Close

当社の Atlassian Trust Management System (ATMS)


当社の Atlassian Trust Management System (ATMS) の紹介

アトラシアンは企業としての価値観に誇りを持っています。この価値観が当社の行動のすべてを導いています。際立つ 1 つの特有の価値観が、当社のオープンな企業文化、デタラメは無しです。この特有の価値観が表しているのは、「アトラシアンの価値観」のページで説明している内容と同じです。

そして、自分の考えていることを話すためには、知恵 (何を言うか)、思慮深さ (いつ言うか)、思いやり (どのように言うか) が等しく必要であることを私たちは知っています。

当社の事業運営方法やオペレーション運用方法の詳細を知りたいというご意見を頻繁に伺っています。それに応えるため、ISO27001 セキュリティマネジメント標準である当社の信頼性管理プログラム、Atlassian Trust Management System (ATMS) の実践についてここでご説明します。

アトラシアンでは、独特の販売アプローチ企業としての価値観アトラシアンの理念へのアプローチなど、いずれを取っても他社との差別化要因として誇るべきものであると考えています。このアプローチを当社の信頼性管理プログラムにまで拡大しています。

構造化された管理プログラムの重要性

品質管理システム、欠陥管理システム、継続的な向上のための改善方法、または構造化された機能成熟度の評価方法のいずれを評価する場合であっても、管理システムには価値があります。これらの管理プログラムはそれぞれの分野でテストされ、公開され、ピアレビューされ、改良されています。当社の Atlassian Trust Management Program は、ISO27001 情報セキュリティ管理システム標準に基づいたものです。ISO27001 標準の基本概念は以下のとおりです。

組織の能力を評価する社内および社外の関係者がこの国際標準を使用して、組織自体の情報セキュリティ要件を満たせます。

ガイダンスとしての国際基準の価値 (必ずしも準拠する必要はありません)

特に当社のお客様のデータをホストし、扱う責任を負う組織と同様に、クラウドサービスプロバイダーであるアトラシアンがお客様のデータの保護と機密情報に細心の注意を払っているかという多くの質問があるのは当然のことです。クラウドサービスの利用を考慮しているお客様は、主要なアプリケーションやサービスを選ぶ際に、同様の決定事項に直面します。

お客様それぞれに独自のセキュリティ要件がありますが、アトラシアンの信頼性管理プログラムではそのようなセキュリティ要件を考慮し、当社および当社の環境に独自の一連の要件を実現します。計画、運用、パフォーマンスの評価、および改善に対する ISO27001 アプローチによって、当社のプログラムの運用方法を継続的に評価でき、新しい脅威や要件を考慮して時間をかけてプログラムを改善、また運用全体のパフォーマンスを改善できます。

当社は、適切に構造化された一連のガイドラインとして国際標準を評価していますが、各管理について、そしてそれらの管理が当社の特殊な環境に適切であるかどうかを検討します。これらの国際標準を当社の環境に全体的に適用するために、同様のアプローチを取っています。

ポリシー管理プログラム

The basis of the Trust Management System is our Policy Management Program (PMP). We have structured our policies to cover the domains included in both the ISO27001 standard as well as the Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM). We have developed a couple of foundational principles to our Policy Management Program:

  • Be posted and available - we aren't playing gotcha - we make it clear the bar our teams are expected to meet
  • Be supported by the security team to make it easy for you to comply - we are here to help our teams, help us
  • Outline our security objectives - we like to have goals and be clear about them
  • Show commitment to meet our regulatory obligations - we don't want to go to jail
  • Be focused on continual iteration and improvement - we continue to evaluate risks in our environment and in our program, and reflect those in our policies
  • Provide for an Exception Process - for when our teams absolutely, not even a chance, there is no way, can they meet the policies for a short window
  • Review annually - including updating our policies as we observe new threats and risks

Read on overview and excerpts of our Technology Policies.

リスク管理プログラム

当社の環境および製品へのリスクを継続的に評価するために、リスク評価を常に実行しています。特に製品の場合には、これらが技術的リスク評価またはコードレビューとして実行されることが多くなります。ただし、より高次のビジネスリスクを見つけ出すことを目的として、製品スタック全体、または組織の一部についてもそれぞれ評価しています。一般的に、ISO27005 または ISO31010 のリスク管理方法を採用し、その方法を特定のスコープに適用します。当社のリスク管理方法は以下のとおりです。

  • リスク評価アクティビティを実行する - リスク評価の実行、リスク処理に関する決定の円滑化がこれに含まれます。スコープとそれに含まれる資産の識別、リスクの識別、影響と可能性の評価、リスクに関するレビューと報告が例として挙げられます。
  • セキュリティリスク管理のためのプロジェクトを監視および報告する - セキュリティリスクを管理するために設計されたプログラムやプロジェクトを継続的に監視し、報告します。
  • SMP をサポートする - メカニズムとしての継続的なリスク評価によって環境を改善し、また、実施したセキュリティ管理により、特定されたセキュリティリスクを効率的に管理します。

詳細については、エンタープライズリスク管理プログラムをご覧ください。

Atlassian Trust Management Forum (ATMF)

Finally, we maintain a structured Trust Management Forum that includes representatives from each of the pillars of our Trust program to ensure we apply not only security controls but also reliability, privacy and compliance controls and how to manage risks across each of these pillars. We have created  separate forum meetings to ensure coverage of particular topics as well as appropriate input.

The ATMF’s purpose is to:

  • Agree on priorities and actions required to protect Atlassian and our customers from security threats
  • Champion and drive activities within each business division to address deficiencies or vulnerabilities that may allow an attack to occur
  • Provide direction and support to working groups on critical security risks and compliance programs
  • Champion a security awareness culture throughout the organisation

We maintain the following forum meetings:

  • ATMF: Management Review (Annually - in line with annual budgeting)
  • ATMF: Resource Review (Annually - in line with annual budgeting)
  • ATMF: Risk Review (Quarterly)
  • ATMF: Security Health Review (Monthly)
  • ATMF: Compliance Health Review (Monthly)
  • ATMF: Management Reviews (Weekly - each function team has a Management Review)

The structure and frequency of these meetings ensure we are continuously reviewing our threat profile, as well as our response to those threats.

There are as many different approaches to manage a security organization as there are organizations out there. We, at Atlassian, believe we have set up a program to be flexible, responsive, but also with enough structure to ensure we are evaluating and addressing new threats and risks to both us, as well as our customers.