Close
是否使用您的语言查看此页面?
所有语言
选择您的语言

Atlassian Trust Management System (ATMS)

Atlassian Trust Management System (ATMS) 简介

在 Atlassian,我们对秉持的公司价值观感到非常自豪。这些价值观为我们所做的一切指引方向。其中尤为突出的一条是开放的公司,绝无虚言,它所代表的含义与我们“价值观”页面上的描述完全一致:

我们知道,表达内心想法需要平等的智慧(说什么)、体贴(什么时候说)和关怀(怎么说)。

根据客户持续反馈来的心声,他们希望进一步了解我们是如何经营企业和操作业务的。因此,我们想要花点时间给您分享,我们是如何运行我们的信任管理计划的,或者如 ISO27001 安全管理标准中所述,Atlassian Trust Management System (ATMS)。

结构化管理计划的重要性?

无论是评估质量管理系统、缺陷管理系统、Kaizen 持续改善方法,还是结构化能力成熟度衡量方法,管理系统都有其价值。这些管理计划经过了现场测试、发布、同行评审和完善。我们的 Atlassian Trust Management Program 基于 ISO27001 信息安全管理系统标准。ISO27001 标准的基本思想是:

此国际标准可供内外部各方用于评估组织满足自身信息安全要求的能力。

国际标准的价值在于指导(而非“必须如此”)

与任何组织一样,特别是负责托管和处理客户数据的组织,客户难免会对 Atlassian 作为云服务提供商在客户数据安全和保密上是否尽心尽责提出许多疑问。任何考虑使用云服务的客户都会在选择托管任何关键应用程序或服务时面临类似的决定。

我们的客户各自都有一套安全要求,但 Atlassian 的信任管理计划将这些安全要求全部纳入考量,形成一系列适用于我们公司和环境的独特要求。借助 ISO27001 的规划、运营、绩效评估和改进方法,我们持续评估计划运作情况,并对计划进行不断改进,从而纳入新的威胁,思考新的要求,或提高我们运营的整体绩效。

我们将国际标准作为一套完善的指导方针进行评估,并考虑每一项控制措施,以及这些控制措施是否适合我们的特定环境。在衡量这些国际标准对我们环境的总体适用性时,我们采取了类似的方法。

政策管理计划

Atlassian Trust Management System 的基础是我们的政策管理计划 (PMP)。它由一系列政策构成,涵盖 ISO27001 标准以及云安全联盟 (CSA) 的云控制矩阵 (CCM) 中列出的领域。我们在政策管理计划中纳入了几条基本原则:

  • 公开发布,随时查阅 - 我们不喜欢猜来猜去,而是明明白白地制定团队应达到的标准
  • 受到安全团队支持,方便您符合规范 - 我们随时为团队和自身提供帮助
  • 概述我们的安全目标 - 我们喜欢制定明确的目标
  • 致力于履行法定义务 - 我们不想犯罪坐牢
  • 注重持续迭代和改进 - 我们会继续评估环境和计划中的风险,并反映到我们的政策中
  • 提供例外流程 - 适用于团队在短时间内毫无机会和方法遵守相关政策时
  • 每年审查 - 包括在观察到新威胁和风险时更新我们的政策

阅读我们的技术政策的概述与摘录。

风险管理计划

为不断地衡量我们环境和产品面临的风险,我们会持续进行风险评估。在许多情况下,尤其是对于我们的产品,这些评估都是以技术风险评估或代码审查的形式进行。不过,我们也会对整个产品堆栈或组织的一部分进行评估,以发现更高层面的业务风险。一般而言,我们采用 ISO27005 或 ISO31010 风险管理方法,并将该方法应用于一个特定范围。我们的风险管理计划包括:

  • 开展风险评估活动 - 包括执行风险评估和协助风险应对决策。例如,确定范围和范围内资产、识别风险、评估影响和可能性,以及审查和报告风险等。
  • 监控和报告安全风险管理项目 - 持续监控和报告旨在管理安全风险的计划或项目。
  • 支持 SMP - 将持续的风险评估作为一种机制以改善环境,同时确保实施的安全控制措施能有效管理已发现的安全风险。

如需更多信息,请参阅我们的企业风险管理计划

Atlassian Trust Management Forum (ATMF)

最后,我们维护一个结构化的信任管理论坛,它囊括了我们信任计划的各个支柱的代表,确保我们不仅应用安全控制措施,还会应用可靠性、隐私和合规性控制措施,另外也提供有关如何管理这些支柱的风险的内容。我们安排了不同的论坛会议,以确保覆盖特定的主题并投入适当的资源。

ATMF 的宗旨是:

  • 达成一致的优先工作和行动,以保护 Atlassian 和客户免受安全威胁的危害
  • 领导并推动各个业务部门的活动,以解决可能引发攻击的缺陷或漏洞
  • 向工作组提供关键安全风险与合规计划方面的指导和支持
  • 在整个组织中倡导安全意识文化

我们定期召开以下论坛会议:

  • ATMF:管理审查(每年一次 - 根据年度预算)
  • ATMF:资源审查(每年一次 - 根据年度预算)
  • ATMF:风险审查(每季度一次)
  • ATMF:安全状况审查(每月一次)
  • ATMF:合规状况审查(每月一次)
  • ATMF:管理审查(每周一次 - 各个职能团队都有管理审查)

这些会议的结构和频率确保了我们不断检讨我们的威胁概况以及我们对这些威胁的应对措施。

组织的种类林林总总,管理安全组织的方法也各不相同。在 Atlassian,我们自认已制定了一个灵活、敏捷的计划,其结构也足以确保我们评估和应对我们与客户面临的新威胁及风险。