Close

Onze Atlassian-beleidsregels voor beveiliging en technologie

Atlassian heeft een informatiebeveiligingsbeheerprogramma (ISMP) opgezet waarin de principes en regels worden beschreven voor de manier waarop we vertrouwens- en beveiligingsprogramma's onderhouden. We bereiken dit door voortdurend de risico's voor onze activiteiten te evalueren en de veiligheid, vertrouwelijkheid, integriteit en beschikbaarheid van onze Atlassian-omgeving te verbeteren. We controleren het beveiligingsbeleid regelmatig en werken het bij, voeren toepassings- en netwerkbeveiligingstests uit voor onze omgeving en controleren de naleving van het beveiligingsbeleid.

Hieronder vind je een lijst en een korte beschrijving van ons belangrijkste beveiligings- en technologiebeleid dat Atlassian heeft ingevoerd voor onze interne omgevingen en cloudomgevingen.

Beveiligingsbeleid, risico en toezicht

Dit beleid bevat de algemene beginselen en richtlijnen voor het beheren van Security @ Atlassian.

De basisprincipes (tl;dr) zijn onder meer:

  • Atlassian beheert de toegang tot bedrijfsinformatie en klantinformatie op basis van zakelijke behoeften en in overeenstemming met onze Atlassian-waarden
  • Atlassian zal een reeks controles uitvoeren om de implementatie van beveiliging te beheren in overeenstemming met dit beleid
  • Atlassian zal periodiek de risico's en de effectiviteit van controles beoordelen om deze risico's te kunnen beheersen
  • Atlassian zal ondersteuning blijven bieden voor en toewijding toneen om te voldoen aan de toepasselijke wetgeving inzake de bescherming van persoonsgegevens en de contractuele voorwaarden van cloudklanten

Toegangsbeheer

Dit beleid bevat de algemene principes en richtlijnen voor toegangsbeheer.

De basisprincipes (tl;dr) zijn onder meer:

  • Atlassian zal een toegangscontrolebeleid voeren waarin wordt uiteengezet hoe de toegang tot systemen moet worden beheerd
  • Er worden gebruikersaccounts gebruikt om toegang te beheren
  • Alle gebruikers zijn verantwoordelijk voor het beheren van de toegang tot hun systemen
  • Systemen worden geregistreerd en gecontroleerd op mogelijke onbevoegde toegang
  • Toegang op afstand wordt mogelijk gemaakt via meervoudige verificatie
  • De taken moeten waar nodig worden gescheiden

Activabeheer

Dit beleid beschrijft de algemene principes en richtlijnen voor het beheer van de IT-systemen van Atlassian en hoe met deze moet worden omgegaan.

De basisprincipes (tl;dr) van assetbeheer bij Atlassian zijn onder meer:

  • Atlassian zal een inventaris van assets bijhouden;
  • Van middelen die in een assetmanagementdatabase worden bijgehouden, zijn de eigenaren vastgesteld;
  • Aanvaardbaar gebruik van middelen zal in kaart worden gebracht en worden gedocumenteerd en geïmplementeerd;
  • Middelen worden aan Atlassian teruggegeven als het dienstverband wordt beëindigd.

Bedrijfscontinuïteit en disaster recovery

Dit beleid beschrijft de algemene principes van onze methode ten aanzien van veerkracht, beschikbaarheid en continuïteit van processen, systemen en services bij Atlassian. Het definieert vereisten rond de processen voor bedrijfscontinuïteit, disaster recovery en crisisbeheersing.

De basisprincipes (tl;dr) zijn onder meer:

  • Eigenaren van bedrijfskritieke systemen, processen of services moeten zorgen voor goede bedrijfscontinuïteit en/of disaster recovery in overeenstemming met de tolerantie voor verstoring in geval van een ramp;
  • Continuïteitsplannen moeten de juiste "last stand"-omgeving bevatten, met (minimaal) kernfunctionaliteit en een plan voor het geval die omgeving het laat afweten. Er moet ook rekening worden gehouden met overwegingen voor hervatting van de normale bedrijfsvoering;
  • Er kan geen bedrijfskritisch systeem of proces of bedrijfskritische functie in de productie worden ingezet zonder het juiste continuïteitsplan
  • Plannen moeten elk kwartaal worden getest en problemen moeten in kaart worden gebracht en aangepakt;
  • De maximale hersteltijd (RTO) begint op het moment waarop een gebeurtenis wordt gedetecteerd en eindigt op het moment waarop de kernfunctionaliteit operationeel is. Services zijn gegroepeerd in niveaus die maximale RTO en RPO bepalen.

Communicatiebeveiliging

Dit beleid bevat de algemene principes en richtlijnen voor het beheer van de beveiliging van onze communicatie en onze netwerken.

De basisprincipes (tl;dr) zijn onder meer:

  • De toegang tot het netwerk moet worden gecontroleerd
  • Er wordt netwerktoegang geboden. Alle gebruikers moeten bekend zijn met het Beleid - Elektronisch systeem en communicatie
  • Netwerken moeten worden gescheiden op basis van hoe belangrijk ze zijn

Crypto en versleuteling

Dit beleid zet de algemene principes uiteen om ervoor te zorgen dat Atlassian passende versleuteling en cryptografie implementeert om de vertrouwelijkheid en integriteit van kritieke gegevens te waarborgen. Atlassian maakt gebruik van cryptografische mechanismen om de risico's te beperken die gepaard gaan met het opslaan van gevoelige informatie en het verzenden ervan via netwerken, inclusief netwerken die openbaar toegankelijk zijn (zoals internet). Het verlagen van de drempel voor het gebruik van betrouwbare, veilige en bewezen versleutelingstechnologieën is een belangrijke doelstelling van deze norm om het risico van ongeoorloofde toegang tot en/of wijziging van gevoelige bedrijfsinformatie te beperken.

De basisprincipes (tl;dr) zijn onder meer:

  • Gevoelige gegevens worden op de juiste manier gecodeerd;
  • De sterkte van geselecteerde codering komt overeen met informatieclassificatie;
  • Cryptografische sleutels worden veilig beheerd;
  • Er worden alleen goedgekeurde cryptografische algoritmen en softwaremodules gebruikt.

Gegevensclassificatie

Dit beleid bepaalt en definieert beoordelingen voor gegevensclassificaties en omvat beschrijvingen, voorbeelden, vereisten en richtlijnen met betrekking tot de behandeling van gegevens die in elke gegevensclassificatie zijn opgenomen. De gegevensclassificaties zijn gebaseerd op wettelijke vereisten, gevoeligheid, waarde en kritiek van de gegevens voor Atlassian, de klanten van Atlassian en de partners en leveranciers van Atlassian.

De basisprincipes (tl;dr) zijn onder meer:

  • Gegevens moeten worden geclassificeerd in termen van wettelijke vereisten, waarde en belang voor Atlassian
  • Gegevens moeten worden geïdentificeerd en gelabeld en actueel worden gehouden in een gegevensstroomkaart om een passende verwerking te garanderen
  • Media die worden verwijderd, moeten veilig worden verwijderd
  • Media die bedrijfsinformatie bevatten moeten worden beschermd tegen ongeoorloofde toegang, misbruik of corruptie tijdens overdracht

Mobiel en "Bring Your Own Device" (BYOD)

Dit beleid bevat de algemene principes en richtlijnen voor het gebruik van persoonlijke apparaten binnen Atlassian-netwerken en -systemen.

De basisprincipes (tl;dr) zijn onder meer:

  • De filosofie achter dit "Bring Your Own Device"-beleid (hier aangeduid als het "BYOD-beleid" of het Beleid) is om zo laagdrempelig en flexibel mogelijk te zijn met betrekking tot BYOD-gebruik, zodat de autonomie van Atlassians wordt behouden en tegelijkertijd wordt gewaarborgd dat we onze klant- en bedrijfsgegevens kunnen beschermen.
  • Als zodanig zal de nadruk liggen op controle van de configuratie/postuur en monitoring van de conformiteit van apparaten, met de minst beperkende principes die redelijkerwijs de vereiste beveiligingsdoelstellingen bereiken, in plaats van op handhaving van beperkingen. Waar beperkingen moeten worden toegepast, zal dit selectief gebeuren, afhankelijk van de gegevens waartoe toegang kan worden verkregen.
  • Dit beleid gaat over zowel onze huidige als onze verwachte toekomstige behoeften. Sommige van de beschreven mogelijkheden worden mogelijk niet onmiddellijk geïmplementeerd.

Operations

Dit beleid bevat de algemene principes en richtlijnen voor operationele technologische handelswijzen bij Atlassian.

De basisprincipes (tl;dr) zijn onder meer:

  • procedures moeten worden gedocumenteerd voor operationele activiteiten
  • er moeten regelmatig back-ups worden gemaakt, die ook moeten worden getest
  • wijzigingen moeten door meerdere personen worden beheerd en geëvalueerd
  • de capaciteit moet worden geëvalueerd en voorbereid
  • de installatie van software moet beperkt zijn en onnodige software moet worden beperkt
  • logs moeten worden geconfigureerd en doorgestuurd naar het gecentraliseerde logplatform
  • eventuele operationele incidenten moeten worden beheerd volgens ons standaard HOT-proces

Personeelsbeveiliging

Dit beleid bevat de algemene principes en richtlijnen voor het beheren van persoonlijke veiligheid bij Atlassian.

De basisprincipes (tl;dr) zijn onder meer:

  • Veiligheidsverantwoordelijkheden zullen worden beschreven in taakomschrijvingen
  • Alle werknemers en gebruikers volgen regelmatig veiligheidstrainingen
  • Alle medewerkers en contractanten zijn verplicht om beveiligingsincidenten of zwakke punten te melden
  • Na beëindiging van een dienstverband zal de medewerker de toegangsmiddelen en bedrijfseigendommen binnen een redelijk tijdsbestek teruggeven

Fysieke en omgevingsbeveiliging

Dit beleid bevat de algemene principes en richtlijnen voor het beveiligen van onze gebouwen, kantoren en apparatuur.

De basisprincipes (tl;dr) zijn onder meer:

  • Voorzie in veilige werkplekken
  • Beveilig onze IT-apparatuur waar deze zich ook bevindt
  • Beperk de toegang tot onze gebouwen en kantoren

Privacy

Dit beleid bevat principes om ervoor te zorgen dat Atlassian passende beveiligingsmaatregelen implementeert die helpen om de privacy van gegevens te beschermen.

Atlassian erkent dat encryptie en andere technologieën om de privacy te verbeteren ('Privacy Enhancing Technologies'; PET's) krachtige tools zijn. Toch is er zorgvuldige afweging nodig bij de selectie en implementatie van technologie. Atlassian hanteert een risicogebaseerde benadering voor privacy. Daarbij wordt rekening gehouden met de aard, omvang, context en doeleinden van gegevensverwerking en met de waarschijnlijkheid en ernst van risico's voor de rechten en vrijheden van natuurlijke personen.

De basisprincipes (tl;dr) zijn onder meer:

  • PET's moeten worden gekozen op basis van een risicogebaseerde aanpak
  • PET's mogen Atlassian niet beletten om te voldoen aan de wettelijke vereisten met betrekking tot privacyrechten
  • PET's mogen geen afbreuk doen aan de beveiliging van systemen en diensten die gegevens verwerken
  • PET's mogen geen afbreuk doen aan de mogelijkheid om toegang tot en beschikbaarheid van privégegevens te herstellen in geval van een inbreuk
  • PET's moeten het mogelijk maken om de effectiviteit regelmatig te testen, te beoordelen en te evalueren

Beveiligingsincidentmanagement

Dit beleid bevat de algemene principes en richtlijnen om ervoor te zorgen dat Atlassian adequaat reageert op daadwerkelijke of vermoedelijke beveiligingsincidenten. Atlassian heeft de verantwoordelijkheid om incidenten in de gaten te houden die zich binnen de organisatie voordoen en die mogelijk inbreuk maken op de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of informatiesystemen. Alle vermoedelijke incidenten moeten worden gemeld en geëvalueerd. Het beleid is zo geïmplementeerd dat Atlassian Security de duur en nadelige gevolgen voor Atlassian en zijn klanten kan beperken en kan leren van incidenten.

De basisprincipes (tl;dr) zijn onder meer:

  • Anticipeer op beveiligingsincidenten en bereid je voor op incidentrespons
  • Werk aan het inperken, uitroeien en herstellen van incidenten
  • Investeer in onze mensen, processen en technologieën om ervoor te zorgen dat we de mogelijkheid hebben om een beveiligingsincident te detecteren en te analyseren wanneer het zich voordoet
  • Geef de bescherming van persoonsgegevens en klantgegevens de hoogste prioriteit tijdens beveiligingsincidenten
  • Oefen regelmatig het responsproces voor beveiligingsincidenten
  • Leer van en verbeter de functie voor het beheersen van beveiligingsincidenten
  • Communiceer kritieke beveiligingsincidenten naar de Atlassian Leadership Group

Leveranciersmanagement

Dit beleid bevat de algemene principes en richtlijnen voor het selecteren, inschakelen, monitoren en afscheid nemen van leveranciers.

De basisprincipes zijn onder meer:

  • Atlassian is doelgericht in het beheren van ons selectieproces voor leveranciers
  • Alle leveranciers moeten worden ingewerkt en aangestuurd in overeenstemming met de risicobeoordelings- en due diligence-processen voor leveranciers van Atlassian
  • De bedrijfseigenaar die de leveranciersrelatie aanvraagt, is verantwoordelijk voor het gebruik van standaardcontracten van Atlassian
  • Atlassian zal toezicht houden op de relatie om ervoor te zorgen dat deze aan onze normen voldoet
  • Atlassian behoudt zich het recht voor om het contract met een leverancier te beëindigen wanneer de service niet langer vereist is

Aanschaf, ontwikkeling en onderhoud van systemen

Dit beleid bevat de algemene principes en richtlijnen voor de ontwikkeling van toepassingen, zowel intern als klantgericht, en beschrijft beperkingen voor het beheren van pre-productieomgevingen en het opnemen van opensource-software in al onze producten en services.

De basisprincipes (tl;dr) zijn onder meer:

  • Er zullen beveiligingseisen worden opgenomen en verwerkt in elke omgeving, applicatieontwikkeling of verwerving;
  • Productontwikkeling volgt ons interne kwaliteitsborgingsproces, dat integratie van beveiligingscontroles omvat;
  • Productiegegevens die volgens het beleid voor het beheren van de levenscyclus van informatie over gegevensbeveiliging zijn beperkt, worden geanonimiseerd of gemaskeerd wanneer ze worden gebruikt in pre-productieomgevingen; en
  • Integratie van opensource-frameworks of -bibliotheken gebeurt volgens onze interne standaard ("Code van derden gebruiken in een Atlassian-product")

Bedreigings- en kwetsbaarheidsbeheer

Dit beleid bevat de algemene principes en richtlijnen voor het beheer van beveiligingsbedreigingen en kwetsbaarheden in onze omgeving en in onze producten.

De basisprincipes (tl;dr) zijn onder meer:

  • Beheer beveiligingsproblemen in onze producten en services, onder meer door het uitbrengen van updates, patches of adviezen
  • Beheer beveiligingsbedreigingen en kwetsbaarheden in onze hele omgeving, zowel in interne als gehoste omgevingen
  • Beheer de dreiging van malware in de omgeving

Beheer van audits en compliance

Dit beleid beschrijft de algemene principes voor het beheren en controleren van de naleving van controles bij Atlassian.

De basisprincipes (tl;dr) zijn onder meer:

  • We implementeren controles om risico's goed te beheersen en te zorgen voor compliance met relevant beleid, regelgeving en externe industrienormen
  • We gebruiken audits om de geschiktheid en operationele effectiviteit van onze controles te verifiëren
  • Waar nodig worden audits gecoördineerd en uitgevoerd om een hoog niveau van vertrouwen in onze controleomgeving te bereiken en om interne of externe certificering te behalen
  • Atlassian streeft naar externe validatie van controles
  • Atlassian behoudt een geconsolideerd beeld van al zijn relevante controledoelstellingen, controleactiviteiten en tests