减少风险和漏洞，定期进行技术和非技术评估以应对环境或运营变化

我们每年都会进行差距评估，更新我们的安全风险分析，并从独立的认证机构获得 HIPAA 认证。

我们进行各类风险评估，包括识别、评估、分配、验收、补救和其他相关管理活动，以确保我们在约定的风险偏好和相关的法律和监管要求范围内运营。我们不断评估控制和缓解策略的设计，包括针对控制环境提出更改建议。我们在治理、风险与合规 (GRC) 工具中维护着一个风险和控制矩阵。

背景调查和适当的解雇程序

Atlassian 全球新员工在接受工作邀请后，都需要完成背景调查。系统会自动触发一套全面的背景调查，并对所有新员工以及独立承包商进行调查。

有权访问机密信息的员工和承包商受其雇佣合同和保密契约的约束，以确保信息安全责任和义务在终止、雇佣关系变更以及合同关系终止后仍然有效。

对员工的制裁

入职期间，每位新员工都必须了解我们公司的商业行为准则和道德政策，并完成安全意识培训。对不遵守既定信息安全政策和程序的个人实行正式制裁。

使用 ePHI 的员工的访问授权

Active Directory 角色成员资格是根据用户的部门和团队自动分配的，并且仅限于需要此类访问权限的用户。如果用户转移到另一个团队，则会生成警报，在适当情况下触发跟进并删除原有访问权限。指定系统或服务负责人为批准人，以在各种系统的 Active Directory 访问级别内授予或修改用户访问权限。

对生产环境的特权访问仅限于获得授权的相关用户。

通过逻辑访问措施，只有授权用户才能访问我们的内部网络和工具。每个用户帐户必须：

• 有一个活跃的 Active Directory 帐户，并且
• 是相应 Active Directory 群组的成员。

适当授予访问权限（以最小特权为基础）

在预先确定的非活动时间后终止会话

根据我们的标准操作程序，桌面和移动应用具有最长用户会话超时时间（桌面会话为 8 到 24 小时，移动会话为 30 到 90 天）。

MacOS 和 Windows 端点都强制使用屏幕保护程序，需要输入密码才能解锁。

审计日志记录/检测（包括监控登录尝试）

我们保留并保护事件日志，以防丢失或被篡改。我们会定期审查对日志的访问权限。我们已在 AWS 环境中启用日志记录，并将这些日志定向到 Splunk。我们已根据已知和之前的安全事件和事件，为 AWS 以及符合 HIPAA 资质的 Cloud 事件部署自动警报。

我们维护有一个审核流程，以调整和优化我们的警报，并消除误报。我们有专门的自动化工程师来简化警报开发和分类流程。

识别可疑或已知的安全事件并做出响应。缓解并记录事件及其结果

我们已实施全组织事件管理流程，由安全团队负责该计划，其中包括：

• 管理事件时，将所有操作记录到某一事件工作单下的事件管理系统中。记录必须包括：
  • 事件开始时间
  • 事件描述
  • 严重性
  • 受影响的服务
  • 影响
  • 受影响的客户数量
  • 根本原因
  • 采取的措施
  • 受影响的 SLO（受影响的功能）
• 在可能的情况下，将问题与根本原因相关联并/或将它们分组为父项事件
• 在发生重大和关键事件后完成事件后审查 (PIR)

确定制定和实施 HIPAA 安全合规计划的负责人

我们有专门的 HIPAA 安全官。我们的安全官员了解自己的责任、HIPAA 安全规则以及这些要求如何适用于我们的产品。

确定制定和实施 HIPAA 隐私合规计划的负责人

我们有专门的 HIPAA 隐私官。我们的隐私官了解自己的责任、HIPAA 隐私规则以及这些要求如何适用于我们的产品。

用户意识培训

作为 Atlassian 安全意识计划的一部分，所有员工都必须每年完成培训。此外，我们还全年展开与安全相关的意识练习和临时沟通。

使关键业务流程得以延续的程序

我们已定义、审查和测试灾难恢复执行程序。该策略以较高层次描述了目的、目标、范围、恢复时间目标、恢复点目标和角色/职责。我们每季度会对正式的业务连续性和灾难恢复计划进行一次测试。为了支持应急计划的各组成部分，我们每年会评估服务和系统的关键程度。

我们根据标准操作程序执行并测试与 Atlassian 资产相关的应用、系统和配置的备份和恢复。

《业务关联协议》包含令人满意的保证，即您的数据将受到 Atlassian 和第三方供应商的适当保护

我们保证，我们将合理保护您的信息，并且仅在我们代表您创建、接收、维护或传输 PHI 时在允许或要求的情况下使用或披露您的信息。这些保证详见与您签订的《业务关联协议》。我们还制定了《实施指南》，向客户说明他们应如何使用和配置我们的服务，以确保他们也能妥善保护信息。

此外，我们还会要求相关第三方供应商与我们签署《业务关联协议》，以此来保护您的 PHI。

保护物理设施和设备免遭篡改或盗窃

我们所有员工和承包商入职时都会获得安全徽章，以便获取设施的物理访问权限。在我们的人力资源信息系统中终止和关闭个人资料后，我们的系统会自动撤消物理访问权限。

我们会向本地站点的访客颁发临时徽章。访客必须在离开该建筑物时归还访客通行证。如果没有归还，我们会自动终止这些徽章的权限。

为所有接入 ePHI 的工作站实施物理防护

我们已经实施了零信任网络，仅允许从注册到管理平台的已知设备进行访问。我们已将应用置于安全层中，具体取决于它们存储的数据和连接的系统。该分层网络包括：高层、低层和开放层。对设备类型及其安全状况进行评估，以确定其可以访问哪些应用。

我们在所有 macOS 和 Windows 笔记本电脑上管理磁盘加密、密码锁定和安全补丁。

我们已在所有 Atlassian 发行的 macOS 和 Windows 计算机上将 USB 大容量存储设备配置为只读。

处理 ePHI 及其存储硬件的最终处置程序

在重新部署或处置退回的笔记本电脑之前，我们会擦除其中的数据。此外，我们还配备了笔记本电脑丢失/被盗程序，以确保数据不会失窃。

自文档创建之日起或最后生效之日起，将文档保留 6 年

我们的所有政策至少每年都会由指定的政策负责人进行审核，并无限期保留。如需查看我们的政策快照，请访问我们的 Atlassian 安全和技术政策。

请点击此处查看我们的隐私政策。

确保 ePHI 不会遭受不当修改的安全措施

我们对所有符合 HIPAA 资质的 Cloud 产品静态数据进行加密。此外，我们会对通过公共网络传输的数据进行加密，并确保数据到达预定目的地。

外部用户通过 SSL 协议使用加密流量连接到符合 HIPAA 资格的 Cloud 产品。

在认为合适的情况下对 ePHI 进行加密的机制