Common Controls Framework von Atlassian
Wie viele andere Unternehmen auch verfügt Atlassian über einige internationale Kontrollstandards, die auf unsere Produktentwicklung und unsere Betriebsumgebung angewandt werden. Wir haben uns entschieden, Überlappungen zwischen vielen dieser unabhängigen Standards zu prüfen, um sicherzustellen, dass wir eine zentrale Ansicht für die Anwendung dieser Standards auf unsere internen Umgebungen haben. Die primäre Umgebung, auf die wir diese Standards anwenden, ist unsere Cloud-Hosting-Plattform, da wir zeigen möchten, dass wir geeignete Maßnahmen ergreifen, um unsere Kunden und ihre Daten zu schützen. Allerdings sind nicht alle Standards auf alle Umgebungen anwendbar. Beispielsweise liegt das Hauptaugenmerk des Sarbanes-Oxley Act (SOX) auf Systemen, die unsere Finanzberichterstattung unterstützen. Da sind unsere Cloud-Services bestenfalls sekundär. Sehen wir uns die Standards, die wir bewerten, und die Gründe für die Bewertung einmal näher an.
Anwendbare internationale Standards
Es folgt eine Liste mit Standards, die wir in unserem internen Common Controls Framework implementiert haben:
Standard | Sponsor |
ISO 27001 | Internationale Organisation für Normung (International Organization for Standardisation, ISO) |
ISO 27002 | Internationale Organisation für Normung (International Organization for Standardisation, ISO) |
ISO 27018 | Internationale Organisation für Normung (International Organization for Standardisation, ISO) |
SOC2 | American Institute of Certified Public Accountants (AICPA) |
NIST SP 800-53 Rev 4 | National Institute of Standards and Technology |
FedRAMP | US-Bundesregierung |
CSA CCM | Cloud Security Alliance |
HIPAA | US-Bundesregierung |
SOX 404 (IT) | US-Bundesregierung |
PCI DSS | PCI Security Standards Council |
Common Controls Framework
Wie du der obigen Tabelle entnehmen kannst, gibt es eine Reihe verschiedener Anforderungen, von denen viele auf dieselben Umgebungen, Systeme oder Teams angewendet werden. Um unseren Teams diese Überlappungen und Ähnlichkeiten von vielen dieser Standards verständlicher zu machen, haben wir jede der Kontrollanforderungen geprüft und ermittelt, wo es Überlappungen gibt, also an welcher Stelle jeder der Standards im Wesentlichen dieselbe Domäne evaluiert. Demzufolge haben wir ein Common Controls Framework erstellt, das sich jedem der Standards einfach zuordnen lässt.
Fazit
Die Organisation des Common Controls Framework von Atlassian war nötig, damit unsere Teams dem Credo "mehrmals prüfen, einmal durchführen" folgen konnten. Anstatt mehrere unterschiedliche Teams mehrere Male zu fragen, nutzten wir dieses effiziente Framework, um festzulegen, wo wir Kontrollen organisieren und anwenden könnten. Schließlich sollte das gesamte Unternehmen die Anforderungen verstehen und erkennen können, wie jeder Teil unserer Organisation im Kollektiv arbeiten, um all unseren Kunden sichere und zuverlässige Lösungen bereitzustellen.