Close

Common Controls Framework von Atlassian


Wie viele andere Unternehmen auch verfügt Atlassian über einige internationale Kontrollstandards, die auf unsere Produktentwicklung und unsere Betriebsumgebung angewandt werden. Wir haben uns entschieden, Überlappungen zwischen vielen dieser unabhängigen Standards zu prüfen, um sicherzustellen, dass wir eine zentrale Ansicht für die Anwendung dieser Standards auf unsere internen Umgebungen haben. Primär wenden wir diese Standards auf die Umgebung unserer Cloud-Hosting-Plattform an, schließlich müssen wir zeigen, dass wir geeignete Maßnahmen ergreifen, um unsere Kunden und ihre Daten zu schützen. Allerdings sind nicht alle Standards auf alle Umgebungen anwendbar. Beispielsweise liegt das Hauptaugenmerk des Sarbanes-Oxley Act (SOX) auf Systemen, die unsere Finanzberichterstattung unterstützen. Da sind unsere Cloud-Services bestenfalls sekundär. Sehen wir uns die Standards, die wir bewerten, und die Gründe für die Bewertung einmal näher an.

Anwendbare internationale Standards

Es folgt eine Liste mit Standards, die wir bewertet haben, als wir mit der Erstellung unseres internen Common Controls Framework begannen:

Standard
Sponsor
Kontrollen
Domänen
ISO27001 International Organization for Standardisation 26 Anforderungen 6 Klauseln
ISO27002 International Organization for Standardisation 114 Anforderungen 14 Domänen
PCI-DSS Payment Card Industries 247 Anforderungen 6 Domänen
CSA CCM Cloud Security Alliance 133 Kontrollen 16 Domänen
SOC2 Service Organisation Controls 116 Anforderungen 5 Prinzipien
SOX 404 (IT) US Federal Law 22 Anforderungen 5 Domänen
GAPP

AICPA

106 Anforderungen 10 Domänen

 

Common Controls Framework

Wie du der obigen Tabelle entnehmen kannst, gibt es eine Reihe verschiedener Anforderungen, von denen viele auf dieselben Umgebungen, Systeme oder Teams angewendet werden. Um unseren Teams diese Überlappungen und Ähnlichkeiten von vielen dieser Standards verständlicher zu machen, haben wir jede der Kontrollanforderungen geprüft und ermittelt, wo es Überlappungen gibt, also an welcher Stelle jeder der Standards im Wesentlichen dieselbe Domäne evaluiert. Demzufolge haben wir ein Common Controls Framework erstellt, das sich jedem der Standards einfach zuordnen lässt.

Konzeptionelles Modell für Anwendbarkeit

Beim Bewerten der einzelnen Anforderungen stellten wir fest, dass die Anwendung sämtlicher Kontrollen auf jedes unserer Produkte oder unsere Online-Services ineffizient wäre. Wir haben eine Struktur entworfen, mit der verschiedene Teile des Kontroll-Frameworks auf unterschiedliche Teile des bereitgestellten Stacks angewendet werden, die dann von anderen Teilen der Organisation übernommen werden können.

Atlassian logo on a browser

Atlassian-Anwendungen

Sicherheit der Anwendungsentwicklung

Datensicherheit & Information Lifecycle Management

Lock with key hole

Atlassian-Sicherheit

Kryptografie & Verschlüsselung

Bedrohungs- und Schwachstellenmanagement

Management von Sicherheitsvorfällen

Connected nodes

Atlassian-Infrastruktur

Asset-Management

Zugriffskontrolle

Betriebsabläufe

Kommunikationssicherheit

Stacked servers

Atlassian-Rechenzentren & -Büros

Physische und umgebungsbezogene Sicherheit

Briefcase

Atlassian-Unternehmen

Sicherheits-Governance

Organisation der Sicherheit

Personalsicherheit

Management von Zulieferer- und Drittanbieterdaten

Mobile Sicherheit

Geschäftskontinuität

Audit / Compliance

Datenschutz

Fazit

Die Organisation des Common Controls Framework von Atlassian war nötig, damit unsere Teams dem Credo "mehrmals prüfen, einmal durchführen" folgen konnten. Anstatt mehrere unterschiedliche Teams mehrere Male zu fragen, nutzten wir dieses effiziente Framework, um festzulegen, wo wir Kontrollen organisieren und anwenden könnten. Schließlich sollte das gesamte Unternehmen die Anforderungen verstehen und erkennen können, wie jeder Teil unserer Organisation im Kollektiv arbeiten, um all unseren Kunden sichere Lösungen bereitzustellen.