ATMS(Atlassian Trust Management System)
ATMS(Atlassian Trust Management System) 소개
Atlassian은 회사의 가치를 매우 자랑스럽게 생각합니다. 이러한 가치는 Atlassian이 하는 모든 일의 길잡이가 되어 줍니다. 특히 눈에 띄는 한 가치는 열린 회사, 헛소리는 하지 않는다입니다. 이 가치는 Atlassian의 가치 페이지에 정의된 내용과 정확하게 일치합니다.
그리고 Atlassian은 자기 생각을 말하기 위해서는 이성(말할 내용), 사려(말할 시기) 및 배려(표현 방식)가 필요하다는 것을 잘 알고 있습니다.
Atlassian의 고객들은 Atlassian이 비즈니스를 운영하는 방식에 대해 자세히 알고 싶다고 일관되게 말하고 있습니다. 그래서 잠시 동안 ISO27001 보안 관리 표준에서 ATMS(Atlassian Trust Management System)라고 하는 Trust Management Program을 운영하는 방식에 대해 이야기하겠습니다.
Atlassian은 고유한 영업 접근 방식, 회사 가치 또는 자선 활동에 대한 접근 방식에 있어서 다른 기업과 차별화된 요소를 갖고 있다는 데 자부심을 느끼고 있습니다. Atlassian은 이 접근 방식을 Trust Management Program으로 확대했습니다.
구조적 관리 프로그램의 중요성
품질 관리 시스템, 결함 관리 시스템, 지속적인 개선을 위한 카이젠 방법 또는 구조적 역량 성숙도 평가를 위한 방법론을 평가하든 관리 시스템은 가치가 있습니다. 이러한 관리 프로그램은 현장 테스트, 게시, 동료들의 검토를 통해 개선되었습니다. Atlassian Trust Management Program은 ISO27001 Information Security Management System 표준을 기반으로 합니다. ISO27001 표준의 기본 원칙은 다음과 같습니다.
내부 및 외부 당사자는 조직이 자체 정보 보안 요구 사항을 충족할 수 있는지 평가하는 데 이 국제 표준을 사용할 수 있습니다.
지침으로서 국제 표준의 가치(꼭 '해야 하는 것'은 아님)
모든 조직, 특히 고객의 데이터 호스팅 및 처리를 담당하는 조직과 마찬가지로, 고객들은 당연히 클라우드 서비스 공급자로서 Atlassian이 고객 데이터의 보호 및 기밀 유지를 위해 적절한 주의를 기울이고 있는지와 관련하여 많은 궁금증을 갖고 있습니다. 클라우드 서비스 활용을 고려하고 있는 고객은 주요 애플리케이션 또는 서비스를 호스팅하기로 선택할 때 비슷한 결정을 내립니다.
각 고객은 자체 보안 요구 사항을 갖고 있지만, Atlassian의 Trust Management Program은 그러한 보안 요구 사항을 고려할 뿐만 아니라 더 나아가 회사와 환경의 고유한 요구 사항까지도 충족합니다. 계획, 운영, 성능 평가 및 개선에 대한 ISO27001 접근 방식을 활용하면 프로그램 운영 방식을 지속적으로 평가하고, 시간이 지남에 따라 프로그램을 개선하여 새로운 위협 또는 새로운 요구 사항을 고려하거나 전반적인 운영 성과를 향상할 수 있습니다.
Atlassian은 국제 표준을 잘 구조화된 지침이라고 생각하지만, 각 컨트롤과 그러한 컨트롤이 Atlassian의 특정한 환경에 적합한지를 고려합니다. 또한 이러한 국제 표준을 Atlassian 환경에 전반적으로 적용할 수 있을지에 대해서도 비슷한 접근 방식을 취합니다.
정책 관리 프로그램
Trust Management System은 Atlassian의 PMP(정책 관리 프로그램)를 기반으로 합니다. Atlassian은 ISO27001 표준 및 CSA(Cloud Security Alliance) CCM(Cloud Controls Matrix)에 포함된 영역을 포괄할 수 있도록 정책을 구조화했으며, 정책 관리 프로그램에 대한 몇 가지 기본 원칙을 개발했습니다.
- 알리고 사용 가능해야 함 - Atlassian에서 의외는 없어야 합니다. 팀이 충족해야 하는 기준을 명확하게 정의합니다
- 보안 팀이 쉽게 준수할 수 있도록 지원 - Atlassian은 항상 팀을 도울 준비가 되어 있습니다
- 보안 목표를 개략적으로 설명 - Atlassian은 목표를 설정하고 명확하게 설명하기 위해 노력합니다.
- 규제 의무를 충족하기 위한 최선을 다하기 - Atlassian은 법을 어기지 않을 것입니다.
- 지속적인 반복과 개선에 집중함 - Atlassian은 환경과 프로그램의 위험을 지속적으로 평가하고 평가 결과를 정책에 반영합니다
- 예외 프로세스 제공 - 짧은 기간 동안 Atlassian 팀에서 어떤 방법으로도 정책을 충족할 수 없을 때를 위해서 입니다.
- 연례 검토 - 새로운 위협 및 위험을 발견할 때 정책 업데이트를 포함하여 매년 검토합니다.
기술 정책의 개요 및 발췌 내용을 읽어 보세요.
위험 관리 프로그램
Atlassian은 환경 및 제품에 대한 위험을 지속적으로 평가하기 위해 지속적인 위험 평가를 수행합니다. 많은 경우, 특히 제품의 경우 이러한 위험 평가는 기술 위험 평가나 코드 검토로 수행됩니다. 그러나 Atlassian은 각각의 전체 제품 스택 또는 조직의 일부를 평가하여 높은 수준의 비즈니스 위험을 찾아내기도 합니다. 일반적으로 Atlassian은 ISO27005 또는 ISO31010 위험 관리 방법론을 채택했으며 이 방법론을 특정 범위까지 적용합니다. Atlassian의 위험 관리 접근 방식은 다음을 포함합니다.
- 위험 평가 활동 수행 - 위험 평가를 수행하거나 위험 처리 의사 결정을 지원합니다. 여기에는 범위와 해당 범위의 자산 식별, 위험 파악, 영향 및 가능성 평가, 해당 위험에 대해 검토 및 보고 등이 포함됩니다.
- 보안 위험을 관리하기 위해 고안된 제품을 모니터링하고 보고 - 보안 위험을 관리하도록 설계된 프로그램 또는 제품을 지속적으로 모니터링 및 보고합니다.
- SMP 지원 - 지속적인 위험 평가 메커니즘을 통해 환경을 개선하고, 구현된 보안 컨트롤이 식별된 보안 위험을 효과적으로 관리할 수 있도록 합니다.
자세한 내용은 엔터프라이즈 위험 관리 프로그램을 참조하세요.
ATMF(Atlassian Trust Management Forum)
마지막으로, Atlassian은 Trust 프로그램의 각 핵심 요소의 담당자가 포함된 구조적 Trust Management Forum을 유지 관리하여 보안 컨트롤뿐만 아니라 안정성, 개인 정보 보호 및 규정 준수 컨트롤 및 이러한 각 핵심 요소 전반에서 위험을 관리하는 방법을 적용합니다. 또한 별도의 포럼 모임을 만들어서 특정 주제를 다루고 의견이 적절하게 반영되도록 하고 있습니다.
ATMF의 목적은 다음과 같습니다.
- Atlassian과 고객을 보안 위협으로부터 보호하는 데 필요한 조치와 우선 순위에 대해 합의
- 각 비즈니스 부서 내에서 공격을 받을 수 있는 결함 또는 취약성을 해결하기 위한 활동을 지원하고 추진
- 중요 보안 위험 및 컴플라이언스 프로그램에 관해 작업 그룹에 지침 및 지원 제공
- 조직 전체에서 보안 인식 문화 조성
Atlassian은 다음과 같은 포럼 모임을 유지합니다.
- ATMF: 관리 검토(매년 - 연간 예산 편성에 따라)
- ATMF: 리소스 검토(매년 - 연간 예산 편성에 따라)
- ATMF: 위험 검토(분기별)
- ATMF: 보안 상태 검토(월별)
- ATMF: 규정 준수 상태 검토(월별)
- ATMF: 관리 검토(주별 - 각 기능 팀에 관리 검토가 있음)
이러한 모임은 위협 프로필과 그러한 위협에 대한 대응을 지속적으로 검토할 수 있는 구조와 빈도로 진행됩니다.
보안 조직의 수만큼 보안 조직을 관리하는 여러 다양한 접근 방식이 있습니다. Atlassian은 유연하고 응답성이 뛰어날 뿐만 아니라 Atlassian과 고객에 대한 새로운 위협과 위험을 평가하고 해결하기에 충분한 구조를 갖춘 프로그램을 마련했습니다.