Atlassian 安全与技术政策
Atlassian 制定了信息安全管理计划 (ISMP),其中描述了我们维护信任和安全计划的原则和规则。我们通过不断评估运营风险并提高 Atlassian 环境的安全性、机密性、完整性和可用性来实现此目标。我们会定期审查和更新安全政策,对我们的环境执行应用和网络安全测试,并监控安全政策的合规性。
以下是 Atlassian 为内部和云环境制定的主要安全和技术政策的列表和简要描述。
安全政策、风险和治理
本政策规定了管理 Atlassian 安全的一般原则和准则。
基本原则包括:
- Atlassian 将根据业务需求和我们的 Atlassian 价值观,管理对公司信息和客户信息的访问
- Atlassian 将实施一系列控制措施,以根据本政策管理安全实施
- Atlassian 将定期审查风险,以及用于管理这些风险的控制措施的有效性
- Atlassian 将继续支持并承诺遵守适用的 PII 保护法规和云客户的合同条款
访问管理
本政策规定了访问管理的一般原则和准则。
基本原则包括:
- Atlassian 将遵守访问控制政策,其中概述了如何管理对系统的访问
- 用户帐户将用于管理访问权限
- 所有用户都有责任管理对其系统的访问权限
- 系统将被记录和监控,以防止可能出现的不当访问
- 远程访问将通过多重身份验证来启用
- 职责应酌情分开
资产管理
本政策规定了管理 Atlassian 的 IT 资产以及如何处理这些资产的一般原则和准则。
Atlassian 资产管理的基本原则包括:
- Atlassian 将维护资产库存;
- 资产管理数据库中保存的资产将有明确的负责人;
- 将确定、记录和实施资产的可接受用途;
- 如果终止雇佣关系,资产将返还给 Atlassian。
业务连续性与灾难恢复
本政策阐述了一般原则,它们确立了我们在 Atlassian 实现流程、系统和服务的弹性、可用性和连续性的方法。它定义了围绕业务连续性、灾难恢复和危机管理流程的要求。
基本原则包括:
- 任务关键型系统、流程或服务负责人必须确保适当的企业连续性和/或灾难恢复,使其符合灾难中断的承受能力。
- 连续性计划必须包括适当的“最后一刻”环境,且该环境(至少)需提供核心功能,以及发生故障时转入该环境的相关计划。还必须包括恢复业务的注意事项。
- 没有适当的连续性计划,就无法在生产中部署任何任务关键型系统、流程或功能
- 必须每季度对计划进行测试,并发现和解决问题。
- 最长恢复时间 (RTO) 从事件检测开始,一直持续到核心功能运行。服务被划分为定义最长 RTO 和 RPO 的多个层级。
沟通安全
本政策规定了管理我们的通信和网络安全的一般原则和准则。
基本原则包括:
- 应控制网络访问
- 提供网络访问权限,且所有用户都应熟悉“政策—电子系统和通信”
- 应根据重要程度对不同网络进行隔离
密码和加密
该政策规定了一般原则,确保 Atlassian 实施适当的加密,以确保关键数据的机密性和完整性。Atlassian 部署了加密机制,以降低存储敏感信息并通过网络(包括互联网等可公开访问的网络)传输敏感信息所涉及的风险。为了降低未经授权访问和/或修改公司敏感信息的风险,推动使用可靠、安全且经证明行之有效的加密技术是本标准的关键目标。
基本原则包括:
- 敏感数据得到适当加密;
- 所选加密的强度与信息分类相对应;
- 加密密钥将得到妥善管理;
- 仅使用经批准的加密算法和软件模块。
数据分类
该政策制定和定义了数据分类等级,包括关于处理每个分类评级中所含数据的描述、示例、要求和准则。分类评级基于法律要求、敏感度、价值以及数据对 Atlassian、Atlassian 的客户以及 Atlassian 的合作伙伴和供应商的重要性。
基本原则包括:
- 必须根据法律要求、价值和对 Atlassian 的重要性对数据进行分类
- 必须对数据进行标识和标记,并在数据流图中保持最新,以确保正确处理
- 必须安全地删除正在处置的介质
- 包含公司信息的介质必须受到保护,防止在运输过程中遭到未经授权的访问、滥用或损坏
移动和自带设备 (BYOD)
本政策规定了在 Atlassian 网络和系统中使用个人设备的一般原则和准则。
基本原则包括:
- 此自带设备政策(此处称为“自带设备政策”或“政策”)背后的理念是:在自带设备使用方面尽可能低调灵活,以保持 Atlassian 的自主权,同时确保我们有能力保护我们的客户和公司数据。
- 因此,重点将放在配置/状态检查和设备合规性监控上,采用最少限制原则合理地实现所需的安全目标,而不是强制实施限制。在确实需要应用限制的地方,将根据可以访问的数据有选择地执行此操作。
- 本政策涵盖我们当前和预计的未来需求。概述的某些功能可能不会立即实施。
运营
本政策规定了 Atlassian 技术运营实践的一般原则和准则。
基本原则包括:
- 应记录业务活动的程序
- 应定期进行备份并测试备份
- 变更应由多人管理和评估
- 应对团队速度进行评估和规划
- 应限制软件安装,限制不必要的软件
- 应配置日志并将其转发到集中式日志记录平台
- 任何操作事件都应根据我们的标准 HOT 流程进行管理
人员安全
本政策规定了管理 Atlassian 安全的一般原则和准则。
基本原则包括:
- 职位定义中将概述安全责任
- 所有员工和用户都将定期查看安全意识培训
- 所有员工和承包商都有责任报告安全事件或漏洞
- 员工解雇后,将在合理的时间范围内接触和归还资产
物理和环境安全
本政策规定了保护我们的办公楼、办公室和设备安全的一般原则和准则。
基本原则包括:
- 提供安全的工作区域
- 随时随地保护我们的 IT 设备
- 限制进入我们的办公楼和办公室
隐私
本政策规定了确保 Atlassian 实施有助于保护数据隐私的适当安全措施的原则。
Atlassian 认识到,虽然加密和其他隐私增强技术 (PET) 是一种强大的工具,但在技术选择和实施过程中需进行周密地进行考虑。Atlassian 采取基于风险的隐私保护方法,考虑数据处理的性质、范围、背景和目的,以及自然人权利和自由面临风险的可能性和严重性。
基本原则包括:
- 应根据基于风险的方法选择 PET
- PET 不得妨碍 Atlassian 满足有关隐私权的监管要求
- PET 不应损害处理数据的系统和服务的安全性
- PET 不应损害在发生违规事件时恢复私有数据访问和可用性的能力
- PET 应允许定期测试和评估有效性
安全事件管理
本政策规定了一般原则和准则,以确保 Atlassian 对任何实际或可疑的安全事件做出适当反应。Atlassian 有责任监控组织内部发生的可能会破坏信息或信息系统的机密性、完整性或可用性的事件。必须报告和评估所有可疑事件。该政策已经实施,以便 Atlassian 安全部门可以限制其时长以及对 Atlassian 及其客户造成的不利影响,并从事件中吸取教训。
基本原则包括:
- 预测安全事件并为事件响应做好准备
- 遏制、消除事件,并从事件中恢复
- 投资我们的员工、流程和技术,以确保我们有能力在安全事件发生时进行检测和分析
- 发生安全事件时,将保护个人数据和客户数据作为重中之重
- 定期执行安全事件响应流程
- 汲取教训并改进安全事件管理功能
- 向 Atlassian 领导层传达重大安全事件
供应商管理
该政策规定了选择、接触、监控供应商以及与供应商解除关系的一般原则和准则。
基本原则包括:
- Atlassian 将有针对性地管理我们的供应商选择流程
- 所有供应商都必须按照 Atlassian 供应商风险评估和尽职调查流程进行入职和管理
- 请求供应商关系的企业负责人有负责使用标准 Atlassian 合同
- Atlassian 将对该关系进行监督,以确保其符合 Atlassian 标准
- 如果不再需要该服务,Atlassian 保留终止与任何供应商的合同的权利
系统采集、开发和维护
该政策规定了内部以及面向客户的应用开发的一般原则和准则,并对如何管理预生产环境以及将开源软件纳入我们的任意产品和服务设置了限制。
基本原则包括:
- 安全要求将被纳入所有环境或应用的开发或购买;
- 产品开发将遵循我们的内部质量保证流程,其中包括整合安全检查;
- 根据数据安全信息生命周期管理政策而受到限制的生产数据在用于预生产环境中时将进行匿名化或屏蔽;以及
- 任何开源框架或库的集成都将遵循我们的内部标准—“在 Atlassian 产品中使用第三方代码”
威胁和漏洞管理
本政策规定了管理我们环境和产品中的安全威胁和漏洞的一般原则和准则。
基本原则包括:
- 管理我们产品和服务中的安全漏洞,包括发布更新、补丁或公告
- 管理整个环境(包括内部和托管环境)中的安全威胁和漏洞
- 管理环境中恶意软件的威胁
审计与合规管理
本政策规定了 Atlassian 管理和审计控制合规性的一般原则。
基本原则包括:
- 我们实施控制措施来妥善管理风险,并确保遵守相关政策、法规和外部行业标准
- 我们使用审计来验证我们的控制措施的适当性和运行有效性
- 我们会酌情协调和交付审核,以实现对我们控制环境的高度自信,并获得内部或外部认证
- Atlassian 寻求对控制措施进行外部验证
- Atlassian 维护有一个其所有相关控制目标、控制活动和测试的综合视图