Close
Diese Seite in deiner Sprache anzeigen?
Alle Sprachen
Sprache auswählen
Logo: APRA

APRA Prudential Standard CPS 234 OUTSOURCING-LEITFADEN

Die Australian Prudential Regulation Authority ("APRA") hat den APRA Prudential Standard CPS 234 Information Security ("CPS 234") herausgegeben, um sicherzustellen, dass APRA-regulierte Unternehmen – einschließlich Pensionskassen, Banken und Versicherungsunternehmen – bestimmte Mindeststandards für die Entwicklung und Aufrechterhaltung ihrer Informationssicherheitsressourcen erfüllen. CPS 234 verlangt von APRA-regulierten Unternehmen

  • eine klare Definition der Aufgaben und Pflichten im Zusammenhang mit Informationssicherheit,
  • die Einrichtung einer Informationssicherheitsressource, die der Größe und dem Ausmaß der Bedrohungen für ihre Informationsassets angemessen ist,
  • die Einführung von Kontrollen zum Schutz der Informationsassets und die Durchführung regelmäßiger Tests, um sicherzustellen, dass die Kontrollen wirksam sind und
  • die APRA umgehend über besorgniserregende Informationssicherheitsvorfälle zu informieren.

CPS 234 schreibt auch bestimmte Sorgfaltspflichten für ein von der APRA reguliertes Unternehmen vor, wenn dieses Unternehmen die Verwaltung seiner Informationsressourcen an Dritte auslagert. Diese Seite beschreibt die jeweiligen relevanten gesetzlichen Verpflichtungen von CPS 234 und enthält Kommentare, um APRA-regulierten Unternehmen dabei zu helfen, jede CPS-234-Vorgabe im Zusammenhang mit den Cloud-Produkten von Atlassian zu bewerten und sicherzustellen, dass sie ihren Verpflichtungen aus CPS 234 nachkommen.

 

Framework-Referenz

Kommentar von Atlassian

1.

Framework-Referenz

Informationssicherheitsressourcen

2.

Framework-Referenz

15. Ein APRA-reguliertes Unternehmen muss über eine Informationssicherheitsressource verfügen, die der Größe und dem Ausmaß der Bedrohungen für seine Informationsassets, die den kontinuierlichen reibungslosen Betrieb des Unternehmens ermöglichen, angemessen ist.

Kommentar von Atlassian

Dies ist eine Überlegung im Hinblick auf den Kunden. In Zeile 3 findest du Informationen zu den Sicherheitsressourcen von Atlassian.

3.

Framework-Referenz

16. Wenn Informationsassets von einem verbundenen Unternehmen oder einem Dritten verwaltet werden, muss das APRA-regulierte Unternehmen die Informationssicherheitsressourcen dieses Unternehmens auf eine Weise bewerten, die den potenziellen Folgen eines Informationssicherheitsvorfalls bei diesen Assets angemessen sind.

Kommentar von Atlassian

Als Anbieter von Cloud-Produkten für APRA-regulierte Unternehmen unterhält Atlassian ein robustes Informationssicherheitsprogramm, das der Größe und dem Ausmaß der Bedrohungen, denen wir ausgesetzt sind, angemessen ist. Wir haben mehrere Ressourcen zur Verfügung gestellt, die Einzelheiten zum Design, zur Implementierung und zum Betrieb der Informationssicherheitsressourcen von Atlassian enthalten. Letztlich bleibt es den von der APRA regulierten Unternehmen überlassen, anhand dieser Informationen zu beurteilen, ob die Produkte von Atlassian ihren Anforderungen entsprechen:

  • Compliance Resource Center – eine Ressource, die detaillierte Informationen über unsere Sicherheit, externe Audits und Zertifizierungen enthält. Diese Informationen stellen wir zur Verfügung, um unsere Kunden bei der Einhaltung ihrer Compliance-Vorgaben zu unterstützen.
  • Atlassian Trust Center – hier findest du die aktuellsten Informationen zur Sicherheit, Zuverlässigkeit, Datenschutzfähigkeit und Compliance unserer Produkte und Services.
  • Seite "Sicherheitspraktiken" – ein effektiver Sicherheitsansatz beginnt damit, dass wir Sicherheitspraktiken im eigenen Unternehmen umsetzen. Diese Ressource beschreibt, wie wir dabei vorgehen:
    • Sicherheit als Grundlage unserer Netzwerkarchitektur
    • Sicherung des Zugangs zu unseren Netzwerken über ZeroTrust, was einfach ausgedrückt bedeutet, niemals einfach nur zu vertrauen, sondern immer erst nachzuprüfen
    • Sicherung des Zugriffs auf unsere Systeme und Services
    • Absicherung der Endgeräte
    • Aufbau sicherer Design- und Testprozesse
Die Produkte und Daten von Atlassian werden beim branchenführenden Cloud-Hosting-Anbieter Amazon Web Services (AWS) gehostet und in einer Platform-as-a-Service(PaaS)-Umgebung ausgeführt. Datenlaufwerke auf Servern, auf denen Kundendaten und Anhänge in Jira Software Cloud, Jira Service Management Cloud, Jira Work Management, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie und Trello gespeichert sind, verwenden im Ruhezustand die AES-256-Verschlüsselung nach Branchenstandard. Daten in Atlassian Cloud-Produkten werden bei der Übertragung über öffentliche Netzwerke mithilfe von TLS 1.2+ mit Perfect Forward Secrecy (PFS) verschlüsselt, um sie vor einer unautorisierten Veröffentlichung oder Modifikation zu schützen.

Eine ausführliche Beschreibung, wie wir das entwickelt haben, findest du auf unserer Seite Atlassian Cloud-Architektur und betriebliche Praktiken. Darüber hinaus können Kunden, wie in unserem Whitepaper Geteilte Verantwortung bei der Cloudsicherheit bei Atlassian aufgeführt, den STAR-Fragebogen zur Cloud Security Alliance (CSA) lesen. Darin finden sie Antworten auf mehr als 300 Fragen, die im CAIQ-Fragebogen (Consensus Assessments Initiative Questionnaire) enthalten sind. Eine ausführliche Beschreibung, wie wir Sicherheitsschwachstellen erkennen und darauf reagieren, findest du in Unser Ansatz für das Schwachstellenmanagement. Atlassian befolgt auch die in ISO 27001 und von der Cloud Security Alliance (CSA) dargelegten Prozesse zum Management von Schwachstellen. Zur Bewertung von Schwachstellen nutzen wir das Common Vulnerability Scoring System, das uns hilft, Kunden über den Schweregrad von Schwachstellen zu informieren. Atlassian hat unter anderem:
  • externe Sicherheitsforscher im Rahmen unseres Bug-Bounty-Programms finanziell entlohnt, wenn sie Schwachstellen in unseren Produkten entdecken. Im Rahmen unserer Initiative für Offenheit und Transparenz laden wir alle Benutzer ein, die Seite zu unserem Bug-Bounty-Programm zu besuchen, sich für das Programm zu registrieren und uns auf den Prüfstand zu stellen.
  • Kunden ermutigt, Sicherheitslücken zu melden, und zielt darauf ab, Sicherheitslücken innerhalb der entsprechenden Service Level Objectives (SLOs) zu schließen, die in unserer Richtlinie zur Behebung von Sicherheits-Bugs beschrieben sind.
  • regelmäßig spezialisierte Sicherheitsberatungsfirmen eingestellt, um Penetrationstests für unsere Produkte und Infrastruktur mit hohem Risiko durchzuführen, und Beurteilungsschreiben von unseren Penetrationstest-Partnern unter Unser Ansatz für externe Sicherheitstests veröffentlicht. 
  • die Durchführung von Sicherheitsbewertungen (Penetrationstests, Schwachstellenanalysen) durch Kunden ermöglicht, vorbehaltlich bestimmter Regeln, die darauf ausgelegt sind, die Sicherheit unserer Produkte für alle Kunden zu gewährleisten.
Innerhalb ihrer eigenen Konten sind die Kunden für das Schwachstellenmanagement verantwortlich. Um Kunden bei der Überwachung der Sicherheit ihrer Daten zu unterstützen, bietet Atlassian optional erweiterte Datensicherheit und Governance für Atlassian Cloud-Produkte über Atlassian Access an. Dadurch können Unternehmen ihrer zentralen Admin-Konsole Funktionen für das Identitäts- und Zugriffsmanagement (IAM) auf Unternehmensebene hinzufügen. Diese Funktionen tragen dazu bei, unbefugte Zugriffe zu verhindern. Kunden können mehrere Authentifizierungsrichtlinien anpassen, sich einen zentralen Überblick verschaffen und die Nutzung überwachen, um verdächtiges Verhalten zu erkennen.

APRA-regulierte Unternehmen können diese Informationen verwenden, um unsere Informationssicherheitsressourcen in Bezug auf ihre Informationsassets zu bewerten, die in den Produkten und Plattformen von Atlassian gespeichert sind.

4.

Framework-Referenz

17. Ein von der APRA reguliertes Unternehmen muss seine Ressourcen zur Informationssicherheit aktiv verwalten, um Änderungen bei Schwachstellen und Bedrohungen Rechnung zu tragen. Dies betrifft auch Schwachstellen und Bedrohungen, die sich aus Änderungen an Informationsassets oder im Geschäftsumfeld ergeben.

Kommentar von Atlassian

APRA-regulierte Unternehmen können die Ressourcen und Informationen in Zeile 3 verwenden, um unsere Informationssicherheitsressourcen entsprechend ihren in den Produkten und Plattformen von Atlassian gespeicherten Informationsassets zu bewerten.

5.

Framework-Referenz

Richtlinien-Framework

6.

Framework-Referenz

18. Ein von der APRA reguliertes Unternehmen muss über ein Richtlinien-Framework für Informationssicherheit verfügen, das seiner Anfälligkeit gegenüber Schwachstellen und Bedrohungen angemessen ist.

Kommentar von Atlassian

Dies ist eine Überlegung im Hinblick auf den Kunden. Atlassian selbst hat ein Richtlinien-Framework für Informationssicherheit dokumentiert, das so strukturiert wurde, dass es die Bereiche abdeckt, die sowohl im ISO27001-Standard als auch in der Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA) enthalten sind.

Unser Policy Management Program (PMP) umfasst Pflichten in Bezug auf Eigentum, Verfügbarkeit und Überprüfungszyklus und beschreibt unsere allgemeinen Ziele. Unsere Richtlinien werden mindestens einmal jährlich überprüft und von der Geschäftsleitung genehmigt. Weitere Informationen zu unserem PMP findest du in unserem Atlassian Trust Management System (ATMS).

Wir haben auch Auszüge und Zusammenfassungen unserer wichtigsten Sicherheits- und Technologierichtlinien in unseren Atlassian-Richtlinien für Sicherheit und Technologie veröffentlicht

7.

Framework-Referenz

19. Das Richtlinien-Framework für die Informationssicherheit eines von der APRA regulierten Unternehmens muss Anweisungen zu den Pflichten aller Parteien enthalten, die zur Aufrechterhaltung der Informationssicherheit verpflichtet sind.

Kommentar von Atlassian

Unsere Richtlinie zur Personalsicherheit legt die allgemeinen Prinzipien und Leitlinien für die Personalsicherheit bei Atlassian fest. Darin wird betont, dass die Zuständigkeiten für die Sicherheit in den Stellenbeschreibungen dargelegt werden. Darüber hinaus deckt jede Richtlinie in der Reihe unserer Sicherheitsrichtlinien detailliertere Aspekte der Pflichten ab, die für bestimmte Arbeitsfunktionen oder Teams gelten.

Das Whitepaper Geteilte Verantwortung bei der Cloudsicherheit von Atlassian beschreibt die Zuständigkeiten der Kunden und die Entscheidungen, die sie darüber treffen müssen, wie sie ihre Daten schützen.

8.

Framework-Referenz

Identifizierung und Klassifizierung von Informationsassets

9.

Framework-Referenz

20. Ein von der APRA reguliertes Unternehmen muss seine Informationsassets, einschließlich der von verbundenen Unternehmen und Dritten verwalteten Assets, nach Kritikalität und Vertraulichkeit klassifizieren. Diese Klassifizierung muss das Ausmaß widerspiegeln, in dem ein Informationssicherheitsvorfall bei einem Informationsasset das Potenzial hat, das Unternehmen oder die Interessen von Einlegern, Versicherungsnehmern, Begünstigten oder anderen Kunden finanziell oder anderweitig zu beeinträchtigen.

Kommentar von Atlassian

Da die Kunden dafür verantwortlich sind, zu entscheiden, welche Atlassian-Produkte zu welchen Zwecken verwendet werden, liegt es in der Verantwortung des Kunden, zu entscheiden, welche Informationsassets von Atlassian verwaltet werden, und diese Informationsassets zu klassifizieren. Atlassian geht bei der Klassifizierung von Informationen wie folgt und wie in unserem Standard für die Datenklassifizierung beschrieben vor:

  • Daten müssen entsprechend gesetzlichen Anforderungen, ihrem Nutzen und der Kritikalität für Atlassian klassifiziert werden.
  • Daten müssen identifiziert, gekennzeichnet und in einer Datenflusskarte auf dem neuesten Stand gehalten werden, um eine angemessene Handhabung zu gewährleisten
  • Zu entsorgende Medien müssen sorgfältig gelöscht werden.
  • Medien, die Unternehmensinformationen enthalten, müssen vor unbefugtem Zugriff, Missbrauch oder Beschädigung beim Transport geschützt werden.

10.

Framework-Referenz

Implementierung von Kontrollen

11.

Framework-Referenz

21. Ein von der APRA reguliertes Unternehmen muss über Informationssicherheitskontrollen verfügen, um seine Informationsassets zu schützen, einschließlich der Assets, die von verbundenen Unternehmen und Dritten verwaltet werden. Diese Kontrollen müssen zeitnah umgesetzt werden und den folgenden Ereignissen angemessen sein: (a) Schwachstellen und Bedrohungen für die Informationsassets; (b) Kritikalität und Vertraulichkeit der Informationsressourcen; (c) Phase, in der sich die Informationsassets in ihrem Lebenszyklus befinden; und (d) potenzielle Folgen eines Informationssicherheitsvorfalls

Kommentar von Atlassian

Unsere Sicherheitspraktiken beschreiben den Sicherheitsansatz von Atlassian. Wir stellen Details zu unserer Vorgehensweise bereit, indem wir:

  • Sicherheit als Grundlage unserer Netzwerkarchitektur einrichten 
  • den Zugang zu unseren Netzwerken über ZeroTrust sichern, was einfach ausgedrückt bedeutet, niemals einfach nur zu vertrauen, sondern immer erst nachzuprüfen
  • den Zugriff auf unsere Systeme und Services sichern
  • Endgeräte absichern 
  • unsere Produkte sichern 
  • Daten sichern

12.

Framework-Referenz

22. Wenn die Informationsassets eines APRA-regulierten Unternehmens von einem verbundenen Unternehmen oder einem Dritten verwaltet werden, muss das APRA-regulierte Unternehmen die Gestaltung der Informationssicherheitskontrollen dieses Unternehmens oder Dritten bewerten, die die Informationsassets des APRA-regulierten Unternehmens schützen.

Kommentar von Atlassian

Unser Schwachstellenmanagement-Programm beschreibt den Ansatz von Atlassian zur Erkennung von und zum Umgang mit Sicherheitsschwachstellen in unseren Produkten, einschließlich wichtiger Kontrollen, die wir zum Schutz der Daten unserer Kunden eingerichtet haben.

Wir haben auch unseren Umgang mit Sicherheitsvorfällen in unserem System detailliert beschrieben.

Gemeinsam bieten diese Ressourcen den von der APRA regulierten Unternehmen detaillierte Informationen zur Gestaltung unserer Sicherheitskontrollen in wichtigen Bereichen, sodass sie selbst entscheiden können, ob ihre CPS-234-Pflichten erfüllt sind.

13.

Framework-Referenz

Vorfallmanagement

14.

Framework-Referenz

23. Ein APRA-reguliertes Unternehmen muss über solide Mechanismen verfügen, um Informationssicherheitsvorfälle rechtzeitig zu erkennen und darauf zu reagieren.

Kommentar von Atlassian

Die Verpflichtungen aus CPS 234 zum Umgang mit Sicherheitsvorfällen sind zwar APRA-regulierten Unternehmen auferlegt, Atlassian ist sich jedoch bewusst, dass der Ansatz von Atlassian für den Umgang mit Sicherheitsvorfällen ebenfalls ein wichtiger Aspekt für ein Unternehmen ist, das Atlassian-Produkte für einige oder alle seiner Informationsassets verwendet.

Wir haben eine dokumentierte Security Incident Response-Richtlinie, die die folgenden Grundprinzipien enthält:

  • Antizipieren von Sicherheitsvorfällen und Vorbereitung auf die Incident Response
  • Eindämmung und Beseitigung von Vorfällen und anschließende Wiederherstellung
  • Investition in Mitarbeiter, Prozesse und Technologien, um sicherzustellen, dass auftretende Sicherheitsvorfälle erkannt und analysiert werden können
  • Der Schutz personenbezogener Daten und Kundendaten hat bei Sicherheitsvorfällen oberste Priorität
  • Regelmäßige Testläufe des Prozesses zur Incident Response
  • Erlernen und Verbesserung der Funktion für das Management von Sicherheitsvorfällen
  • Meldung kritischer Sicherheitsvorfälle an das Führungsteam von Atlassian
Gemäß dieser Richtlinie unterhält Atlassian einen Security Incident Response-Plan. Um sicherzustellen, dass unser Incident-Response-Prozess konsistent, wiederholbar und effizient ist, haben wir ein klar definiertes internes Rahmenwerk, das die Schritte abdeckt, die wir in jeder Phase des Incident-Response-Prozesses unternehmen müssen. Wir haben dokumentierte Playbooks, die ständig aktualisiert werden und die die Schritte definieren, die wir unternehmen müssen, um auf verschiedene Arten von Vorfällen zu reagieren. Weitere Informationen zu unserem Security-Incident-Response-Prozess findest du unter Umgang mit Sicherheitsvorfällen bei Atlassian und Zuständigkeiten bei Atlassian für Sicherheitsvorfälle.

Atlassian kann eine lange Erfolgsbilanz vorweisen, wenn es darum geht, Sicherheitsvorfälle rechtzeitig und proaktiv zu melden und in Zusammenarbeit mit unseren Kunden alle notwendigen Abhilfemaßnahmen zu ergreifen. In unserer Datenschutzvereinbarung verpflichten wir uns, einen Kunden unverzüglich über jeden Sicherheitsvorfall zu informieren und rechtzeitig Informationen über den Sicherheitsvorfall zur Verfügung zu stellen, sobald dieser bekannt wird oder von den Kunden in vernünftigem Maße angefordert wird, damit dieser seinen Verpflichtungen zur Meldung von Datenschutzverstößen gemäß dem geltenden Datenschutzrecht (wie in der DPA definiert) nachkommen kann. Soweit Kunden diese Benachrichtigung aus Compliance-Gründen benötigen, empfehlen wir ihnen, die hier abrufbare Datenschutzvereinbarung zu unterzeichnen und einzureichen.

15.

Framework-Referenz

24. Ein von der APRA reguliertes Unternehmen muss über Pläne zur Reaktion auf Informationssicherheitsvorfälle verfügen, von denen das Unternehmen vernünftigerweise annimmt, dass sie auftreten könnten (Reaktionspläne zur Informationssicherheit).

16.

Framework-Referenz

25. Die Reaktionspläne zur Informationssicherheit eines von der APRA regulierten Unternehmens müssen die vorhandenen Mechanismen für Folgendes enthalten: (a) die Bewältigung aller relevanten Phasen eines Vorfalls, von der Entdeckung bis zur Analyse nach dem Vorfall, und (b) die Eskalation und Meldung von Informationssicherheitsvorfällen an den Vorstand, andere Leitungsgremien und die für den Umgang mit und die Überwachung von Informationssicherheitsvorfällen verantwortlichen Personen (je nach Zuständigkeit).

17.

Framework-Referenz

26. Ein von der APRA reguliertes Unternehmen muss seine Reaktionspläne zur Informationssicherheit jährlich überprüfen und testen, um sicherzustellen, dass sie wirksam und zweckdienlich bleiben.

18.

Framework-Referenz

Tests der Wirksamkeit von Kontrollen und internen Audits

19.

Framework-Referenz

27. Ein von der APRA reguliertes Unternehmen muss die Wirksamkeit seiner Informationssicherheitskontrollen durch ein systematisches Testprogramm testen. Art und Häufigkeit der systematischen Tests müssen folgenden Faktoren entsprechen: (a) der Geschwindigkeit, mit der sich die Schwachstellen und Bedrohungen ändern; (b) der Kritikalität und Vertraulichkeit der Informationsassets; (c) den Folgen eines Informationssicherheitsvorfalls; (d) den Risiken bei einer Offenlegung in einem Umfeld, in dem das APRA-regulierte Unternehmen nicht in der Lage ist, seine Informationssicherheitsrichtlinien durchzusetzen; und (e) dem Umfang und der Häufigkeit von Änderungen der Informationsassets

Kommentar von Atlassian

Die Wirksamkeit unserer Sicherheitskontrollen wird durch mehrere externe Audits und Überprüfungen getestet, die wir durchführen. Zwar ist jeder Kunde dafür verantwortlich, die Wirksamkeit seiner eigenen Informationssicherheitskontrollen zu testen und alle Mängel der Sicherheitskontrolle, die er bei seiner internen Überprüfung feststellt, zu eskalieren. Atlassian stellt jedoch mehrere Ressourcen in Bezug auf das eigene Testprogramm von Atlassian zur Verfügung, um Kunden bei der Feststellung zu unterstützen, ob ihre CPS-234-Verpflichtungen erfüllt werden.

Unsere Cloud-Produkte werden regelmäßig von unabhängiger Seite auf die Einhaltung geltender globaler Sicherheits-, Datenschutz- und Compliance-Anforderungen überprüft und sind entsprechend zertifiziert.  Wir bieten Kunden im Compliance Resource Center Zugriff auf diese Bescheinigungen, Compliance-Zertifikate und Auditberichte (wie SOC2 und ISO2700x), damit sie diese im Rahmen ihrer Risikobewertungen überprüfen können. Jeder relevante Zertifizierungs- oder Auditbericht enthält zusätzliche Informationen über die zertifizierende oder prüfende Partei.

Unser Compliance Resource Center enthält auch Kontrollzuordnungen zu Frameworks und Gesetzen, bei denen formelle Zertifizierungen oder Bescheinigungen möglicherweise nicht erforderlich sind oder angewendet werden.

Atlassian verbessert kontinuierlich die Eignung, Angemessenheit und Effektivität seines ISMS. Das Atlassian Trust Management System (ATMS) wird jährlich sowohl intern als auch von Drittanbietern überprüft. Atlassian-Kunden können sich so darauf verlassen, dass die Wirksamkeit des ATMS gegeben ist. Die Verpflichtung zur kontinuierlichen Verbesserung ist intern auf unserer ATMS-Definitionsseite beschrieben und dient dazu, das ATMS ständig weiterzuentwickeln und etwaige Lücken zu schließen.

Weitere Informationen und die Validierung unseres Ansatzes findest du in verschiedenen Ressourcen in unserem Trust Center:

Atlassian führt mindestens einmal jährlich sowohl interne/externe Readiness Audits als auch externe Audits durch. Die Ergebnisse der internen Audits werden nicht an Kunden weitergegeben.

20.

Framework-Referenz

28. Wenn die Informationsassets eines APRA-regulierten Unternehmens von einem verbundenen Unternehmen oder einem Dritten verwaltet werden und das APRA-regulierte Unternehmen auf die Prüfung der Informationssicherheitskontrolle dieses Unternehmens oder Dritten angewiesen ist, muss das APRA-regulierte Unternehmen beurteilen, ob Art und Häufigkeit der Tests der Kontrollen in Bezug auf diese Informationsassets den Paragraphen 27 (a) bis 27 (e) dieses Prudential Standards entsprechen.

21.

Framework-Referenz

29. Ein von der APRA reguliertes Unternehmen muss alle Testergebnisse, die Mängel bei den Informationssicherheitskontrollen aufdecken, welche nicht rechtzeitig behoben werden können, eskalieren und dem Vorstand oder der Geschäftsleitung melden.

22.

Framework-Referenz

30. Ein von der APRA reguliertes Unternehmen muss sicherstellen, dass die Tests von entsprechend qualifizierten und funktionell unabhängigen Spezialisten durchgeführt werden.

23.

Framework-Referenz

31. Ein von der APRA reguliertes Unternehmen muss die Angemessenheit des Testprogramms mindestens einmal jährlich überprüfen oder wenn sich die Informationsassets oder das Geschäftsumfeld wesentlich ändern.

24.

Framework-Referenz

32. Die Aktivitäten zu internen Audits eines von der APRA regulierten Unternehmens müssen eine Überprüfung des Designs und der betrieblichen Wirksamkeit der Informationssicherheitskontrollen umfassen. Dazu gehören auch Kontrollen, die von verbundenen Unternehmen und Dritten durchgeführt werden (Absicherung der Informationssicherheitskontrolle).

25.

Framework-Referenz

33. Ein von der APRA reguliertes Unternehmen muss sicherstellen, dass die Informationssicherheitskontrolle von Personal durchgeführt wird, das entsprechend qualifiziert ist, um diese Sicherheit zu gewährleisten.

26.

Framework-Referenz

34. Das interne Audit eines von der APRA regulierten Unternehmens muss die von einem verbundenen Unternehmen oder einem Dritten gewährte Informationssicherheitskontrolle bewerten, wenn: (a) ein Informationssicherheitsvorfall, der sich auf die Informationsassets auswirkt, das Potenzial hat, das Unternehmen oder die Interessen von Einlegern, Versicherungsnehmern, Begünstigten oder anderen Kunden finanziell oder anderweitig erheblich zu beeinträchtigen; und (b) das interne Audit beabsichtigt, sich auf die Informationssicherheitskontrolle zu verlassen, die von dem verbundenen Unternehmen oder Dritten bereitgestellt wird.

27.

Framework-Referenz

APRA-Benachrichtigung

28.

Framework-Referenz

35. Ein von der APRA beaufsichtigtes Unternehmen muss APRA so schnell wie möglich und in jedem Fall nicht später als 72 Stunden informieren, nachdem es Kenntnis von einem Informationssicherheitsvorfall erlangt hat, der: (a) das Unternehmen oder die Interessen von Einlegern, Versicherungsnehmern, Begünstigten oder anderen Kunden erheblich beeinträchtigt hat oder (b) anderen Aufsichtsbehörden in Australien oder anderen Ländern gemeldet wurde.

Kommentar von Atlassian

Atlassian weiß, wie wichtig es ist, dass du umgehend über jeden Datenschutzverstoß informiert wirst. Aus diesem Grund hat Atlassian ein umfangreiches funktionsübergreifendes Team und einen Prozess zum Umgang mit Sicherheitsvorfällen eingerichtet, wie auf unserer Seite zum Management von Sicherheitsvorfällen beschrieben.

Atlassian kann eine lange Erfolgsbilanz vorweisen, wenn es darum geht, Vorfälle rechtzeitig und proaktiv zu melden und in Zusammenarbeit mit unseren Kunden alle notwendigen Abhilfemaßnahmen zu ergreifen. Atlassian verpflichtet sich in seiner Ergänzung zur Datenverarbeitung und anderen rechtlichen Bestimmungen, Kunden unverzüglich über Sicherheitsvorfälle zu informieren. Soweit Kunden diese Benachrichtigung aus Compliance-Gründen benötigen, empfehlen wir ihnen, die hier abrufbare Datenschutzvereinbarung zu unterzeichnen und einzureichen. Sobald ein Kunde von Atlassian über einen Vorfall informiert wurde, ist der Kunde dafür verantwortlich, zu entscheiden, ob eine Benachrichtigung an die APRA gemäß Paragraph 35 des CPS 234 erforderlich ist. Ist dies der Fall, muss er die APRA innerhalb des 72-Stunden-Zeitrahmens benachrichtigen, der mit Eingang der Mitteilung von Atlassian beim Kunden beginnt.

Atlassian betreibt über unseren Partner Bugcrowd ein öffentliches Bug-Bounty-Programm für unsere Produkte, um Kunden dabei zu helfen, den Überblick über alle Schwachstellen zu behalten, die sich auf unsere Produkte auswirken könnten. Wesentliche Updates werden Kunden über Statuspage zur Verfügung gestellt. Wenn sich ein Kunde für den Kauf eines "Premium"- oder "Enterprise"-Tarifs einer beliebigen Jira Software Cloud, Jira Service Management Cloud oder Confluence Cloud entscheidet, erhält er außerdem unsere erweiterte Leistungsgarantie. Damit garantieren wir, dass wir die Funktionalität oder die allgemeine Sicherheit des Cloud-Produkts während der jeweiligen Abonnementlaufzeit nicht wesentlich einschränken. Wenn wir von einem Kunden eine Forderung auf erweiterte Leistungsgarantie erhalten, die sich auf die Sicherheit eines Cloud-Produkts bezieht, und wir die Nichtkonformität nicht korrigieren können, werden wir den Kunden darüber informieren. Sobald ein Kunde diese Benachrichtigung erhalten hat, ist der Kunde dafür verantwortlich, zu entscheiden, ob eine Benachrichtigung an die APRA gemäß Paragraph 36 des CPS 234 erforderlich ist. Ist dies der Fall, muss er die APRA innerhalb des Zeitrahmens von 10 Geschäftstagen benachrichtigen, der mit dem Eingang der Mitteilung von Atlassian beim Kunden beginnt.

29.

Framework-Referenz

36. Ein von der APRA reguliertes Unternehmen muss die APRA so schnell wie möglich und auf jeden Fall nicht später als 10 Arbeitstage informieren, nachdem es von einer wesentlichen Sicherheitslücke in der Informationssicherheitskontrolle Kenntnis erlangt hat, von der das Unternehmen ausgeht, dass es sie nicht rechtzeitig beheben kann.