Close

Atlassian의 일반 컨트롤 프레임워크


많은 회사들처럼 Atlassian은 제품 개발 및 운영 환경에 적용할 수 있는 여러 국제 관리 표준을 가지고 있습니다. Atlassian은 이러한 여러 독립적인 표준 간 중복되는 부분을 평가하고 그러한 표준을 내부 환경에 적용하는 단일 보기를 확보하기로 결정했습니다. 이러한 표준을 적용하는 주요 환경은 클라우드 호스팅 플랫폼이며, Atlassian은 고객과 고객의 데이터를 보호하기 위해 적절한 노력을 기울이고 있음을 분명히 보여주어야 할 필요성을 인지하고 있습니다. 그러나 이러한 모든 표준이 모든 환경에 적용 가능한 것은 아닙니다. 예를 들어, 사베인스 옥슬리 법(SOX)은 재무 보고서를 지원하는 시스템에 초점을 맞추고 있으며 클라우드 서비스에서 부수적인 부분에 불과합니다. 우리가 평가하는 표준과 그 이유를 살펴보겠습니다.

적용 가능한 국제 표준

아래에는 Atlassian이 내부 일반 컨트롤 프레임워크에 통합한 표준의 목록이 나와 있습니다.

Standard

후원

ISO 27001

International Organization for Standardization

ISO27002

International Organization for Standardization

ISO 27018

International Organization for Standardization

SOC2

AICPA(American Institute of Certified Public Accountants)

NIST SP 800-53 Rev 4

국립 표준기술연구소

FedRAMP

미국 연방 정부

CSA CCM

Cloud Security Alliance

HIPAA

미국 연방 정부

SOX 404(IT)

미국 연방 정부

PCI DSS

PCI 보안 표준 위원회

일반 컨트롤 프레임워크

위의 표에서 볼 수 있듯이 일련의 서로 다른 고유한 요구 사항이 있으며 그중 상당수는 동일한 환경, 시스템 또는 팀에 적용됩니다. Atlassian의 팀에 관하여 이러한 표준의 유사성과 겹치는 부분을 더 쉽게 이해할 수 있도록 Atlassian은 각 컨트롤 요구 사항을 평가하고 중복되는 부분, 즉 각 표준이 기본적으로 동일한 영역을 평가하는 부분을 식별했습니다. 그 결과 각 표준에 쉽게 매핑되는 일반 컨트롤 프레임워크를 구축했습니다.

결론

팀이 "여러 번 평가, 한 번 수행"의 사고방식을 활용하려면 Atlassian 일반 컨트롤 프레임워크를 구성하는 것이 중요했습니다. Atlassian은 여러 팀에 여러 번 요청하는 대신, 전체 회사가 요구 사항과 조직의 각 부분이 집합적으로 모든 고객에게 신뢰를 제공하는 방식을 이해할 수 있도록 이 프레임워크의 효율성을 활용하여 컨트롤을 구성하고 적용할 곳을 정의했습니다.