Close

Atlassian 通用控制框架


与许多公司一样,Atlassian 需要遵守适用于我们产品开发和运营环境的若干国际控制标准。我们决定对这些独立标准之间的重叠情况进行评估,并确保我们对这些标准如何应用于内部环境达成统一认识。应用这些标准的主要环境是我们的云托管平台。我们理解,我们需要展现出我们正在采取适当举措来保护我们的客户及其数据。但是,并非所有标准对所有环境皆适用。例如,Sarbanes-Oxley (SOX) 主要针对支持我们财务报告的那些系统,而我们的云服务是次要的。以下是我们评估的标准以及原因。

适用的国际标准

下表列出了我们纳入内部通用控制框架的各项标准:

Standard

赞助商

ISO27001

国际标准化组织

ISO27002

国际标准化组织

ISO27018

国际标准化组织

SOC2

美国注册会计师协会 (AICPA)

NIST SP 800-53 Rev 4

美国国家标准与技术研究所

FedRAMP

美国联邦政府

CSA CCM

云安全联盟

HIPAA

美国联邦政府

SOX 404 (IT)

美国联邦政府

PCI DSS

PCI 安全标准委员会

通用控制框架

如上表所示,我们有一系列不同的要求,其中不少应用于相同的环境、系统或团队。为了方便团队理解这些标准之间的重叠与相似之处,我们评估了每一项控制要求,确定了存在重叠的地方(即,各项标准评估的对象基本均为同一领域)。因此,我们制定了一个能轻松映射到每一标准的通用控制框架。

总结

Atlassian 通用控制框架的组织非常重要,可使我们的团队有效贯彻“多次评估,一次执行”的理念。我们没有多次询问不同的团队,而是利用此框架的效率来定义我们在何处组织和应用控制措施,使整个公司都能理解这些要求,了解我们组织的各个部分如何采取统一的行动,从而让我们的所有客户获得安全保障。