Close

Unsere Atlassian-Richtlinien für Sicherheit & Technologie

Atlassian hat ein Information Security Management Program (ISMP) entwickelt, das die Prinzipien und allgemeinen Regeln für die Aufrechterhaltung des Vertrauens und der Sicherheit beschreibt. Dies erreichen wir, indem wir Risiken für unsere Betriebsabläufe kontinuierlich bewerten und die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit unserer Atlassian-Umgebung verbessern. Wir prüfen und aktualisieren Sicherheitsrichtlinien regelmäßig, führen Anwendungs- und Netzwerksicherheitstests in unserer Umgebung durch und überwachen die Einhaltung von Sicherheitsrichtlinien.

Nachstehend findest du eine Liste sowie eine kurze Beschreibung unserer wichtigsten Sicherheits- und Technologierichtlinien, die Atlassian für seine internen und Cloud-Umgebungen festgelegt hat.

Richtlinien, Risiken und Kontrolle

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Management der Sicherheit bei Atlassian fest.

Zu den grundlegenden Prinzipien unserer Sicherheitsrichtlinien zählen:

  • Wir verwalten den Zugriff auf Unternehmens- und Kundeninformationen basierend auf den Geschäftsanforderungen und gemäß unseren Werten.
  • Atlassian führt diverse Kontrollen ein, um die Implementierung von Sicherheitsfunktionen entsprechend dieser Richtlinie zu verwalten.
  • Atlassian prüft regelmäßig Risiken und die Wirksamkeit der Kontrollen, mit denen diese Risiken gehandhabt werden sollen.

Zugriffsmanagement

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Zugriffsmanagement fest.

Zu den grundlegenden Prinzipien zählen:

Atlassian wird eine Richtlinie für die Zugriffskontrolle einrichten, die beschreibt, wie der Zugriff auf Systeme verwaltet wird:

  • Für das Zugriffsmanagement werden Benutzerkonten und Passwörter verwendet.
  • Alle Benutzer sind dafür verantwortlich, den Zugriff auf ihre Systeme zu verwalten.
  • Systeme werden protokolliert und auf einen möglichen unbefugten Zugriff hin überwacht.
  • Der Remote-Zugriff wird mithilfe einer mehrstufigen Authentifizierung verwaltet.

Asset-Management

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Management der IT-Ressourcen von Atlassian sowie die Art und Weise fest, wie diese gehandhabt werden sollen.

Zu den grundlegenden Prinzipien des Asset Management bei Atlassian zählen:

  • Atlassian pflegt den Bestand an Assets.
  • Den in einer Asset Management-Datenbank erfassten Assets wird ein Besitzer zugewiesen.
  • Die akzeptable Nutzung von Assets wird identifiziert, dokumentiert und implementiert.
  • Die Assets werden an Atlassian zurückgegeben, wenn ein Beschäftigungsverhältnis beendet wird.

Geschäftskontinuität & Disaster Recovery

Diese Richtlinie legt die allgemeinen Grundsätze fest, auf denen unser Ansatz bezüglich Ausfallsicherheit, Verfügbarkeit und Kontinuität von Prozessen, Systemen und Services bei Atlassian aufbaut. Sie definiert die Anforderungen an Prozesse für Geschäftskontinuität, Disaster Recovery und Krisenmanagement.

Zu den grundlegenden Prinzipien zählen:

  • Besitzer von erfolgskritischen Systemen, Prozessen oder Services müssen im Falle einer Katastrophe und im Rahmen festgelegter Störungstoleranzen eine ordnungsgemäße Geschäftskontinuität und/oder Disaster Recovery sicherstellen.
  • Continuity-Pläne müssen angemessene Rückfallumgebungen beinhalten, die (zumindest) Kernfunktionen bieten, sowie einen Failover-Plan für diese Umgebung. Überlegungen zur Wiederaufnahme des normalen Geschäftsbetriebs sollten ebenfalls enthalten sein.
  • Ohne einen geeigneten Continuity-Plan dürfen keine erfolgskritischen Systeme, Prozesse oder Funktionen in der Produktion bereitgestellt werden.
  • Pläne müssen vierteljährlich geprüft und Probleme identifiziert und behoben werden.
  • Die maximale Recovery Time Objective (RTO) beginnt ab der Erkennung bis zur Wiederherstellung der wichtigsten Funktionen. Services werden in Stufen unterteilt, die die maximale RTO bzw. RPO vorgeben.

Kommunikationssicherheit

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Management der Sicherheit unserer Kommunikationen und Netzwerke fest.

Zu den grundlegenden Prinzipien zählen:

  • Der Netzwerkzugriff sollte kontrolliert werden.
  • Der Netzwerkzugriff wird gewährt und alle Benutzer sollten sich mit der globalen Richtlinie für elektronische Systeme und Kommunikationen vertraut machen.
  • Netzwerke sollten basierend auf ihrer Kritikalität voneinander getrennt werden.

Kryptografie & Verschlüsselung

Diese Richtlinie legt die allgemeinen Prinzipien fest, um sicherzustellen, dass Atlassian geeignete Verschlüsselungs- und Kryptografiemethoden implementiert, um die Vertraulichkeit von kritischen Daten zu gewährleisten. Atlassian stellt kryptografische Mechanismen bereit, um Risiken im Zusammenhang mit der Speicherung von vertraulichen Daten und deren Übertragung über mehrere Netzwerke, einschließlich der öffentlich zugänglichen (wie dem Internet), zu mindern.

Atlassian stellt Folgendes sicher:

  • Vertrauliche Daten werden angemessen verschlüsselt.
  • Die Stärke der ausgewählten Verschlüsselungsmethode entspricht der Informationsklassifikation.
  • Kryptografische Schlüssel werden auf sichere Weise verwaltet.
  • Es werden nur genehmigte kryptografische Algorithmen verwendet.

Datensicherheit & Information Lifecycle Management

Die Richtlinie zur Datensicherheitsklassifizierung legt die allgemeinen Anforderungen für die Verarbeitung von Kundendaten fest. Beispiele für den richtigen Umgang mit verschiedenen Datentypen findest du weiter unten. Einer unserer Unternehmensleitsätze lautet zwar Offene Unternehmenskultur – kein Bullsh**, trotzdem sollten alle Mitarbeiter gut überlegen, wie sie interne Daten und Kundendaten handhaben.

Alle Mitarbeiter müssen sicherstellen, dass unsere Daten ordnungsgemäß geschützt werden. Hierzu ist folgende Informationsklassifikationsrichtlinie einzuhalten:

  • Daten sollten entsprechend gesetzlichen Anforderungen, ihrem Nutzen und der Kritikalität für Atlassian klassifiziert werden.
  • Daten sollten gekennzeichnet werden, um eine angemessene Handhabung sicherzustellen.
  • Alle entfernbaren Medien werden anhand derselben Handhabungsrichtlinien verwaltet, wie unten aufgeführt.
  • Zu entsorgende Medien sollten sorgfältig gelöscht werden.
  • Medien, die Unternehmensinformationen enthalten, sollten vor unbefugtem Zugriff, Missbrauch oder Beschädigung beim Transport geschützt werden.

Mobilgeräte & Bring Your Own Device (BYOD)

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für die Verwendung von persönlichen Geräten in Netzwerken und Umgebungen von Atlassian fest.

Atlassian stellt Folgendes sicher:

  • Diese BYOD-Richtlinie soll möglichst unauffällig und flexibel sein, was die Nutzung von eigenen Geräten angeht, um die Autonomie von Atlassian-Mitarbeitern zu bewahren und gleichzeitig sicherzustellen, dass wir unsere Kunden- und Unternehmensdaten schützen können.
  • Das Hauptaugenmerk liegt auf der Konfiguration/Prüfung des Sicherheitsstatus und der Überwachung der Geräte-Compliance. Anstatt Einschränkungen durchzusetzen, sollen die für die Erfüllung der erforderlichen Sicherheitsziele am wenigsten einschränkenden Prinzipien zur Anwendung kommen. Wenn Einschränkungen gelten sollen, werden diese selektiv und je nach Art der Daten, auf die zugegriffen werden kann, festgelegt.
  • Diese Richtlinie deckt sowohl unsere aktuellen als auch vorweggenommene zukünftige Anforderungen ab. Einige der beschriebenen Funktionen werden eventuell nicht umgehend implementiert.

Operatives Geschäft

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für technologische Praktiken bei Atlassian fest.

Zu den grundlegenden Prinzipien zählen:

  • Atlassian-Verfahren sollten zu betrieblichen Zwecken dokumentiert werden.
  • Unsere Backups sollten regelmäßig durchgeführt und getestet werden.
  • Sämtliche Änderungen sollten verwaltet und von mehreren Personen bewertet werden.
  • Kapazitäten sollten bewertet und geplant werden.
  • Die Softwareinstallation sollte begrenzt und nicht notwendige Software eingeschränkt werden.
  • Protokolle müssen konfiguriert und an die zentrale Protokollierungsplattform weitergeleitet werden.
  • Betriebliche Vorfälle sollten entsprechend unseren standardmäßigen Vorfallprozessen gehandhabt werden.

Personalsicherheit

Diese Richtlinie legt unsere Sicherheitsüberlegungen zum Schutz von Personen dar.

Wir bei Atlassian stellen Folgendes sicher:

  • Zuständigkeiten in Sachen Sicherheit werden in der Aufgabenbeschreibung dargelegt.
  • Alle Mitarbeiter und Benutzer nehmen regelmäßig an Schulungen des Sicherheitsbewusstseins teil.
  • Alle Mitarbeiter und Auftragnehmer sind verpflichtet, Sicherheitsvorfälle oder Schwachstellen zu melden.
  • Nach Beendigung des Beschäftigungsverhältnisses werden Ressourcen innerhalb eines angemessenen Zeitraums zurückgegeben und der Zugriff darauf wird verwehrt.

Physische und umgebungsbezogene Sicherheit

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für die Absicherung unserer Gebäude/Büros und den Schutz unserer Ausrüstung fest.

Grundlegende Prinzipien der Absicherung von physischen Einrichtungen und der Umgebung:

  • Atlassian sorgt für sichere Arbeitsbereiche.
  • Wir sichern IT-Ausrüstung an jedem Standort ab.
  • Wir beschränken den Zugang zu unseren Gebäuden und Büros auf befugtes Personal.

Datenschutz

Diese Richtlinie legt die allgemeinen Prinzipien für das Management der Sicherheit von Kundendaten fest.

Zu den grundlegenden Datenschutzprinzipien zählen:

  • Verwaltung von Kontrollen rund um die Erfassung von Kundendaten
  • Durchsicht von Kundendaten nur zu Supportzwecken
  • Klonen von Kundendaten nur zu Backup- oder Supportzwecken

Management von Sicherheitsvorfällen

Diese Richtlinie legt die allgemeinen Grundsätze und Leitlinien fest, um sicherzustellen, dass Atlassian angemessen auf tatsächliche oder mutmaßliche Sicherheitsvorfälle reagiert. Atlassian ist dafür verantwortlich, Vorfälle innerhalb des Unternehmens zu überwachen, die die Vertraulichkeit, die Integrität oder Verfügbarkeit von Informationen oder Informationssystemen verletzen bzw. stören. Alle mutmaßlichen Vorfälle müssen gemeldet und geprüft werden.

Aufgaben des Atlassian-Sicherheitsteams:

  • Antizipation von Sicherheitsvorfällen und Vorbereitung von entsprechenden Reaktionsplänen
  • Eindämmung und Beseitigung von Vorfällen und anschließende Wiederherstellung
  • Investition in Personal, Prozesse und Technologien, um sicherzustellen, dass auftretende Vorfälle erkannt und analysiert werden können
  • Schutz von Kundendaten steht bei Reaktion auf Vorfälle an oberster Stelle
  • Erlernen und Verbesserung der Funktion für das Management von Sicherheitsvorfällen

Management von Zulieferer- und Drittanbieterdaten

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für die Gewährung von und die Aufsicht über den Zugriff von Anbietern auf Atlassian-Daten fest.

Atlassian stellt Folgendes sicher:

  • Atlassian führt die Verwaltung des Anbieterauswahlprozesses zweckorientiert durch.
  • Geschäftsinhaber, die Lieferantenbeziehungen beantragen, müssen dafür standardmäßige Atlassian-Verträge nutzen.
  • Wir werden diese Geschäftsbeziehung beobachten, um sicherzustellen, dass Atlassian-Standards erfüllt werden.
  • Wir behalten uns das Recht vor, Verträge mit Lieferanten zu beenden, wenn ihre Dienstleistung nicht mehr erforderlich ist.

Systembeschaffung, -entwicklung und -wartung

Diese Richtlinie legt die allgemeinen Grundsätze und Leitlinien für die Entwicklung von Anwendungen (intern und beim Kunden), für Einschränkungen bei der Verwaltung der Vorproduktionsumgebung und für die Integration von Open-Source-Software in alle unsere Produkte fest.

Zu den grundlegenden Prinzipien zählen:

  • Sicherheitsanforderungen werden für jede Umgebung, Anwendungsentwicklung oder Akquisition berücksichtigt und implementiert.
  • Die Produktentwicklung erfolgt gemäß unserem internen Qualitätssicherungsprozess, der die Integration von Sicherheitsprüfungen beinhaltet.
  • Produktionsdaten werden anonymisiert oder maskiert, wenn sie in Vorproduktionsumgebungen verwendet werden.
  • Die Integration von Open-Source-Frameworks oder -Bibliotheken erfolgt entsprechend unseren internen Leitlinien.

Bedrohungs- und Schwachstellenmanagement

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Management von Sicherheitsbedrohungen und Schwachstellen in unserer Umgebung und unseren Produkten fest.

Atlassian stellt Folgendes sicher:

  • Wir beheben Sicherheitsschwachstellen in unseren Produkten und Services und geben unter anderem Updates, Patches oder Hinweise heraus.
  • Wir handhaben Sicherheitsbedrohungen und Schwachstellen in unserer gesamten Umgebung (intern und gehostet).
  • Wir wehren Malware-Bedrohungen in unserer Umgebung ab.

Audit- & Compliance-Management

Diese Richtlinie legt die allgemeinen Prinzipien und Leitlinien für das Management des Audit- und Compliance-Programms fest, mit dem die Implementierung des Atlassian Controls Framework validiert wird.

Atlassian stellt Folgendes sicher:

  • Wir implementieren auf Technologie ausgerichtete Abläufe, Sicherheits- und Datenschutzkontrollen, um sicherzustellen, dass sie die relevanten internen Richtlinien, Bestimmungen und externe Branchenstandards einhalten.
  • Audits werden gegebenenfalls koordiniert und bereitgestellt, um ein umfassendes Vertrauen in unsere Kontrollumgebung zu erreichen und interne oder externe Zertifizierungen zu erhalten.
  • Atlassian lässt die Implementierung der eigenen Betriebs-, Sicherheits-, Datenschutz- und anderer Kontrollen durch außenstehende Dritte prüfen.
  • Atlassian pflegt eine konsolidierte Ansicht aller seiner relevanten Kontrollziele, Aktivitäten und Tests (Atlassian Controls Framework – ACF)