Atlassian クラウド NIS2 & DORA

EU規制における事業継続と回復力の要件を満たすための手引書。

NIS2とDORAの規制は、インシデント対応から脅威の防止まで、幅広い要件をカバーしている。しかし、データ保護に限って言えば、多くの企業は事業継続と回復力の要件を満たす準備ができていません。実際、多くの企業は、SaaS アプリケーションのコンプライアンスとデータ保護に責任を負っていることを認識していない！

NIS2およびDORAのBC/DRおよびデジタル耐障害性要件を満たす

事業継続性、バックアップ、テストは、NIS2とDORAで満たさなければならない重要な要件である。

スタート

リスク評価：

• すべてのICTサービス（例：Atlassian クラウド、AWS、Salesforce など）を特定し、マッピングするためのフレームワークを作成する。
• 監査テンプレートを活用または構築して、セキュリティ、検出、対応、事業継続にわたって各ICTを評価する。
• Atlassianおよびその他のビジネスアプリケーション全体で、データ保護の運用を担当する特定の利害関係者を割り当てる。
• ICTの継続的モニタリングのためのツールを活用し、全部門にわたる技術スタックの変更を定期的に文書化する。
• NIS2およびDORAの要件に準拠していることを証明する文書や記録を管理し、監査や検査に備える。

バックアップの要件

• Atlassian クラウドの各インスタンスとアプリケーションのバックアップを毎日スケジュールします。
• 停電やサイバー脅威に備え、バックアップ・コピーに確実にアクセスできるようにする。
• アプリケーションに応じてバックアップの最小頻度を定義する。
• バックアップシステムがAtlassianの外部で実行され、Atlassianから切り離されていることを確認します。
• S3 互換のストレージに、Atlassian以外のオフサイトにバックアップを保存します。
• サイバーイベントに備えて、バックアップ・ストレージ・ターゲットの不変性を有効にする。
• バックアップ・ストレージ・サイトは、レジデンシー要件を満たしていなければならない（該当する場合）。
• バックアップの完全性と機密性を保護するために、多要素認証、暗号化、ネットワークセグメンテーションを導入し、維持する。

事故対応と復旧：

• アプリケーションのクリティカルな性質に比例して、リカバリSLAを割り当てる。
• さまざまな事故シナリオに対応するテンプレートを含む災害復旧計画を策定し、定期的に更新する。これらの計画が包括的で、組織のニーズに合ったものであることを確認する。
• 定期的な研修とシミュレーションを実施し、インシデント対応に対する職員の準備態勢を強化する。効果的な事故管理のための役割、責任、行動に焦点を当てる。

実証可能なリカバリーとレポート

• NIS2およびDORAの要件に準拠していることを証明する文書や記録を管理し、監査や検査に備える。
• バックアップとリカバリ活動の継続的なモニタリングとリアルタイムレポート作成のための高度なツールを活用し、意思決定とインシデント対応能力を強化します。

以下のチェックリストをダウンロードして、データを管理しよう。

その他のリソース

• NIS2とDORAの要件
  
• Atlassianにおける責任
• HYCU forConfluence 無料トライアル
• HYCU for Jira 無料トライアル