APRA Prudential Standard CPS 234 아웃소싱 참고 자료

15. APRA 규제 대상 기관은 기관이 지속적으로 온전하게 운영될 수 있도록 정보 자산에 대한 위협의 규모와 정도에 상응하는 정보 보안 기능을 유지해야 합니다

이것은 고객의 고려 사항입니다. Atlassian의 보안 기능 관련 정보는 3행을 참조하세요.

16. 관련 당사자 또는 제3자가 정보 자산을 관리하는 경우 APRA 규제 대상 기관은 해당 자산에 영향을 미치는 정보 보안 인시던트의 잠재적 결과에 상응하는 해당 당사자의 정보 보안 기능을 평가해야 합니다.

APRA 규제 대상 기관에 Cloud 제품을 제공하는 Atlassian은 직면한 위협의 규모와 범위에 상응하는 강력한 정보 보안 프로그램을 유지하고 있습니다. Atlassian은 정보 보안 기능의 설계, 구현 및 운영에 관한 세부 정보를 제공하는 여러 리소스를 제공합니다. 궁극적으로 이 정보를 사용하여 Atlassian 제품이 요구 사항을 충족하는지 평가하는 것은 APRA 규제 대상 기관의 소관입니다.

• 컴플라이언스 리소스 센터—고객의 컴플라이언스 요구 사항을 지원하는 데 사용할 수 있는 보안, 제3자 감사 및 인증에 대한 자세한 정보를 제공하는 리소스
• Atlassian Trust Center—Atlassian이 제품 및 서비스의 보안, 신뢰성, 개인 정보 보호 및 컴플라이언스에 관한 최신 정보를 제공하는 방법에 대한 정보
• 보안 관행 페이지—보안에 대한 효과적인 접근 방식은 자체 환경을 정리하는 것에서부터 시작됩니다. 이 리소스는 이를 수행하는 방법에 대한 세부 정보를 다음과 같이 제공합니다.
  • 네트워크 아키텍처에 보안 구축
  • "절대 신뢰하지 않으며 항상 확인"이라는 의미를 가진 제로트러스트를 통해 네트워크에 대한 액세스 보호
  • 시스템 및 서비스에 대한 액세스 보호
  • 엔드포인트 장치 보호
  • 안전한 설계 및 테스트 프로세스 구축

• 버그 바운티 프로그램의 현금 보상을 통해 외부 연구원에게 제품 취약성을 찾을 동기를 부여합니다. Atlassian은 개방성 및 투명성 유지에 대한 이니셔티브의 한 부분으로, 누구나 Atlassian의 버그 바운티 프로그램 페이지를 방문해 프로그램에 등록하고 테스트할 수 있도록 허용합니다.
• 고객이 취약성을 보고하도록 장려하고 보안 버그 수정 정책에 명시된 관련 서비스 수준 목표(SLO) 내에서 보안 취약성을 수정하는 것을 목표로 합니다.
• 정기적으로 전문 보안 컨설팅 회사를 고용하여 위험도가 높은 제품 및 인프라에 대한 침투 테스트를 수행하고 외부 보안 테스트에 대한 Atlassian의 접근 방식에 침투 테스트 파트너의 평가서를 게시합니다. 
• 모든 고객이 제품을 안전하게 사용할 수 있도록 설계된 특정 규칙에 따라 고객이 보안 평가(침투 테스트, 취약성 평가)를 수행하도록 합니다.

17. APRA 규제 대상 기관은 정보 자산 또는 비즈니스 환경의 변화로 인한 결과를 포함한 취약성과 위협의 변화에 대비하여 정보 보안 기능을 적극적으로 유지해야 합니다.

APRA 규제 대상 기관은 Atlassian 제품 및 플랫폼에 저장된 정보 자산에 따라 이러한 리소스와 3행의 정보를 사용하여 Atlassian의 정보 보안 기능을 평가할 수 있습니다.

18. APRA 규제 대상 기관은 취약성과 위협에 대한 노출에 상응하는 정보 보안 정책 프레임워크를 유지해야 합니다.

이것은 고객의 고려 사항입니다. Atlassian은 ISO27001 표준 및 CSA(Cloud Security Alliance) CCM(Cloud Controls Matrix)에 포함된 도메인을 포괄할 수 있도록 구조화된 정보 보안 프레임워크를 문서화했습니다.

Atlassian의 정책 관리 프로그램(PMP)은 소유권, 가용성, 검토 주기와 관련된 의무를 포함하며 Atlassian의 일반 목표를 개략적으로 설명합니다. 정책은 적어도 1년에 한 번 검토되며 고위 경영진의 승인을 받습니다. PMP에 대한 자세한 내용은 ATMS(Atlassian Trust Management System)에서 확인할 수 있습니다.

또한 Atlassian 보안 및 기술 정책에 각 주요 보안 및 기술 정책의 발췌 내용 및 요약을 게시했습니다.

19. APRA 규제 대상 기관의 정보 보안 정책 프레임워크는 정보 보안을 유지할 의무가 있는 모든 당사자의 책임에 대한 지침을 제시해야 합니다.

Atlassian 인적 보안 정책은 Atlassian의 인적 보안에 관한 일반 원칙 및 가이드라인을 설명합니다. 보안 책임이 직무 정의에 요약되어 있음을 강조합니다. 또한 보안 정책 모음의 각 정책은 특정 직무 부서 또는 팀에 적용되는 책임의 더 상세한 측면을 다룹니다.

Atlassian Cloud 보안 공동 책임 백서에는 고객의 책임과 데이터 보안 방법을 결정할 때 고객이 내려야 하는 결정이 설명되어 있습니다.

20. APRA 규제 대상 기관은 관련 당사자 및 제3자가 관리하는 자산을 포함하여 모든 정보 자산을 중요도와 민감도별로 분류해야 합니다. 이 분류는 정보 자산에 영향을 미치는 정보 보안 인시던트가 금전적 또는 비금전적으로 기관 또는 예금자, 보험 계약자, 수혜자 또는 기타 고객의 이익에 영향을 미칠 수 있는 정도를 반영해야 합니다.

어떤 Atlassian 제품을 어떤 용도로 활용할지 결정할 책임은 고객에게 있으므로 Atlassian에서 관리할 정보 자산을 결정하고 분류하는 것도 고객의 책임입니다. Atlassian은 데이터 분류 표준에 설명된 대로 다음과 같이 정보 분류를 처리합니다.

• 데이터는 Atlassian에 대한 법적 요구 사항, 가치 및 중요도를 고려하여 분류해야 합니다
• 적절한 처리를 위해 데이터 흐름 맵에서 데이터를 식별하고 레이블을 지정하여 최신 상태로 유지해야 합니다
• 폐기하는 미디어는 보안을 유지하여 삭제해야 합니다
• 회사 정보를 포함하는 미디어는 전송 중 무단 액세스, 오용 또는 손상을 방지해야 합니다

21. APRA 규제 대상 기관은 관련 당사자 및 제3자가 관리하는 자산을 포함한 모든 정보 자산을 보호하기 위한 정보 보안 컨트롤을 갖추어야 하며, (a) 정보 자산의 취약성 및 위협, (b) 정보 자산의 중요도 및 민감도, (c) 정보 자산의 수명 주기 단계, (d) 정보 보안 인시던트의 잠재적 결과에 상응하는 시기적절한 방식으로 구현되야 합니다.

Atlassian 보안 관행은 보안에 대한 Atlassian의 접근 방식을 설명합니다. Atlassian의 접근 방식에 대한 세부 정보는 다음과 같습니다.

• 네트워크 아키텍처에 보안 구축 
• "절대 신뢰하지 않으며 항상 확인"이라는 의미를 가진 제로트러스트를 통해 네트워크에 대한 액세스 보호 
• 시스템 및 서비스에 대한 액세스 보호
• 엔드포인트 장치 보호 
• 제품 보호 
• 데이터 보호

22. APRA 규제 대상 기관의 정보 자산을 관련 당사자 또는 제3자가 관리하는 경우 APRA 규제 대상 기관은 APRA 규제 대상 기관의 정보 자산을 보호하는 당사자의 정보 보안 컨트롤 설계를 평가해야 합니다.

취약성 관리 프로그램은 고객 정보를 보호하기 위해 마련한 주요 컨트롤을 포함하여 제품의 보안 취약성을 감지하고 처리하는 Atlassian의 접근 방식을 설명합니다.

시스템 전반의 보안 인시던트 관리에 대한 Atlassian의 접근 방식도 자세히 설명했습니다.

APRA 규제 대상 기관은 주요 영역의 보안 컨트롤 설계에 대한 자세한 정보를 제공하는 리소스를 통해 CPS 234 의무 충족 여부를 판단할 수 있습니다.

23. APRA 규제 대상 기관은 정보 보안 인시던트를 적시에 감지하고 대응할 수 있는 강력한 메커니즘을 갖추고 있어야 합니다.

보안 인시던트 관리에 관한 CPS 234의 의무는 APRA 규제 대상 기관에 부과되지만 Atlassian은 대상 기관이 정보 자산의 일부 또는 전체와 관련하여 Atlassian 제품을 사용하는 경우 보안 인시던트 관리에 대한 Atlassian의 접근 방식도 중요하게 고려한다는 점을 인식하고 있습니다.

Atlassian은 다음과 같은 주요 원칙을 포함하는 보안 인시던트 대응 정책을 문서화했습니다.

• 보안 인시던트를 예측하고 인시던트 대응을 준비
• 인시던트를 억제, 근절 및 복구
• 인력, 프로세스 및 기술에 투자하여 보안 인시던트 발생 시 이를 감지하고 분석할 수 있는 역량을 확보
• 보안 인시던트 발생 시 개인 데이터 및 고객 데이터 보호를 최우선
• 보안 인시던트 대응 프로세스를 정기적으로 실행
• 보안 인시던트 관리 기능을 통해 학습하고 개선
• Atlassian 리더십에 중요한 보안 인시던트를 알리기

24. APRA 규제 대상 기관은 발생 가능성이 있다고 생각하는 정보 보안 인시던트에 대응하기 위한 계획을 유지해야 합니다(정보 보안 대응 계획).

25. APRA 규제 대상 기관의 정보 보안 대응 계획은 (a) 인시던트 감지부터 인시던트 발생 후 검토까지 인시던트의 모든 관련 단계를 관리하고, (b) 정보 보안 인시던트를 이사회, 기타 관리 기관 및 정보 보안 인시던트 관리 및 감독을 담당하는 개인에게 적절하게 에스컬레이션하고 보고하기 위한 메커니즘을 포함해야 합니다.

26. APRA 규제 대상 기관은 정보 보안 대응 계획이 효과적이고 목적에 적합한지 확인하기 위해 매년 검토 및 테스트해야 합니다.

27. APRA 규제 대상 기관은 체계적인 테스트 프로그램을 통해 정보 보안 컨트롤의 효과를 테스트해야 합니다. 체계적인 테스트의 특성과 빈도는 (a) 취약성 및 위협의 변화 속도, (b) 정보 자산의 중요도 및 민감도, (c) 정보 보안 인시던트의 결과, (d) APRA 규제 대상 기관이 정보 보안 정책을 시행할 수 없는 환경에 노출될 때 발생하는 위험 및 (e) 정보 자산 변경의 중요성 및 빈도에 상응해야 합니다

보안 컨트롤의 효과는 Atlassian이 보장하는 여러 외부 감사와 검증을 통해 테스트됩니다. 자체 정보 보안 컨트롤의 효과를 테스트하고 내부 검토를 통해 발견한 보안 컨트롤 결함을 에스컬레이션할 책임은 각 고객에게 있지만, Atlassian은 고객이 CPS 234 의무를 충족하는지 여부를 결정하는 데 도움이 되는 Atlassian 자체 테스트 프로그램 관련 리소스를 제공합니다.

Atlassian Cloud 제품은 정기적으로 보안, 개인 정보 보호 및 컴플라이언스 컨트롤에 관한 독립적인 검증을 거쳐 전 세계 표준에 대한 인증 또는 컴플라이언스 증명을 획득하거나 감사 보고서를 제공합니다. Atlassian은 고객이 위험 평가의 한 부분으로 컴플라이언스 리소스 센터에서 증명, 컴플라이언스 인증 및 감사 보고서(예: SOC2 및 ISO2700x)에 액세스하여 검토할 수 있도록 합니다. 관련된 각 인증 또는 감사 보고서에는 인증 당사자 또는 감사 당사자에 대한 추가 정보가 포함되어 있습니다.

또한 컴플라이언스 리소스 센터에는 공식 인증 또는 증명이 요구되거나 적용되지 않을 수 있는 프레임워크 및 법률에 대한 컨트롤 매핑도 포함되어 있습니다.

Atlassian은 ISMS의 적합성, 적절성 및 효과를 지속적으로 개선하고 있습니다. ATMS(Atlassian Trust Management System)를 매년 내부적으로 및 제3자가 검토하므로 Atlassian 고객은 ATMS의 효과에 대한 제3자 검증을 신뢰할 수 있습니다. 지속적인 개선에 대한 약속은 ATMS 정의 페이지에 내부적으로 설명되어 있으며 시간이 지남에 따라 ATMS를 발전시키고 격차를 해소하도록 지원합니다.

Atlassian의 접근 방식에 대한 추가 정보와 검증은 Trust Center의 여러 리소스에서 확인할 수 있습니다.

• ISO 27001 인증
• SOC 2 인증
• 모든 증명 및 인증

28. APRA 규제 대상 기관의 정보 자산을 관련 당사자 또는 제3자가 관리하고 APRA 규제 대상 기관이 해당 당사자의 정보 보안 컨트롤 테스트에 의존하는 경우, APRA 규제 대상 기관은 정보 자산에 대한 컨트롤 테스트의 특성 및 빈도가 본 Prudential Standard의 27(a)~27(e)항에 상응하는지 평가해야 합니다.

29. APRA 규제 대상 기관은 적시에 해결할 수 없는 정보 보안 컨트롤 결함을 식별하는 모든 테스트 결과를 에스컬레이션하여 이사회 또는 고위 경영진에게 보고해야 합니다.

30. APRA 규제 대상 기관은 적절하게 숙련되고 기능적으로 독립적인 전문가가 테스트를 수행하도록 해야 합니다.

31. APRA 규제 대상 기관은 최소한 매년 또는 정보 자산이나 비즈니스 환경에 중요한 변화가 있을 때 테스트 프로그램의 적합성을 검토해야 합니다.

32. APRA 규제 대상 기관의 내부 감사 활동은 관련 당사자 및 제3자가 유지 관리하는 정보 보안 컨트롤의 설계 및 운영 효과에 대한 검토를 포함해야 합니다(정보 보안 컨트롤 보증).

33. APRA 규제 대상 기관은 정보 보안 컨트롤 보증을 제공하는 데 적절한 기술을 갖춘 직원이 보증을 제공하도록 해야 합니다.

34. APRA 규제 대상 기관의 내부 감사 기능은 (a) 금전적 또는 비금전적으로 기관 또는 예금자, 보험 계약자, 수혜자 또는 기타 고객의 이익에 중대한 영향을 미치거나 잠재적으로 영향을 미칠 가능성이 있는 경우 및 (b) 관련 당사자 또는 제3자가 제공하는 정보 보안 컨트롤 보증에 내부 감사를 의존하려는 경우 관련 당사자 또는 제3자가 제공하는 정보 보안 컨트롤 보증을 평가해야 합니다.

35. APRA 규제 대상 기관은 (a) 금전적 또는 비금전적으로 기관 또는 예금자, 보험 계약자, 수혜자 또는 기타 고객의 이익에 중대한 영향을 미치거나 잠재적으로 영향을 미칠 가능성이 있거나 (b) 오스트레일리아 또는 기타 관할권의 다른 규제 기관에 통지한 정보 보안 인시던트를 인지한 후 가능한 한 빨리 그리고 어떤 경우에도 72시간 이내에 APRA에 알려야 합니다.

Atlassian은 데이터 침해 발생 시 즉시 통지를 받는 것이 얼마나 중요한지 잘 알고 있습니다. 따라서 Atlassian은 보안 인시던트 관리 페이지에 설명된 대로 보안 인시던트를 처리하기 위한 광범위한 교차 기능 팀과 프로세스를 구축했습니다.

Atlassian은 인시던트를 적시에 능동적으로 알리고 고객과 협업하여 필요한 완화 조치를 취한 확고한 기록을 보유하고 있습니다. Atlassian은 데이터 처리 부록 및 기타 법적 약관에 따라 고객에게 보안 인시던트를 지체 없이 알릴 것을 약속합니다. 고객이 컴플라이언스 목적으로 이러한 통지가 필요한 경우 여기에 있는 DPA에 서명하여 제출하는 것이 좋습니다. Atlassian에서 고객에게 인시던트에 대해 알리면 고객은 CPS 234의 35항에 따라 APRA에 통지해야 하는지 결정합니다. 통지하기로 결정한 경우 72시간 이내에 APRA에 통지해야 하며 이 시간은 고객이 Atlassian의 통지를 받은 시점부터 시간입니다.

Atlassian은 파트너인 Bugcrowd를 통해 제품에 대한 공개 버그 바운티 프로그램을 운영하여 고객이 제품에 영향을 미칠 수 있는 모든 취약성을 파악할 수 있도록 지원합니다. Statuspage를 통해 고객에게 중요한 업데이트를 제공합니다. 또한 고객이 Jira Software Cloud, Jira Service Management Cloud 또는 Confluence Cloud의 “Premium” 또는 “Enterprise” 플랜을 구입하는 경우 향상된 성능 보증 혜택을 받게 됩니다. 이 경우 Atlassian은 해당 구독 기간 동안 Cloud 제품의 기능이나 전반적인 보안을 크게 저하시키지 않을 것을 보장합니다. Cloud 제품 보안과 관련하여 고객으로부터 확장된 성능 보증 클레임을 받았고 부적합 사항을 시정할 수 없는 경우 Atlassian은 이 사실을 고객에게 알립니다. 이 통지를 받으면 고객은 CPS 234의 36항에 따라 APRA에 통지가 필요한지 여부를 결정합니다. 통지하기로 결정한 경우 영업일 기준 10일 이내에 APRA에 통지해야 하며 이 시간은 Atlassian의 통지를 받은 시점부터 시간입니다.

36. APRA 규제 대상 기관은 가능한 한 빨리 APRA에 알려야 하며, 어떤 경우라도 적시에 해결하지 못할 것으로 예상되는 중요한 정보 보안 컨트롤 취약점을 알게 된 후 영업일 기준 10일 이내에 APRA에 알려야 합니다.