Close

Atlassian 보안 인시던트 책임


소개

다른 클라우드 서비스 제공업체와 마찬가지로 Atlassian은 고객이 서비스 중단이나 보안 인시던트를 경험하지 않도록 최선을 다합니다. 그러나 보안 인시던트가 발생할 가능성이 있음을 잘 알고 있습니다. 고객이 어떤 보안 인시던트 대응 프로세스에 적합한지, 인시던트 과정에서 어떤 책임이 있는지 이해하는 것이 중요합니다. Atlassian은 최악의 상황에 대비하므로, 최악의 상황이 발생해도 준비되어 있으며 고객에게 문제를 안기지 않습니다.

Atlassian은 서비스와 인프라에 영향을 미치는 모든 보안 인시던트를 처리하기 위해 최선을 다합니다. 보안 침해 감지에서 억제, 심지어 공개까지 모든 조치를 다합니다. 그러나 모든 문제를 다 확인할 수는 없습니다. 때로는 인시던트를 신고하는 고객이나 전문 조사 또는 포렌식 기술을 제공하는 외부 컨설팅 회사의 도움이 필요합니다.

역할

Atlassian은 여러 보안 인시던트 관리 모델을 검토하고 활용하여 Atlassian의 인시던트 대응 프로세스가 종합적일 뿐만 아니라 세계적 수준임을 보장합니다. 다음에서는 이러한 모델에서 가장 중요한 활동을 선정하여 각 모델의 책임에 대해 살펴봅니다.

 

당사자

역할

설명

 

당사자

Atlassian

역할

보안 인시던트 대응 코디네이터

설명

각 보안 인시던트에 Atlassian 보안 팀의 리드 인시던트 코디네이터가 할당되어 보안 의사결정을 내리고 프로세스를 감독하며 작업을 할당합니다.

 

당사자

Atlassian

역할

보안 인시던트 분석자

설명

보안 분석자는 대부분의 인시던트 조사 및 분석을 수행합니다. 소규모 인시던트의 경우 대개 보안 인시던트 대응 코디네이터가 이를 담당합니다.​

 

당사자

Atlassian

역할

고객 커뮤니케이션 리드

설명

각 인시던트에 고객 커뮤니케이션 리드가 할당되어 고객의 참여 방식에 대한 결정을 내립니다. 일반적으로 이 리더가 고객 커뮤니케이션의 대부분을 수행합니다.

 

당사자

Atlassian

역할

레드 팀

설명

Atlassian 레드 팀은 실제 사이버 공격자를 모방하고 자체 감지 및 대응 기능의 개선 사항을 평가하고 식별하도록 정의된 테스트 시나리오를 실행합니다.

 

당사자

Atlassian

역할

지원 조언자

설명

Atlassian 보안 인시던트 관리 팀은 다양한 내부 주제 전문가(예: 법무, 개인정보 보호, 위험, 인적 자원 등)의 조언을 구합니다. 이러한 조언자는 전문 분야에 영향을 미치는 문제에 대한 전문적인 안내를 제공합니다.

 

당사자

보안 컨설팅

역할

컨설턴트

설명

Atlassian은 인시던트가 발생할 경우를 대비하여 전문 사이버 보안 컨설팅 회사의 서비스를 활용합니다. 일반적으로 이 컨설팅 서비스를 활용하여 부족한 추가 리소스, 내부적으로 제공할 수 없는 전문 기술, 인시던트에 대한 독립적인 조언 및 검토를 제공합니다.

 

당사자

고객

역할

보고자

설명

고객은 Atlassian 자산에 대한 무단 액세스 또는 악의적인 행동을 신고하는 것이 좋습니다.

 

당사자

고객

역할

보안 담당자

설명

고객에게 영향을 미치는 인시던트가 확인되면 고객의 보안 담당자에게 통보됩니다. 보안 담당자는 일반적으로 계정 기술 담당자이지만 고객에게 전담 보안 팀이 있는 경우 변경될 수 있습니다. 보안 담당자는 고객이 Atlassian 자산의 범위 밖에서 인시던트를 적절하게 관리할 수 있도록 지원합니다.

책임

Atlassian은 RACI 모델을 참조하여 보안 인시던트 관리 책임을 규정합니다. 규정된 책임을 다하기 위해 최선의 노력을 기울이지만, 궁극적으로 고객도 Atlassian 고객 계약에 따라 데이터의 보안을 준수할 책임이 있습니다.

  • 의무 - 당사자는 작업을 완료하기 위해 최선을 다합니다.
  • 책임 - 당사자는 궁극적으로 활동을 정확하고 철저하게 완료해야 할 책임이 있습니다.
  • 참조 - 당사자의 의견은 참조되고 당사자와 함께 양방향 커뮤니케이션이 이루어집니다.
  • 정보 제공- 당사자는 진행 상태에 관한 정보를 지속적으로 제공받고 당사자와 함께 일방향 커뮤니케이션이 이루어집니다.

 

활동

Atlassian

고객

 

활동

감지

Atlassian

책임

고객

 

 

활동

심사

Atlassian

수행 책임자

고객

 

 

활동

조사

Atlassian

수행 책임자

고객

 

 

활동

제약

Atlassian

수행 책임자

고객

 

 

활동

근절

Atlassian

수행 책임자

고객

정보 제공 대상

 

활동

복구

Atlassian

수행 책임자

고객

정보 제공 대상

 

활동

알림(고객에게)

Atlassian

수행 책임자

고객

정보 제공 대상

 

활동

알림(Atlassian에)

Atlassian

정보 제공 대상

고객

수행 책임자

 

활동

개선

Atlassian

수행 책임자

고객

 

 

활동

테스트

Atlassian

수행 책임자

고객

 

 

활동

외부 보고(사법 당국 및 컴플라이언스)

Atlassian

수행 책임자

고객

정보 제공 대상

 

활동

데이터 집계 발표

Atlassian

수행 책임자

고객

정보 제공 대상