APRA 保诚标准 CPS 234 外包指南

15.受 APRA 监管的实体必须保持与其信息资产所受威胁的规模和程度相称的信息安全能力，以便该实体能够持续正常运作。

此项具体取决于客户的考量。有关 Atlassian 安全功能的信息，请参阅第 3 行。

16.如果信息资产由关联方或第三方管理，则受 APRA 监管的实体必须评估此方的信息安全能力，以确保其与影响这些资产的信息安全事件的潜在后果相称。

作为受 APRA 监管的实体的云产品提供商，Atlassian 维护有与我们所面临威胁的规模和程度相称的强大信息安全计划。我们提供了一些资源，这些资源提供了有关 Atlassian 信息安全能力的设计、实施和运行的详细信息。归根结底，受 APRA 监管的实体有责任使用这些信息来评估 Atlassian 的产品是否符合他们的要求：

• 合规资源中心—提供有关我们的安全、第三方审计和认证的详细信息的资源，所有这些信息均可用于支持客户的合规需求
• Atlassian Trust Center—Atlassian 为您提供有关我们产品和服务的安全性、可靠性、隐私性和合规性的最新信息。
• 安全实践页面—有效的安全方法首先要确保自身的安全性。该资源通过以下方式提供我们如何确保自身安全性的详细信息：
  • 在网络架构中内建安全性
  • 通过零信任保护对我们网络的访问，简而言之，就是“从不信任，始终验证”
  • 保护对我们系统和服务的访问
  • 保护端点设备
  • 构建安全的设计和测试流程

• 推出了带现金奖励的缺陷赏金计划，以此激励外部研究人员找出我们产品中的漏洞。作为我们开放和透明计划的一部分，欢迎大家访问我们的缺陷赏金计划页面，注册参加该计划并考验我们的工作成果。
• 鼓励客户报告漏洞，并致力于修复我们安全缺陷修复政策中概述的相关服务水平目标 (SLO) 内的安全漏洞。
• 定期聘请专业安全咨询公司对我们的高风险产品和基础架构进行渗透测试，并在我们的外部安全测试方法中发布渗透测试合作伙伴的评估函。
• 允许客户进行安全评估（渗透测试和漏洞评估），但须遵守旨在确保我们产品对所有客户安全的某些规则。

17.受 APRA 监管的实体必须积极保持其应对漏洞和威胁变化的信息安全能力，其中包括因信息资产或业务环境变化而产生的漏洞和威胁。

受 APRA 监管的实体可以使用第 3 行的资源和信息，根据其存储在 Atlassian 产品和平台中的信息资产评估我们的信息安全能力。

18.受 APRA 监管的实体必须维护与其所面临漏洞和威胁相称的信息安全政策框架。

此项具体取决于客户的考量。就 Atlassian 而言，我们已经记录了一个信息安全政策框架，该框架的结构涵盖了 ISO 27001 标准和云安全联盟 (CSA) 云控制矩阵 (CCM) 中包含的领域。

我们的政策管理计划 (PMP) 包括与所有权、可用性和审查周期相关的义务，并概述了我们的总体目标。我们的政策至少每年会审查一次，并由高管层批准。有关我们 PMP 的更多信息，请访问我们的 Atlassian Trust Management System (ATMS)。

我们还在 Atlassian 安全与技术政策中发布了每项主要安全和技术政策的摘录和摘要。

19.受 APRA 监管的实体的信息安全政策框架必须为所有有义务维护信息安全的各方的责任提供相关指导。

我们的人员安全政策规定了管理 Atlassian 人员安全的一般原则和准则。这突出表明，我们的职位定义中会概述安全责任。此外，我们安全政策套件中的每项政策都涵盖了适用于特定工作职能或团队且更详细的各个职责方面。

Atlassian Cloud 安全性共同责任白皮书概述了客户的责任以及他们在决定如何保护数据时必须做出的决策。

20.受 APRA 监管的实体必须按重要性和敏感性对其信息资产（包括由关联方和第三方管理的资产）进行分类。这种分类必须反映影响信息资产的信息安全事件在多大程度上可能对实体或存款人、保单持有人、受益人或其他客户的利益产生财务或非财务影响。

由于客户有责任决定使用哪些 Atlassian 产品以及用于什么目的，因此客户有责任确定哪些信息资产由 Atlassian 管理，并将所有此类信息资产进行分类。就 Atlassian 而言，我们将按以下方式处理信息分类，并在我们的数据分类标准中进行说明：

• 必须根据法律要求、价值以及对 Atlassian 的重要性对数据进行分类
• 必须对数据进行标识和标记，并在数据流图中保持最新，以确保正确处理
• 必须安全地删除正在处置的介质
• 包含公司信息的介质必须受到保护，防止在运输过程中遭到未经授权的访问、滥用或损坏

21.受 APRA 监管的实体必须有信息安全控制措施来保护其信息资产，其中包括由关联方和第三方管理的信息资产，同时这些控制措施必须及时实施并与以下内容相称：(a) 信息资产的漏洞和威胁；(b) 信息资产的重要性和敏感性；(c) 信息资产所处生命周期的阶段；以及 (d) 信息安全事件的潜在后果

我们的安全实践描述了 Atlassian 的安全方法。我们通过以下方式提供我们所用方法的详细信息：

• 在网络架构中内建安全性
• 通过零信任保护对我们网络的访问，简而言之，就是“从不信任，始终验证”
• 保护对我们的系统和服务的访问
• 保护端点设备安全
• 保护产品安全
• 保护数据安全

22.如果受 APRA 监管的实体的信息资产由关联方或第三方管理，则受 APRA 监管的实体必须评估该方保护受 APRA 监管的实体信息资产的信息安全控制设计。

我们的漏洞管理计划描述了 Atlassian 检测和处理我们产品中安全漏洞的方法，其中包括我们为保护客户信息而采取的关键控制措施。

我们还详细介绍了在整个系统中管理安全事件的方法。

这些资源共同为受 APRA 监管的实体提供了有关我们在关键领域设计安全控制措施的详细信息，以便他们可以确定自己的 CPS 234 义务是否得到履行。

23.受 APRA 监管的实体必须有强大的机制来及时发现和应对信息安全事件。

尽管 CPS 234 中有关管理安全事件的义务规定是由受 APRA 监管的实体承担的，但 Atlassian 认识到，如果此类实体在其部分或全部信息资产上使用 Atlassian 产品，则 Atlassian 的安全事件管理方法也是一个重要的考虑因素。

我们有一份记录在案的安全事件响应政策，其中包括以下关键原则：

• 预测安全事件并为事件响应做好准备
• 遏制、消除事件，并从事件中恢复
• 投资我们的员工、流程和技术，以确保我们有能力在安全事件发生时进行检测和分析
• 发生安全事件时，将保护个人数据和客户数据作为重中之重
• 定期执行安全事件响应流程
• 汲取教训并改进安全事件管理功能
• 向 Atlassian 领导层传达重大安全事件。

24.受 APRA 监管的实体必须制定计划，以应对该实体认为可能发生的信息安全事件（信息安全应对计划）。

25.受 APRA 监管的实体的信息安全应对计划必须包括以下现有机制：(a) 管理事件的所有相关阶段，从发现到事后审查；(b) 酌情向董事会、其他管理机构和负责信息安全事件管理与监督的个人上报和报告信息安全事件。

26.受 APRA 监管的实体必须每年审查和测试其信息安全应对计划，以确保这些计划保持有效并与目标相符。

27.受 APRA 监管的实体必须通过系统的测试计划测试其信息安全控制的有效性。系统测试的性质和频率必须与以下内容相称：(a) 漏洞和威胁的变化速度；(b) 信息资产的重要性和敏感性；(c) 信息安全事件的后果；(d) 与受 APRA 监管的实体无法执行其信息安全政策的环境相关的风险；(e) 信息资产变更的实质性和频率

我们的安全控制的有效性是通过我们进行的多次外部审计和验证来测试的。虽然每位客户都有责任测试其自身信息安全控制措施的有效性并上报其在内部审查中发现的所有安全控制缺陷，但 Atlassian 提供了与 Atlassian 自己的测试计划相关的多种资源，以帮助客户确定其 CPS 234 义务是否得到履行。

我们的云产品会定期对其安全性、隐私和合规性控制进行独立验证，获得符合全球标准的认证、合规性证明或审计报告。我们在合规资源中心为客户提供访问这些证明、合规证书和审计报告（例如 SOC2 和 ISO 2700x）的权限，以便客户在风险评估中对其进行审查。每份相关的认证或审计报告都包含有关认证方或审计方的其他信息。

我们的合规资源中心还包含针对框架和法律的控制对应信息，而在这些框架和法律中可能不需要或不适用正式的认证或证明。

Atlassian 不断提高其 ISMS 的适用性、充分性和有效性。Atlassian Trust Management System (ATMS) 每年接受一次内部和第三方审查，因此 Atlassian 客户可以信赖针对 ATMS 有效性的第三方验证。我们的 ATMS 定义页面内部概述了持续改进的承诺，旨在随着时间的推移不断发展 ATMS 并填补所有空白。

您可在我们 Trust Center 的多个资源中找到更多信息以及对我们所用方法的验证 -

• ISO 27001 认证
• SOC 2 认证
• 所有证明和认证

28.如果受 APRA 监管的实体的信息资产由关联方或第三方管理，并且受 APRA 监管的实体依赖该方的信息安全控制测试，则受 APRA 监管的实体必须评估这些信息资产控制测试的性质和频率是否与本保诚标准第 27(a) 至 27(e) 段相称。

29.受 APRA 监管的实体必须上报经识别存在无法及时补救的信息安全控制缺陷的所有测试结果，并将其报告给董事会或高管层。

30.受 APRA 监管的实体必须确保该测试由具有适当技能且职能独立的专员来完成。

31.受 APRA 监管的实体必须至少每年或在信息资产或商业环境发生重大变化时审查测试计划的充分性。

32.受 APRA 监管的实体的内部审计活动必须包括对信息安全控制的设计和运作有效性的审查，包括由关联方和第三方维护的控制措施（信息安全控制保证）。

33.受 APRA 监管的实体必须确保由具有提供此类保证的适当技能的人员提供信息安全控制保证

34.在以下情况下，受 APRA 监管的实体的内部审计职能必须评估关联方或第三方提供的信息安全控制保证：(a) 对实体或存款人、保单持有人、受益人或其他客户的利益产生重大影响或可能产生重大财务或非财务影响的信息安全事件；以及 (b) 内部审计打算依赖关联方或第三方提供的信息安全控制保证。

35.受 APRA 监管的实体在得知以下信息安全事件后，必须尽快通知 APRA，且无论如何不得迟于 72 小时：(a) 对实体或存款人、保单持有人、受益人或其他客户的利益产生重大影响或可能产生重大的财务或非财务影响；或 (b) 已通知澳大利亚或其他司法管辖区的其他监管机构。

Atlassian 了解及时收到所有数据泄露通知对您来说有多重要。这就是 Atlassian 建立庞大跨职能团队和流程来处理安全事件的原因所在，正如我们的安全事件管理页面所述。

Atlassian 在及时主动通知事件以及与客户合作采取任何必要缓解措施方面有着良好的记录。Atlassian 在其数据处理附录和其他法律条款中承诺毫不拖延地将安全事件通知客户。如果客户出于合规目的需要此通知，我们鼓励他们签署并提交此处的 DPA。Atlassian 将事件通知客户后，客户负责决定是否需根据 CPS 234 第 35 段通知 APRA。如果需要，则客户应负责在 72 小时内通知 APRA，该时限从客户收到 Atlassian 的通知之时开始计算。

Atlassian 通过我们的合作伙伴 Bugcrowd 为我们的产品实施公共缺陷赏金计划，以帮助客户随时了解可能影响我们产品的所有漏洞。我们将通过 Statuspage 向客户提供材料更新。此外，如果客户选择购买任何 Jira Software Cloud、Jira Service Management Cloud 或 Confluence Cloudt 的“Premium”或“Enterprise”计划，他们将享受我们的增强性能担保，即在适用的订阅期内，我们不会大幅降低云产品的功能或整体安全性。如果我们收到客户提出的与云产品安全性相关的扩展性能保修索赔，但我们无法纠正此不合规情况，我们将通知客户。客户收到此通知后，客户有责任决定是否需根据 CPS 234 第 36 段通知 APRA。如果需要，客户应负责在 10 个工作日内通知 APRA，该时限从客户收到 Atlassian 的通知之时开始计算。

36.受 APRA 监管的实体在意识到重大信息安全控制漏洞且预计无法即使修复该漏洞时，必须尽快通知 APRA，且无论如何不得迟于 10 个工作日。