セキュリティアシュアランス

セキュリティアシュアランスのミッションとビジョン

私たちのミッションは、GitLab（プラットフォームと会社）が安全であるという高いレベルのアシュアランスを提供することです。

私たちのビジョンは、AI と自動化を活用した、協力的で透明性のあるセキュリティアシュアランスプログラムによって、内外で認められる信頼されたセールスイネーブルメントパートナーであることです。これは 10 の戦略的目標を通じて達成されます:

1. GitLab を DevSecOps と AI のソートリーダーとして確立する。
2. セールスサイクルを加速し、セールスが新規顧客を獲得し、顧客チャーンを削減できるようにする。
3. セキュリティアシュアランスを戦略的なビジネス目標に整合させ、継続的な整合性のための監督を発展させる
4. 自動化されカスタム構築されたソリューションを通じて、セキュリティアシュアランスの効率と有効性を強化する
5. GitLab の外部セキュリティブランドを拡大し改善するための戦略的イニシアチブを促進する。
6. クロスファンクショナルな協力、戦略的優先順位付け、そしてデータセキュリティとレジリエンスプログラムに対するガバナンスを含む先回り的な軽減を通じて、セキュリティリスクを特定、管理、削減する。
7. 規制および業界固有の要件との整合を通じて、競争優位性を維持し顧客獲得を可能にするための先回り的なコンプライアンスイニシアチブ。
8. 一貫した測定と実行可能なレポーティングを伴う反復可能でスケーラブルなプロセスを通じて、成功した、タイムリーで、コスト効率の良いプログラムとプロジェクトの開始、管理、提供を可能にする部門内協力。
9. 実行可能なフィードバックの意図的な使用と提供を通じて、製品開発と機能拡張に影響を与える。
10. コンプライアンス調査結果の効果的かつ効率的な特定と修復を可能にする部門内および部門間の協力。

セキュリティアシュアランス部門の構造

セキュリティアシュアランス部門には 4 つのチームがあります。

コアコンピテンシー

フィールドセキュリティのコアコンピテンシー

• セールストレーニング（セキュリティ）
• セールスイネーブルメント（セキュリティ）
• カスタマーアシュアランス（セキュリティ）
• セキュリティエバンジェリゼーション

セキュリティガバナンスのコアコンピテンシー

• セキュリティポリシー、標準、制御の維持
• セキュリティアシュアランスメトリクス
• 規制ランドスケープモニタリング
• セキュリティ意識とトレーニング
• セキュリティアシュアランスアプリケーション管理
• セキュリティアシュアランス自動化

セキュリティリスクのコアコンピテンシー

• セキュリティ第三者リスク管理
• 階層 2 オペレーショナルセキュリティリスク管理
• ビジネスインパクトアセスメント
• 重要システム階層化

セキュリティコンプライアンスのコアコンピテンシー

• 継続的制御モニタリング
• セキュリティ認証とアテステーション
• ユーザーアクセスレビュー（非 SOX）
• 制御不全と階層 3（システムレベル）リスクの観察管理
• セキュリティアシュアランスシステム受け入れ

コアツールとシステム

セキュリティアシュアランスサブ部門は、日々の活動を遂行するためにさまざまなツールを利用しています。システム管理者は以下を担当します:

• 設定変更
• オンボーディング／オフボーディング／異動（つまりアクセス）
• アップグレード／パッチ／インシデント
• 新環境への移行
• バックアップからのリストア
• 管理者レベルの監査証拠
• 品質監督（限定的なスコープ）

その他すべてのアクションは、割り当てられた DRI の責任です。 内部ハンドブックページはこちらを参照してください

チームへの連絡

• #security-help Slack チャンネルに参加し、@security-assurance をタグ付けする
• メール: [email protected]

チーム README

• Byron の README

参考資料

顧客を念頭に置いて構築されたこれらの素晴らしいセキュリティリソースをチェックしてください:

• GitLab のカスタマーアシュアランスパッケージ
• GitLab のセキュリティ - トラストセンター
• GitLab のセキュリティチームページ

ページのソースコードを見る - ページの編集 - please contribute.