 로깅/감지(로그인 시도 모니터링 포함)

Atlassian이 이 요구 사항을 충족하는 방법

Atlassian은 이벤트 로그를 보관하며 손실이나 변조로부터 보호합니다. 로그에 대한 액세스를 정기적으로 검토합니다. AWS 환경 내에서 로깅을 사용으로 설정하고 해당 로그를 Splunk로 보냅니다. 알려지거나 이전의 보안 이벤트 및 인시던트를 기반으로 AWS 및 HIPAA 인증 클라우드 이벤트에 대한 자동 알림을 배포했습니다.

검토 프로세스를 유지 관리하며 경고를 조정 및 최적화하고 오탐을 제거합니다. 경고 개발 및 분류 프로세스를 간소화하는 전담 자동화 엔지니어를 보유하고 있습니다.

설명

의심스럽거나 알려진 보안 인시던트를 식별하고 이에 대응합니다. 인시던트와 그 결과를 완화하고 문서화합니다.

Atlassian이 이 요구 사항을 충족하는 방법

Atlassian은 보안 팀과 함께 조직 차원의 인시던트 관리 프로세스를 구현했으며, 이 프로그램은 다음과 같이 구성됩니다.

  • 인시던트를 관리할 때 모든 작업을 인시던트 티켓으로 인시던트 관리 시스템에 기록합니다. 기록은 다음을 포함해야 합니다.
    • 인시던트 시작 시간
    • 인시던트 설명
    • 심각도
    • 영향을 받은 서비스
    • 영향
    • 영향을 받은 고객 수
    • 근본 원인
    • 취한 조치
    • 영향을 받은 SLO(영향을 받은 기능)
  • 가능한 경우 문제를 근본 원인과 연관시키기 및/또는 상위 인시던트로 그룹화합니다.
  • 주요 및 중요 인시던트 발생 후 PIR(사후 인시던트 검토)을 완료합니다.

보안 책임

설명

HIPAA 보안 컴플라이언스 프로그램의 개발 및 구현을 담당하는 개인을 식별합니다

Atlassian이 이 요구 사항을 충족하는 방법

Atlassian에는 전담 HIPAA 보안 책임자가 있습니다. 보안 책임자는 자신의 책임, HIPAA 보안 규칙 및 이러한 요구 사항이 Atlassian 제품에 적용되는 방식을 잘 알고 있습니다.

개인정보 보호 책임

설명

HIPAA 개인정보 보호 컴플라이언스 프로그램의 개발 및 구현을 담당하는 개인을 식별합니다

Atlassian이 이 요구 사항을 충족하는 방법

Atlassian에는 전담 HIPAA 개인정보 보호 책임자가 있습니다. 개인정보 보호 책임자는 자신의 책임, HIPAA 개인정보 보호 규칙 및 이러한 요구 사항이 Atlassian 제품에 적용되는 방식을 잘 알고 있습니다.

보안 인식 및 교육

설명

사용자 인식 교육

Atlassian이 이 요구 사항을 충족하는 방법

Atlassian 보안 인식 프로그램의 일환으로 모든 직원은 매년 교육을 이수해야 합니다. 또한 Atlassian은 보안 관련 인식 연습 및 커뮤니케이션 자료를 연중 수시로 배포합니다.

비즈니스 연속성 계획

설명

중요한 비즈니스 프로세스를 지속할 수 있도록 지원하는 절차

Atlassian이 이 요구 사항을 충족하는 방법

Atlassian은 재해 복구 실행 절차를 정의하고 검토하고 테스트합니다. 이 정책에는 목적, 목표, 범위, 복구 시간 목표, 복구 시점 목표 및 역할/책임이 개괄적으로 설명되어 있습니다. Atlassian은 분기별로 공식 비즈니스 연속성 및 재해 복구 계획을 테스트합니다. 또한 비즈니스 연속성 계획의 구성 요소를 지원하기 위해 매년 서비스 및 시스템의 중요도를 평가합니다.

Atlassian 자산과 관련된 애플리케이션, 시스템 및 구성의 백업 및 복원을 표준 운영 절차에 따라 수행하고 테스트합니다.

비즈니스 제휴 계약

설명

비즈니스 제휴 계약에는 Atlassian 및 타사 공급자가 고객의 데이터를 적절하게 보호할 것이라는 충분한 보증이 포함되어 있습니다

Atlassian이 이 요구 사항을 충족하는 방법

Atlassian은 고객의 정보를 적절하게 보호하고 고객을 대신하여 PHI를 만들고, 받고, 유지하고 전송할 때마다 허가를 받았거나 필요한 경우에만 정보를 사용하거나 공개할 것임을 보증합니다. 이러한 보증은 Atlassian과 고객이 체결한 비즈니스 제휴 계약에 담겨 있습니다. 또한 Atlassian 서비스가 고객 정보를 적절하게 보호하고 있는지 확인할 수 있도록 고객이 Atlassian의 서비스를 사용하고 구성하는 방법에 대한 설명을 제공하는 구현 가이드도 마련했습니다.

그리고 관련 타사 공급업체가 Atlassian과의 비즈니스 제휴 계약에 서명하도록 요구하여 고객의 PHI를 보호할 수 있도록 보장합니다.

물리적 보안 및 엔드포인트 컨트롤

설명

물리적 시설 및 장비를 변조 또는 도난으로부터 보호

Atlassian이 이 요구 사항을 충족하는 방법

시설에 물리적으로 접근할 수 있도록 온보딩 시 모든 직원과 계약자에게 보안 배지를 발급합니다. 고용이 종료되고 HR 정보 시스템의 프로필이 종료되면 Atlassian 시스템은 물리적 액세스를 자동으로 취소합니다.

지역 현장의 방문자에게는 임시 배지를 발급합니다. 방문자는 건물 출구에서 게스트 통행증을 반납해야 합니다. 카드가 반환되지 않으면 해당 배지를 자동으로 종료합니다.

설명

ePHI에 액세스하는 모든 워크스테이션에 물리적 보호 장치 구현

Atlassian이 이 요구 사항을 충족하는 방법

Atlassian은 관리 플랫폼에 등록된 알려진 기기로부터의 액세스만 허용하도록 ZeroTrust 네트워크를 구현했습니다. 애플리케이션이 저장하는 데이터와 연결하는 시스템에 따라 애플리케이션을 보안 티어에 배치했습니다. 이 티어형 네트워크는 상위 티어, 하위 티어 및 개방 티어로 나뉩니다. 기기 유형과 보안 포스처를 평가하여 액세스할 수 있는 애플리케이션을 결정합니다.

모든 macOS 및 Windows 노트북에서 디스크 암호화, 비밀번호 잠금 및 보안 패치를 관리합니다.

Atlassian에서 발급한 모든 macOS 및 Windows 컴퓨터의 USB 대용량 저장 장치를 읽기 전용으로 구성했습니다.

설명

ePHI 및 저장하는 하드웨어의 최종 처분을 처리하는 절차

Atlassian이 이 요구 사항을 충족하는 방법

Atlassian은 반납된 노트북을 다시 배치 또는 폐기하기 전에 모두 지웁니다. 데이터를 도난당하지 않도록 노트북 분실/도난 절차도 마련되어 있습니다.

정책 및 절차

설명

문서는 만든 날짜 또는 마지막 유효 날짜로부터 6년 동안 보관

Atlassian이 이 요구 사항을 충족하는 방법

모든 정책은 지정된 정책 소유자가 최소 1년에 1번 검토하며 무기한 보관됩니다. 정책의 스냅샷을 보려면 Atlassian 보안 및 기술 정책을 참조하세요.

개인정보 보호 정책은 여기에서 확인할 수 있습니다.

전송 보안

설명

ePHI가 부적절하게 수정되지 않도록 보장하는 보안 조치

Atlassian이 이 요구 사항을 충족하는 방법

Atlassian은 HIPAA 인증 Cloud 제품의 미사용 데이터를 모두 암호화합니다. 또한 공용 네트워크를 통해 전송되는 데이터를 암호화하고 데이터가 의도한 목적지에 도달하도록 보장합니다.

외부 사용자는 SSL 프로토콜을 통해 암호화된 트래픽을 사용하여 HIPAA 인증 Cloud 제품에 연결합니다.

설명

적절하다고 판단하는 경우 ePHI를 암호화하는 메커니즘

인증

현재 HIPAA와 관련된 인증은 없습니다. 의료 기술을 인증하는 기관은 소프트웨어를 승인하거나 독립 인증 기관이 HIPAA 증명을 통해 비즈니스 제휴사 또는 보장되는 주체를 승인하도록 권한을 부여하지 않습니다. 따라서 HIPAA를 준수한다고 말하는 공식 인증은 없습니다. 그러나 Atlassian Cloud 제품은 매년 보안, 개인정보 보호 및 컴플라이언스 컨트롤의 운영 효과에 대해 독립적으로 검증을 거칩니다.독립 인증 기관이 감사를 수행했으며, Atlassian이 모든 HIPAA 규정을 준수하는 데 필요한 컨트롤 및 관행을 갖추고 있음을 확인했습니다.