Close
Czy wyświetlić tę stronę w Twoim języku?
Wszystkie języki
Wybierz swój język
Logo APRA

WYTYCZNE DOTYCZĄCE OUTSOURCINGU zgodne z APRA Prudential Standard CPS 234

Agencja Australian Prudential Regulation Authority („APRA”) wydała normę APRA Prudential Standard CPS 234 Information Security („CPS 234”), aby zadbać o to, by podmioty podlegające regulacjom APRA — w tym fundusze emerytalne, banki i zakłady ubezpieczeń — spełniały określone minimalne standardy w zakresie rozwijania i utrzymywania swoich zdolności w obszarze bezpieczeństwa informacji. CPS 234 wymaga od podmiotów podlegających regulacjom APRA:

  • wyraźnego określenia ról i obowiązków związanych z bezpieczeństwem informacji;
  • utrzymywania zdolności do zapewnienia bezpieczeństwa informacji współmiernego do wielkości i zakresu zagrożeń dla ich zasobów informacyjnych;
  • wdrażania środków kontroli w celu ochrony zasobów informacyjnych oraz przeprowadzania regularnych testów i zapewnienia skuteczności kontroli;
  • niezwłocznego powiadamiania APRA o incydentach związanych z bezpieczeństwem istotnych informacji.

W CPS 234 opisano również określone obowiązki w zakresie należytej staranności dotyczące podmiotu podlegającego regulacjom APRA w przypadku, gdy podmiot ten zleca stronie trzeciej zarządzanie swoimi zasobami informacyjnymi. Ta strona opisuje każdy z odpowiednich obowiązków regulacyjnych CPS 234 i zawiera komentarz, aby pomóc podmiotom podlegającym regulacjom APRA w ocenie każdego wymogu CPS 234 w kontekście produktów chmurowych firmy Atlassian i zagwarantowaniu, że spełniają one swoje obowiązki wynikające z CPS 234.

 

Odniesienie do ram postępowania

Komentarz Atlassian

1.

Odniesienie do ram postępowania

Zdolność do zapewnienia bezpieczeństwa informacji

2.

Odniesienie do ram postępowania

15. Podmiot podlegający regulacjom APRA musi utrzymywać zdolności do zapewnienia bezpieczeństwa informacji współmiernie do wielkości i zakresu zagrożeń dla swoich zasobów informacyjnych, co umożliwia dalsze prawidłowe funkcjonowanie podmiotu

Komentarz Atlassian

Ta kwestia leży po stronie klienta. Informacje na temat zdolności zapewnienia bezpieczeństwa firmy Atlassian podano w wierszu 3.

3.

Odniesienie do ram postępowania

16. W przypadku gdy zasobami informacyjnymi zarządza podmiot powiązany lub strona trzecia, podmiot podlegający regulacjom APRA musi ocenić zdolność tego podmiotu do zapewnienia bezpieczeństwa informacji, współmiernie do potencjalnych konsekwencji incydentu związanego z bezpieczeństwem informacji, który ma wpływ na te zasoby.

Komentarz Atlassian

Jako dostawca produktów chmurowych dla podmiotów podlegających regulacjom APRA Atlassian prowadzi rzetelny program bezpieczeństwa informacji współmierny do wielkości i zakresu zagrożeń, z jakimi mamy do czynienia. Udostępniliśmy kilka zasobów, które zawierają szczegółowe informacje dotyczące projektowania, wdrożenia i działania zdolności do zapewnienia bezpieczeństwa informacji firmy Atlassian. Ostatecznie to podmioty podlegające regulacjom APRA decydują o wykorzystaniu tych informacji do oceny, czy produkty Atlassian spełniają ich wymagania:

  • Compliance Resource Center — zasób, który zawiera szczegółowe informacje na temat naszych zabezpieczeń, audytów stron trzecich i certyfikatów udostępnione w celu zaspokojenia potrzeb naszych klientów w zakresie zgodności z przepisami.
  • Atlassian Trust Center — zawiera najnowsze informacje Atlassian na temat bezpieczeństwa, niezawodności, ochrony prywatności i zgodności z przepisami naszych produktów i usług.
  • Strona z praktykami dotyczącymi bezpieczeństwa — skuteczne podejście do bezpieczeństwa zaczyna się od uporządkowania własnego podwórka. Ten zasób zawiera szczegółowe informacje na temat stosowanych przez nas metod:
    • Włączanie zabezpieczeń do naszej architektury sieciowej
    • zabezpieczenie dostępu do naszych sieci w oparciu o zasadę ZeroTrust, która oznacza po prostu: „nigdy nie ufaj, zawsze weryfikuj”;
    • zabezpieczenie dostępu do naszych systemów i usług;
    • zabezpieczanie naszych urządzeń końcowych;
    • budowanie bezpiecznych procesów projektowania i testowania.
Produkty i dane firmy Atlassian są hostowane przez wiodącego w branży dostawcę usług hostingowych w chmurze Amazon Web Services (AWS) i działają w modelu platformy jako usługi (PaaS). Dyski serwerowe, na których przechowywane są dane i załączniki klientów korzystających z produktów Jira Software Cloud, Jira Service Management Cloud, Jira Work Management, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie i Trello są w całości szyfrowane podczas magazynowania przy użyciu metody AES-256, będącej standardem w branży. Dane przechowywane w produktach Atlassian Cloud są szyfrowane w trakcie przesyłania przez sieci publiczne przy użyciu protokołu TLS 1.2+ z doskonałym utajnianiem przekazywania (PFS) w celu ochrony przed nieupoważnionym ujawnieniem lub modyfikacją.

Szczegółowy opis tego, jak stworzyliśmy te mechanizmy, można znaleźć na naszej stronie poświęconej architekturze Atlassian Cloud i praktykom operacyjnym. Ponadto, jak wspomniano w naszym oficjalnym dokumencie dotyczącym wspólnych obowiązków związanych z zapewnieniem bezpieczeństwa chmury Atlassian, klienci mogą przejrzeć nasz kwestionariusz STAR Cloud Security Alliance (CSA), który zawiera odpowiedzi na ponad 300 pytań zawartych w kwestionariuszu Consensus Assessments Initiative Questionnaire (CAIQ). Szczegółowy opis sposobu wykrywania luk w zabezpieczeniach i reagowania na nie można znaleźć w sekcji Nasze podejście do zarządzania lukami w zabezpieczeniach. Atlassian stosuje procesy zarządzania lukami w zabezpieczeniach opisane w normie ISO 27001 i wytycznych organizacji Cloud Security Alliance (CSA). Do oceny luk w zabezpieczeniach używamy systemu Common Vulnerability Scoring System, który ułatwia informowanie naszych klientów o tym, jak istotne są poszczególne luki. W ramach innych procesów Atlassian:
  • Atlassian motywuje zewnętrznych badaczy do identyfikowania luk w naszych produktach, oferując nagrody pieniężne w ramach naszego programu bug bounty. W duchu naszej inicjatywy zapewniania otwartości i przejrzystości zapraszamy wszystkich do odwiedzenia strony naszego programu wykrywania błędów, zarejestrowania się w programie i przetestowania naszych produktów.
  • Zachęca klientów do zgłaszania luk w zabezpieczeniach i dąży do ich naprawiania w ramach odpowiednich docelowych poziomów świadczenia usług (SLO) opisanych w naszej Polityce usuwania błędów zabezpieczeń.
  • Regularnie korzysta z usług specjalistycznych firm konsultingowych w zakresie bezpieczeństwa w celu przeprowadzania testów penetracyjnych naszych produktów i infrastruktury wysokiego ryzyka oraz publikowania listów oceniających od naszych partnerów zajmujących się testami penetracyjnymi w sekcji Nasze podejście do zewnętrznych testów zabezpieczeń
  • Zezwala klientom na przeprowadzanie ocen zabezpieczeń (testów penetracyjnych, ocen luk w zabezpieczeniach) pod warunkiem przestrzegania kilku zasad, które pomogą zapewnić bezpieczeństwo wszystkim klientom.
Klienci odpowiadają za zarządzanie lukami w zabezpieczeniach w ramach własnych kont. Aby pomóc klientom w monitorowaniu bezpieczeństwa ich danych, Atlassian oferuje opcjonalne zwiększone zabezpieczenia danych i zarządzanie produktami Atlassian Cloud za pośrednictwem Atlassian Access, co umożliwia organizacjom dodanie do centralnej konsoli administracyjnej funkcji zarządzania tożsamością i uprawnieniami dostępu (IAM) klasy korporacyjnej. Pomaga to zapobiegać nieuprawnionemu dostępowi, umożliwiając klientom dostosowywanie wielu polityk uwierzytelniania, uzyskanie scentralizowanego nadzoru i monitorowanie użycia w celu wykrycia podejrzanych zachowań.

Podmioty podlegające regulacjom APRA mogą wykorzystywać te informacje do oceny naszych zdolności do zapewniania bezpieczeństwa informacji zgodnie z ich zasobami informacyjnymi przechowywanymi w produktach i na platformach Atlassian.

4.

Odniesienie do ram postępowania

17. Podmiot podlegający regulacjom APRA musi aktywnie utrzymywać swoją zdolność do zapewniania bezpieczeństwa informacji w odniesieniu do zmian luk w zabezpieczeniach i zagrożeń, w tym wynikających ze zmian w zasobach informacyjnych lub w otoczeniu biznesowym.

Komentarz Atlassian

Podmioty podlegające regulacjom APRA mogą wykorzystywać te zasoby i informacje opisane w wierszu 3 do oceny naszych zdolności do zapewniania bezpieczeństwa informacji zgodnie z ich zasobami informacyjnymi przechowywanymi w produktach i platformach Atlassian.

5.

Odniesienie do ram postępowania

Ramy polityki

6.

Odniesienie do ram postępowania

18. Podmiot podlegający regulacjom APRA musi utrzymywać ramy polityki bezpieczeństwa informacji współmiernej do narażenia na luki i zagrożenia.

Komentarz Atlassian

Ta kwestia leży po stronie klienta. Ze swojej strony firma Atlassian udokumentowała ramy polityki bezpieczeństwa informacji, które zostały skonstruowane tak, aby objąć domeny uwzględnione zarówno w normie ISO 27001, jak i w specyfikacji Cloud Controls Matrix (CCM) organizacji Cloud Security Alliance (CSA).

Nasz Policy Management Program (PMP) obejmuje obowiązki związane z własnością, dostępnością i cyklem przeglądu oraz określa nasze ogólne cele. Nasze polityki są sprawdzane co najmniej raz w roku i zatwierdzane przez kierownictwo wyższego szczebla. Więcej informacji na temat naszego PMP można znaleźć w Atlassian Trust Management System (ATMS).

Opublikowaliśmy również fragmenty i streszczenia każdej z naszych głównych polityk dotyczące bezpieczeństwa i technologii w Polityce Atlassian dotyczącej technologii i bezpieczeństwa

7.

Odniesienie do ram postępowania

19. Ramy polityki bezpieczeństwa informacji podmiotu podlegającego regulacjom APRA muszą określać obowiązki wszystkich stron, które mają obowiązek utrzymania bezpieczeństwa informacji.

Komentarz Atlassian

Nasza polityka bezpieczeństwa personelu określają ogólne reguły i wytyczne dotyczące bezpieczeństwa personelu w Atlassian. Ustalono w nich, że obowiązki związane z bezpieczeństwem będą określone w definicjach stanowisk. Ponadto każda polityka w naszym pakiecie polityk bezpieczeństwa obejmuje bardziej szczegółowe aspekty obowiązków, które mają zastosowanie do określonych stanowisk lub zespołów.

Oficjalny dokument Wspólne obowiązki związane z zapewnieniem bezpieczeństwa chmury Atlassian przedstawia obowiązki klientów i decyzje, które muszą podjąć, jeśli chodzi o sposób zabezpieczenia swoich danych.

8.

Odniesienie do ram postępowania

Identyfikacja i klasyfikacja zasobów informacyjnych

9.

Odniesienie do ram postępowania

20. Podmiot podlegający regulacjom APRA musi klasyfikować swoje zasoby informacyjne, w tym te zarządzane przez podmioty powiązane i strony trzecie, pod względem ich krytyczności i wrażliwości. Klasyfikacja ta musi odzwierciedlać stopień, w jakim incydent związany z bezpieczeństwem informacji i dotyczący zasobu informacyjnego może mieć wpływ finansowy lub niefinansowy na podmiot lub interesy deponentów, właścicieli polis, beneficjentów lub innych klientów.

Komentarz Atlassian

Ponieważ klienci odpowiadają za ustalenie, które produkty Atlassian mają być wykorzystywane i do jakich celów, obowiązkiem klienta jest ustalenie, które zasoby informacyjne są zarządzane przez Atlassian, oraz sklasyfikowanie takich zasobów informacyjnych. Ze swojej strony Atlassian obsługuje klasyfikację informacji w niżej przedstawiony sposób i zgodnie z opisem w naszym standardzie klasyfikacji danych:

  • Dane muszą być klasyfikowane pod względem wymogów prawnych, wartości i poziomu krytyczności dla Atlassian
  • Właściwe postępowanie z danymi wymaga ich identyfikowania, oznaczania oraz aktualizowania na mapie przepływu danych
  • Dane z utylizowanych nośników muszą zostać bezpiecznie usunięte
  • Nośniki zawierające informacje o firmie muszą być zabezpieczone przed nieautoryzowanym dostępem, niewłaściwym użyciem lub uszkodzeniem podczas transportu

10.

Odniesienie do ram postępowania

Wdrożenie środków kontroli

11.

Odniesienie do ram postępowania

21. Podmiot podlegający regulacjom APRA musi posiadać środki kontroli bezpieczeństwa informacji w celu ochrony swoich zasobów informacyjnych, w tym zarządzanych przez podmioty powiązane i strony trzecie, które są wdrażane w odpowiednim czasie i które są współmierne do: a) luk w zabezpieczeniach i zagrożeń dla zasobów informacyjnych; b) krytyczności i wrażliwości zasobów informacyjnych; c) etapu, na którym zasoby informacyjne znajdują się w ich cyklu życia; oraz d) potencjalnych konsekwencji incydentu związanego z bezpieczeństwem informacji

Komentarz Atlassian

Nasze praktyki bezpieczeństwa opisują podejście Atlassian do bezpieczeństwa. Szczegóły dotyczące naszego podejścia podajemy poprzez:

  • włączanie zabezpieczeń do naszej architektury sieciowej; 
  • zabezpieczenie dostępu do naszych sieci w oparciu o zasadę ZeroTrust, która oznacza po prostu: „nigdy nie ufaj, zawsze weryfikuj”; 
  • zabezpieczenie dostępu do naszych systemów i usług;
  • zabezpieczanie naszych urządzeń końcowych; 
  • zapewnianie bezpieczeństwa na poziomie naszych produktów; 
  • zabezpieczenie danych.

12.

Odniesienie do ram postępowania

22. W przypadku gdy zasoby informacyjne podmiotu podlegającego regulacjom APRA są zarządzane przez stronę powiązaną lub stronę trzecią, podmiot podlegający regulacjom APRA musi ocenić projekt środków kontroli bezpieczeństwa informacji tej strony, które chronią zasoby informacyjne podmiotu podlegającego regulacjom APRA.

Komentarz Atlassian

Nasz program zarządzania lukami opisuje podejście Atlassian do wykrywania i obsługi luk w zabezpieczeniach w naszych produktach, w tym kluczowe mechanizmy kontrolne, które stosujemy w celu ochrony informacji naszych klientów.

Wyszczególniliśmy również nasze podejście do zarządzania incydentami związanymi z bezpieczeństwem w naszym systemie.

Wszystkie te zasoby dostarczają podmiotom podlegającym regulacjom APRA szczegółowe informacje na temat naszego projektu środków kontroli bezpieczeństwa w kluczowych obszarach, tak aby mogły one określić, czy ich obowiązki wynikające z CPS 234 są spełnione.

13.

Odniesienie do ram postępowania

Zarządzanie incydentami

14.

Odniesienie do ram postępowania

23. Podmiot podlegający regulacjom APRA musi dysponować rzetelnymi mechanizmami umożliwiającymi terminowe wykrywanie incydentów związanych z bezpieczeństwem informacji i reagowanie na nie.

Komentarz Atlassian

Chociaż określone w CPS 234 obowiązki dotyczące zarządzania incydentami związanymi z bezpieczeństwem są nakładane na podmioty podlegające regulacjom APRA, Atlassian uznaje, że jeżeli taki podmiot korzysta z produktów Atlassian w odniesieniu do niektórych lub wszystkich swoich zasobów informacyjnych, ważną kwestią jest również podejście Atlassian do zarządzania incydentami związanymi z bezpieczeństwem.

Mamy udokumentowaną politykę reagowania na incydenty związane z bezpieczeństwem, która obejmuje następujące kluczowe zasady:

  • Przewidywanie incydentów związanych z bezpieczeństwem i przygotowanie do zareagowania na incydent.
  • Ograniczenie wpływu incydentów, eliminowanie ich i odzyskiwanie po ich wystąpieniu.
  • Inwestowanie w naszych pracowników, procesy i technologie, aby móc pewnie wykrywać i analizować incydenty związane z bezpieczeństwem, jeśli się pojawią.
  • Nadawanie ochronie danych osobowych oraz danych klientów najwyższego priorytetu w przypadku incydentów związanych z bezpieczeństwem.
  • Regularne ćwiczenie procedury reagowania na incydenty związane z bezpieczeństwem.
  • Wyciąganie wniosków z zarządzania incydentami związanymi z bezpieczeństwem i doskonalenie tego obszaru działalności.
  • Informowanie kierownictwa Atlassian o krytycznych incydentach związanych z bezpieczeństwem.
Zgodnie z tą polityką Atlassian utrzymuje plan reagowania na incydenty związane z bezpieczeństwem. Aby zapewnić spójny, powtarzalny i efektywny proces reagowania na incydenty, mamy jasno określone ramy wewnętrzne, które obejmują kroki, jakie musimy podejmować na każdym jego etapie. Mamy udokumentowane i stale aktualizowane porady strategiczne, które szczegółowo określają kroki, jakie musimy podejmować, aby reagować na różne rodzaje incydentów. Aby uzyskać więcej informacji na temat naszego procesu reagowania na incydenty związane z bezpieczeństwem, poznaj Nasze podejście do zarządzania incydentami związanymi z bezpieczeństwem i Obowiązki Atlassian dotyczące incydentów związanych z bezpieczeństwem.

Atlassian ma duże doświadczenie w zakresie terminowego i proaktywnego powiadamiania o incydentach związanych z bezpieczeństwem oraz współpracy z naszymi klientami w sprawie wszelkich niezbędnych środków zaradczych. W naszym Aneksie DPA zobowiązujemy się do informowania klientów o wszelkich incydentach związanych z bezpieczeństwem bez zbędnej zwłoki i do dostarczania w odpowiednim czasie informacji dotyczących incydentu związanego z bezpieczeństwem, gdy sie o nim dowiemy lub zgodnie z uzasadnionym żądaniem klientów, aby umożliwić im wypełnienie obowiązków raportowania naruszenia danych zgodnie z obowiązującymi przepisami o ochronie danych (zgodnie z definicją przyjętą w DPA). W zakresie, w jakim klienci potrzebują tego powiadomienia do celów związanych z zapewnianiem zgodności, zachęcamy ich do podpisania i przesłania Aneksu DPA znajdującego się tutaj.

15.

Odniesienie do ram postępowania

24. Podmiot podlegający regulacjom APRA musi utrzymywać plany reagowania na incydenty związane z bezpieczeństwem informacji, które zdaniem podmiotu mogłyby prawdopodobnie wystąpić (plany reagowania w zakresie bezpieczeństwa informacji).

16.

Odniesienie do ram postępowania

25. Plany reagowania podmiotu podlegającego regulacjom APRA w zakresie bezpieczeństwa informacji muszą obejmować mechanizmy mające na celu (a) zarządzanie wszystkimi istotnymi etapami incydentu, od wykrycia do przeglądu po incydencie; oraz b) eskalację i zgłaszanie incydentów związanych z bezpieczeństwem informacji zarządowi, innym organom zarządzającym i osobom odpowiedzialnym za zarządzanie i nadzór nad incydentami związanymi z bezpieczeństwem informacji, w zależności od sytuacji.

17.

Odniesienie do ram postępowania

26. Podmiot podlegający regulacjom APRA musi corocznie dokonywać przeglądu i testować swoje plany reagowania w zakresie bezpieczeństwa informacji, aby zapewnić ich skuteczność i zgodność z przeznaczeniem.

18.

Odniesienie do ram postępowania

Testowanie skuteczności środków kontroli i audyt wewnętrzny

19.

Odniesienie do ram postępowania

27. Podmiot podlegający regulacjom APRA musi przetestować skuteczność swoich środków kontroli bezpieczeństwa informacji za pomocą programu systematycznych testów. Charakter i częstotliwość systematycznych testów muszą być współmierne do: a) tempa, z jakim zmieniają się luki i zagrożenia; b) krytyczności i wrażliwości zasobów informacyjnych; c) konsekwencji incydentu związanego z bezpieczeństwem informacji; d) ryzyka związanego z narażeniem na środowiska, w których podmiot podlegający regulacjom APRA nie jest w stanie egzekwować swoich polityk bezpieczeństwa informacji; oraz e) istotności i częstotliwości zmian zasobów informacyjnych

Komentarz Atlassian

Skuteczność naszych kontroli bezpieczeństwa jest testowana za pomocą wielu zewnętrznych audytów i weryfikacji, które przeprowadzamy. Podczas gdy każdy klient odpowiada za testowanie skuteczności własnych mechanizmów kontroli bezpieczeństwa informacji i zgłaszanie wszelkich niedoskonałości w zakresie kontroli bezpieczeństwa, które wykryje w ramach swojego wewnętrznego przeglądu, Atlassian udostępnia kilka zasobów dotyczących własnego programu testowego Atlassian, aby pomóc klientom w ustaleniu, czy ich obowiązki wynikające z CPS 234 są spełnione.

Nasze produkty w chmurze regularnie poddawane są niezależnej weryfikacji bezpieczeństwa, prywatności i kontroli zgodności, uzyskując certyfikaty, zaświadczenia o zgodności lub raporty audytu w oparciu o globalne standardy. Zapewniamy klientom dostęp do tych zaświadczeń, certyfikatów zgodności i raportów z audytów (takich jak SOC2 i ISO2700x) w Centrum zasobów na temat zgodności z przepisami, aby umożliwić klientom przeglądanie ich w ramach oceny ryzyka. Każda odpowiednia certyfikacja lub raport z audytu zawiera dodatkowe informacje o stronie certyfikującej lub audytującej.

Nasze centrum zasobów dotyczących zgodności zawiera odniesienia do ram i przepisów prawnych, w których formalne certyfikaty lub zaświadczenia mogą nie być wymagane lub stosowane.

Atlassian stale poprawia przydatność, adekwatność i skuteczność swoich ISMS. Atlassian Trust Management System (ATMS) jest corocznie weryfikowany zarówno wewnętrznie, jak i przez strony trzecie, dzięki czemu klienci Atlassian mogą polegać na walidacji skuteczności ATMS przez stronę trzecią. Zaangażowanie w ciągłe doskonalenie jest opisane wewnętrznie na naszej stronie definicji ATMS oraz służy do rozwijania ATMS i usuwania wszelkich luk.

Dalsze informacje i dane potwierdzające skuteczność naszego podejścia można znaleźć w wielu zasobach w naszym Centrum zaufania:

Atlassian przeprowadza zarówno wewnętrzne/ zewnętrzne kontrole gotowości, jak i audyty zewnętrzne co najmniej raz w roku. Wyniki audytu wewnętrznego nie są udostępniane klientom.

20.

Odniesienie do ram postępowania

28. W przypadku gdy zasoby informacyjne podmiotu podlegającego regulacjom APRA są zarządzane przez stronę powiązaną lub stronę trzecią, a podmiot podlegający regulacjom APRA korzysta z testów kontroli bezpieczeństwa informacji tej strony, podmiot podlegający regulacjom APRA musi ocenić, czy charakter i częstotliwość testowania kontroli w odniesieniu do tych zasobów informacyjnych są współmierne do paragrafów 27 lit. a) —27 lit. e) niniejszej normy Prudential Standard.

21.

Odniesienie do ram postępowania

29. Podmiot podlegający regulacjom APRA musi zgłaszać zarządowi lub kierownictwu wyższego szczebla wszelkie wyniki testów, które wskazują na braki w kontroli bezpieczeństwa informacji, a których nie można usunąć w odpowiednim czasie.

22.

Odniesienie do ram postępowania

30. Podmiot podlegający regulacjom APRA musi zadbać o to, aby testy były przeprowadzane przez odpowiednio wykwalifikowanych i funkcjonalnie niezależnych specjalistów.

23.

Odniesienie do ram postępowania

31. Podmiot podlegający regulacjom APRA musi co najmniej dokonywać przeglądu wystarczalności programu testowego raz w roku lub w przypadku istotnej zmiany zasobów informacyjnych lub otoczenia biznesowego.

24.

Odniesienie do ram postępowania

32. Działania audytu wewnętrznego podmiotu podlegającego regulacjom APRA muszą obejmować przegląd projektu i skuteczności działania środków kontroli bezpieczeństwa informacji, w tym kontroli prowadzonych przez podmioty powiązane i strony trzecie (zapewnienie kontroli bezpieczeństwa informacji).

25.

Odniesienie do ram postępowania

33. Podmiot podlegający regulacjom APRA musi zadbać, by za zapewnienie kontroli bezpieczeństwa informacji odpowiadał odpowiednio wykwalifikowany personel.

26.

Odniesienie do ram postępowania

34. Jednostka odpowiedzialna za audyt wewnętrzny podmiotu podlegającego regulacjom APRA musi ocenić gwarancję kontroli bezpieczeństwa informacji zapewnianą przez stronę powiązaną lub stronę trzecią, jeżeli: a) incydent związany z bezpieczeństwem informacji wpływający na zasoby informacyjne może mieć istotny wpływ finansowy lub niefinansowy na podmiot lub interesy deponentów, właścicieli polis, beneficjentów lub innych klientów; oraz b) audyt wewnętrzny ma polegać na zapewnieniu kontroli bezpieczeństwa informacji przez stronę powiązaną lub stronę trzecią.

27.

Odniesienie do ram postępowania

Powiadomienie APRA

28.

Odniesienie do ram postępowania

35. Podmiot podlegający regulacjom APRA musi powiadomić APRA tak szybko, jak to możliwe, nie później jednak niż 72 godziny po uzyskaniu informacji o incydencie związanym z bezpieczeństwem informacji, który: a) w istotny sposób wpłynął lub mógł wpłynąć finansowo lub niefinansowo na podmiot lub interesy deponentów, właścicieli polis, beneficjentów lub innych klientów; lub b) został przekazany innym organom regulacyjnym w Australii lub innych jurysdykcjach.

Komentarz Atlassian

Atlassian rozumie, jak ważne jest, aby niezwłocznie otrzymywać powiadomienia o każdym naruszeniu danych. Dlatego w Atlassian utworzono rozbudowany, wielofunkcyjny zespół i proces do obsługi incydentów związanych z bezpieczeństwem, jak opisano na naszej stronie Zarządzanie incydentami związanymi z bezpieczeństwem.

Atlassian ma duże doświadczenie w zakresie terminowego i proaktywnego powiadamiania o incydentach oraz współpracy z naszymi klientami nad wszelkimi niezbędnymi środkami zaradczymi. Atlassian zobowiązuje się w swoim Aneksie dotyczącym przetwarzania danych i innych warunkach prawnych do powiadamiania klientów o incydentach związanych z bezpieczeństwem bez zbędnej zwłoki. W zakresie, w jakim klienci potrzebują tego powiadomienia do celów związanych z zapewnianiem zgodności, zachęcamy ich do podpisania i przesłania Aneksu DPA znajdującego się tutaj. Gdy klient zostanie powiadomiony o zdarzeniu przez Atlassian, odpowiada za ustalenie, czy powiadomienie APRA jest wymagane zgodnie z paragrafem 35 CPS 234, a jeśli tak, za powiadomienie APRA w przedziale czasowym 72 godzin, który rozpoczyna się po otrzymaniu przez klienta powiadomienia od Atlassian.

Atlassian prowadzi publiczny program wykrywania błędów w naszych produktach za pośrednictwem naszego partnera Bugcrowd, aby pomóc klientom na bieżąco śledzić wszelkie luki, które mogą mieć wpływ na nasze produkty. Ważne aktualizacje są dostarczane klientom za pośrednictwem Statuspage. Ponadto, jeśli klient zdecyduje się na zakup planu „Premium” lub „Enterprise” dla dowolnego produktu Jira Software Cloud, Jira Service Management Cloud lub Confluence Cloud, zyska możliwość skorzystania z naszej rozszerzonej gwarancji wydajności, w ramach której zobowiązujemy się nie zmniejszać w istotny sposób funkcjonalności ani ogólnego bezpieczeństwa produktu w chmurze w okresie obowiązywania subskrypcji. Jeśli otrzymamy od klienta roszczenie w zakresie rozszerzonej gwarancji wydajności związanej z bezpieczeństwem produktu w chmurze i nie możemy usunąć niezgodności, powiadomimy o tym klienta. Gdy klient otrzyma to powiadomienie, odpowiada za ustalenie, czy powiadomienie do APRA jest wymagane zgodnie z paragrafem 36 CPS 234, a jeśli tak, za powiadomienie APRA w przedziale czasowym 10 dni roboczych, który rozpoczyna się po otrzymaniu przez klienta powiadomienia od Atlassian.

29.

Odniesienie do ram postępowania

36. Podmiot podlegający regulacjom APRA musi powiadomić APRA jak najszybciej, nie później jednak niż 10 dni roboczych po uzyskaniu informacji o istotnym słabym punkcie w zakresie kontroli bezpieczeństwa informacji, co do której podmiot spodziewa się, że nie będzie jej w stanie w odpowiednim czasie usunąć.