Close

Common Controls Framework von Atlassian


Wie viele andere Unternehmen auch verfügt Atlassian über einige internationale Kontrollstandards, die auf unsere Produktentwicklung und unsere Betriebsumgebung angewandt werden. Wir haben uns entschieden, Überlappungen zwischen vielen dieser unabhängigen Standards zu prüfen, um sicherzustellen, dass wir eine zentrale Ansicht für die Anwendung dieser Standards auf unsere internen Umgebungen haben. Die primäre Umgebung, auf die wir diese Standards anwenden, ist unsere Cloud-Hosting-Plattform, da wir zeigen möchten, dass wir geeignete Maßnahmen ergreifen, um unsere Kunden und ihre Daten zu schützen. Allerdings sind nicht alle Standards auf alle Umgebungen anwendbar. Beispielsweise liegt das Hauptaugenmerk des Sarbanes-Oxley Act (SOX) auf Systemen, die unsere Finanzberichterstattung unterstützen. Da sind unsere Cloud-Services bestenfalls sekundär. Sehen wir uns die Standards, die wir bewerten, und die Gründe für die Bewertung einmal näher an.

Anwendbare internationale Standards

Es folgt eine Liste mit Standards, die wir in unserem internen Common Controls Framework implementiert haben:

Standard

Sponsor

ISO 27001

Internationale Organisation für Normung (International Organization for Standardisation, ISO)

ISO 27002

Internationale Organisation für Normung (International Organization for Standardisation, ISO)

ISO 27018

Internationale Organisation für Normung (International Organization for Standardisation, ISO)

SOC2

American Institute of Certified Public Accountants (AICPA)

NIST SP 800-53 Rev 4

National Institute of Standards and Technology

FedRAMP

US-Bundesregierung

CSA CCM

Cloud Security Alliance

HIPAA

US-Bundesregierung

SOX 404 (IT)

US-Bundesregierung

PCI DSS

PCI Security Standards Council

Common Controls Framework

Wie du der obigen Tabelle entnehmen kannst, gibt es eine Reihe verschiedener Anforderungen, von denen viele auf dieselben Umgebungen, Systeme oder Teams angewendet werden. Um unseren Teams diese Überlappungen und Ähnlichkeiten von vielen dieser Standards verständlicher zu machen, haben wir jede der Kontrollanforderungen geprüft und ermittelt, wo es Überlappungen gibt, also an welcher Stelle jeder der Standards im Wesentlichen dieselbe Domäne evaluiert. Demzufolge haben wir ein Common Controls Framework erstellt, das sich jedem der Standards einfach zuordnen lässt.

Fazit

Die Organisation des Common Controls Framework von Atlassian war nötig, damit unsere Teams dem Credo "mehrmals prüfen, einmal durchführen" folgen konnten. Anstatt mehrere unterschiedliche Teams mehrere Male zu fragen, nutzten wir dieses effiziente Framework, um festzulegen, wo wir Kontrollen organisieren und anwenden könnten. Schließlich sollte das gesamte Unternehmen die Anforderungen verstehen und erkennen können, wie jeder Teil unserer Organisation im Kollektiv arbeiten, um all unseren Kunden sichere und zuverlässige Lösungen bereitzustellen.