Atlassian 보안 및 기술 정책

액세스 관리

이 정책은 액세스 관리에 대한 일반 원칙 및 가이드라인을 설명합니다.

기본 원칙은 간략하게 다음과 같습니다.

• Atlassian은 시스템에 대한 액세스를 관리하는 방법이 명시된 액세스 제어 정책을 유지합니다
• 사용자 계정을 활용하여 액세스를 관리합니다
• 모든 사용자는 사용 중인 시스템에 대한 액세스 권한을 관리할 책임이 있습니다.
• 시스템에서 부적절한 액세스의 가능성을 로깅 및 모니터링합니다.
• 원격 액세스는 다단계 인증을 통해 사용 설정합니다
• 직무는 적절한 경우 분리합니다

자산 관리

이 정책은 Atlassian의 IT 자산 관리 및 IT 자산을 다루는 방법에 관한 일반 원칙 및 가이드라인을 설명합니다.

Atlassian의 자산 관리의 기본 원칙은 간략하게 다음과 같습니다.

• Atlassian은 자산 인벤토리를 유지 관리합니다.
• 자산 관리 데이터베이스에서 유지 관리하는 자산에는 식별된 소유자가 있습니다.
• 자산의 수락 가능한 사용을 식별하고 문서화하여 구현합니다.
• 채용이 종료되면 자산을 Atlassian으로 반환합니다.

비즈니스 연속성 및 재해 복구

이 정책은 Atlassian에서 프로세스, 시스템, 서비스의 복원력, 가용성, 연속성에 대한 접근 방식을 확립하는 일반 원칙을 설명합니다. 또한 비즈니스 연속성, 재해 복구 및 위기 관리 프로세스에 대한 요구 사항을 정의합니다.

기본 원칙은 간랴하게 다음과 같습니다.

• 미션 크리티컬 시스템, 프로세스 또는 서비스 소유자는 재해 발생 시 중단에 대한 허용 범위에 따른 적절한 비즈니스 연속성 및/또는 재해 복구를 보장해야 합니다.
• 연속성 계획은 핵심 기능(최소)을 제공하는 적절한 "최후의 보루" 환경과 해당 환경에 대한 장애 계획을 포함해야 합니다. 일상적인 비즈니스 재개에 대한 고려 사항도 포함해야 합니다.
• 적절한 연속성 계획 없이는 미션 크리티컬 시스템, 프로세스 또는 기능을 프로덕션에 배포할 수 없습니다
• 계획을 분기별로 테스트해야 하며 이슈를 식별하고 해결해야 합니다.
• 최대 복구 시간(RTO)은 이벤트 감지부터 시작하여 핵심 기능이 작동할 때까지입니다. 서비스는 최대 RTO 및 RPO를 정의하는 티어로 그룹화됩니다.

통신 보안

이 정책은 Atlassian의 통신 및 네트워크의 보안을 관리하는 방법에 관한 일반 원칙 및 가이드라인을 설명합니다.

기본 원칙은 간략하게 다음과 같습니다.

• 네트워크 액세스를 제어해야 합니다
• 네트워크 액세스가 제공되며 모든 사용자는 전자 시스템 및 통신 정책을 숙지해야 합니다
• 네트워크는 중요도에 따라 분리해야 합니다

암호 기술 및 암호화

이 정책은 Atlassian이 중요한 데이터의 기밀성과 무결성을 위해 적절한 암호화를 구현하는 방법에 관한 일반 원칙을 설명합니다.Atlassian은 암호화 메커니즘을 배포하여 공개적으로 액세스(예: 인터넷) 가능한 정보를 포함하여 민감한 정보를 저장하고 네트워크를 통해 전송하는 것과 관련한 위험을 완화합니다.이 표준의 핵심 목표는 민감한 회사 정보에 대한 무단 액세스 및/또는 수정 위험을 완화하기 위해 신뢰할 수 있고 안전하며 효과가 입증된 암호화 기술의 사용을 촉진하는 것입니다.

기본 원칙은 간략하게 다음과 같습니다.

• 민감한 데이터는 적절하게 암호화합니다.
• 선택한 암호화의 강도는 정보 분류에 상응합니다.
• 암호화 키는 안전하게 관리합니다.
• 승인된 암호화 알고리즘과 소프트웨어 모듈만 사용합니다.

데이터 분류

이 정책은 데이터 분류 등급을 설정 및 정의하며, 각 분류 등급에 포함된 데이터 처리 방법에 관한 설명, 예, 요구 사항 및 가이드라인을 포함합니다. 분류 등급은 Atlassian, Atlassian 고객 및 Atlassian 파트너 및 공급업체 관련 데이터의 법적 요구 사항, 민감도, 가치 및 중요도를 기반으로 합니다.

기본 원칙은 간략하게 다음과 같습니다.

• 데이터는 Atlassian에 대한 법적 요구 사항, 가치 및 중요도를 고려하여 분류해야 합니다
• 적절한 처리를 위해 데이터 흐름 맵에서 데이터를 식별하고 레이블을 지정하여 최신 상태로 유지해야 합니다
• 폐기할 미디어는 안전하게 삭제해야 합니다
• 회사 정보가 포함된 미디어는 전송 중 무단 액세스, 오용 또는 손상을 방지해야 합니다

모바일 및 BYOD(Bring Your Own Device)

이 정책은 Atlassian 네트워크 및 시스템에서의 개인 기기 사용에 관한 일반 원칙 및 가이드라인을 설명합니다.

기본 원칙은 간략하게 다음과 같습니다.

• 이 Bring Your Own Device 정책(여기서는 BYOD 정책 또는 정책이라고 함)의 철학은 BYOD 사용과 관련하여 최대한 간섭하지 않고 유연성을 제공하여 Atlassian의 자율성을 유지하는 동시에 고객 및 기업 데이터를 보호하는 역량을 갖추는 것입니다.
• 따라서 제한을 적용하기보다는 필요한 보안 목표를 합리적으로 달성하는 가장 제한적인 원칙을 토대로, 장치의 구성/포스처 검사 및 컴플라이언스 모니터링에 중점을 둘 것입니다. 제한을 적용해야 하는 경우 액세스할 수 있는 데이터에 따라 선택적으로 제한이 이루어집니다.
• 이 정책은 현재 및 예상되는 미래 요구 사항을 모두 다룹니다. 설명한 기능 중 일부는 즉시 구현하지 않을 수 있습니다.

운영팀

이 정책은 Atlassian의 기술 운영 관행에 관한 일반 원칙 및 가이드라인을 설명합니다.

기본 원칙은 간략하게 다음과 같습니다.

• 운영 활동에 대한 절차를 문서화합니다
• 정기적으로 백업을 수행하고 백업을 테스트합니다
• 변경 사항은 여러 명이 관리하고 평가합니다
• 작업 수용량을 평가하고 계획합니다
• 소프트웨어 설치와 불필요한 소프트웨어를 제한합니다
• 로그를 구성하고 중앙 집중식 로깅 플랫폼으로 전달합니다
• 모든 운영 인시던트는 Atlassian의 표준 HOT 프로세스에 따라 관리합니다

인적 보안

이 정책은 Atlassian의 개인 보안에 관한 일반 원칙 및 가이드라인을 설명합니다.

기본 원칙은 간략하게 다음과 같습니다.

• 보안 책임은 직무 정의에 요약되어 있습니다
• 모든 직원과 사용자는 정기적으로 보안 인식 교육을 시청합니다
• 모든 직원 및 계약업체는 보안 인시던트 또는 취약점을 보고할 의무가 있습니다
• 직원의 채용이 종료되면 합리적인 시간 이내에 자산에 대한 액세스 및 반환이 이루어집니다

물리적 및 환경적 보안

이 정책은 건물, 사무실 및 장비 보안에 관한 일반 원칙 및 가이드라인을 설명합니다.

기본 원칙은 간략하게 다음과 같습니다.

• 안전한 작업 영역 제공
• 어디서나 IT 장비 보호
• 건물 및 사무실에 대한 액세스를 제한합니다

개인 정보 보호

이 정책은 Atlassian이 데이터 개인정보 보호에 도움이 되는 적절한 보안 조치를 구현하는 방법에 관한 원칙을 설명합니다.

Atlassian은 암호화 및 기타 개인정보 보호 강화 기술(PET)이 강력한 도구지만 기술 선택 및 구현 중에 신중한 고려가 필요하다는 것을 잘 알고 있습니다. Atlassian은 데이터 처리의 성격, 범위, 컨텍스트 및 목적뿐만 아니라 자연인의 권리와 자유에 대한 위험의 가능성 및 심각도를 고려하여 개인정보 보호에 대한 위험 기반 접근 방식을 취합니다.

기본 원칙은 간략하게 다음과 같습니다.

• PET는 위험 기반 접근 방식에 따라 선택합니다
• PET는 Atlassian이 개인정보 보호 권리에 관한 규제 요구 사항을 충족하지 못하도록 방해해서는 안 됩니다
• PET는 데이터를 처리하는 시스템 및 서비스의 보안을 저해하지 않아야 합니다
• PET는 보안 침해 발생 시 개인 데이터 액세스 및 가용성을 복원하는 기능을 저해하지 않아야 합니다
• PET는 정기적인 검사, 평가 및 효과 평가를 허용해야 합니다

보안 인시던트 관리

이 정책은 Atlassian이 실제 또는 의심되는 보안 인시던트에 적절하게 대응하는 방법에 관한 일반 원칙 및 가이드라인을 설명합니다. Atlassian은 정보 또는 정보 시스템의 기밀성, 무결성 또는 가용성을 침해할 수 있는 조직 내에서 발생하는 인시던트를 모니터링할 책임이 있습니다. 의심스러운 모든 인시던트는 보고하고 평가해야 합니다. 이 정책은 Atlassian 보안 팀이 인시던트의 기간과 Atlassian과 고객에 미치는 부정적 영향을 제한하고 인시던트에서 배울 수 있도록 마련되었습니다.

기본 원칙은 간략하게 다음과 같습니다.

• 보안 인시던트를 예측하고 인시던트 대응을 준비합니다
• 인시던트를 억제, 근절 및 복구합니다
• 인력, 프로세스 및 기술에 투자하여 보안 인시던트 발생 시 이를 감지하고 분석할 수 있는 역량을 확보합니다
• 보안 인시던트 발생 시 개인 데이터 및 고객 데이터 보호를 최우선으로 합니다
• 보안 인시던트 대응 프로세스를 정기적으로 실행합니다
• 보안 인시던트 관리 기능을 통해 학습하고 개선합니다
• Atlassian 리더십 그룹에 중요한 보안 인시던트를 알립니다

공급업체 관리

이 정책은 공급업체를 선정, 참여, 모니터링 및 오프보딩하는 방법에 관한 일반 원칙 및 가이드라인을 설명합니다.

기본 원칙은 다음과 같습니다.

• Atlassian의 공급업체 선정 프로세스를 목적에 맞게 관리합니다
• 모든 공급업체는 Atlassian 공급업체 위험 평가 및 실사 프로세스에 따라 온보딩하고 관리해야 합니다
• 공급업체 관계를 요청하는 비즈니스 소유자는 표준 Atlassian 계약을 활용할 책임이 있습니다
• Atlassian은 공급업체 관계가 Atlassian 표준을 충족할 수 있도록 감독합니다
• Atlassian은 서비스가 더 이상 필요하지 않은 경우 모든 공급업체와의 계약을 종료할 권리를 보유합니다

시스템 인수, 개발 및 유지 관리

이 정책은 내부 및 고객 대면 애플리케이션 개발에 관한 일반 원칙 및 가이드라인과 사전 프로덕션 환경을 관리하고 오픈 소스 소프트웨어를 Atlassian의 제품 및 서비스로 통합하는 방법에 대한 제한 사항을 설명합니다.

기본 원칙은 간략하게 다음과 같습니다.

• 보안 요구 사항은 모든 환경이나 애플리케이션 개발 또는 인수에 포함되고 통합됩니다.
• 제품 개발은 보안 검사의 통합을 포함하는 내부 품질 보증 프로세스를 따릅니다.
• 데이터 보안 및 정보 수명 주기 관리 정책에 따라 제한되는 프로덕션 데이터는 사전 프로덕션 환경에서 사용되는 동안 익명화되거나 마스킹됩니다.
• 모든 오픈 소스 프레임워크 또는 라이브러리의 통합은 Atlassian 제품에서 타사 코드를 사용하는 방법에 관한 내부 표준을 따릅니다.

위협 및 취약성 관리

이 정책은 Atlassian의 환경과 제품 모두에서 보안 위협과 취약점을 관리하는 방법에 관한 일반 원칙 및 가이드라인을 설명합니다.

기본 원칙은 간략하게 다음과 같습니다.

• 업데이트, 패치 또는 권고 발표를 포함하여 제품 및 서비스의 보안 취약점을 관리합니다
• 내부 환경과 호스팅된 환경 모두에서 보안 위협 및 취약점을 관리합니다
• 환경에서 맬웨어의 위협을 관리합니다

감사 및 컴플라이언스 관리

이 정책은 Atlassian에서 컨트롤 준수를 관리하고 감사하는 방법에 관한 일반 원칙을 설명합니다.

기본 원칙은 간략하게 다음과 같습니다.

• Atlassian은 위험을 적절히 관리하고 관련 정책, 규정 및 외부 산업 표준을 준수하도록 컨트롤을 시행합니다
• Atlassian은 컨트롤의 적절성과 운영 효과를 검증하기 위해 감사를 활용합니다
• 컨트롤 환경에 대한 높은 수준의 신뢰를 달성하고 내부 또는 외부 인증을 획득하기 위해 감사를 적절하게 조직하여 제공합니다
• Atlassian은 컨트롤의 외부 검증을 합니다
• Atlassian은 모든 관련 컨트롤 목표, 컨트롤 활동 및 테스트에 대한 통합 보기를 유지합니다