Common Controls Framework von Atlassian
Wie viele andere Unternehmen auch verfügt Atlassian über einige internationale Kontrollstandards, die auf unsere Produktentwicklung und unsere Betriebsumgebung angewandt werden. Wir haben uns entschieden, Überlappungen zwischen vielen dieser unabhängigen Standards zu prüfen, um sicherzustellen, dass wir eine zentrale Ansicht für die Anwendung dieser Standards auf unsere internen Umgebungen haben. Primär wenden wir diese Standards auf die Umgebung unserer Cloud-Hosting-Plattform an, schließlich müssen wir zeigen, dass wir geeignete Maßnahmen ergreifen, um unsere Kunden und ihre Daten zu schützen. Allerdings sind nicht alle Standards auf alle Umgebungen anwendbar. Beispielsweise liegt das Hauptaugenmerk des Sarbanes-Oxley Act (SOX) auf Systemen, die unsere Finanzberichterstattung unterstützen. Da sind unsere Cloud-Services bestenfalls sekundär. Sehen wir uns die Standards, die wir bewerten, und die Gründe für die Bewertung einmal näher an.
Anwendbare internationale Standards
Es folgt eine Liste mit Standards, die wir bewertet haben, als wir mit der Erstellung unseres internen Common Controls Framework begannen:
Standard | Sponsor | Kontrollen | Domänen |
---|---|---|---|
ISO27001 | International Organization for Standardisation | 26 Anforderungen | 6 Klauseln |
ISO27002 | International Organization for Standardisation | 114 Anforderungen | 14 Domänen |
PCI-DSS | Payment Card Industries | 247 Anforderungen | 6 Domänen |
CSA CCM | Cloud Security Alliance | 133 Kontrollen | 16 Domänen |
SOC2 | Service Organisation Controls | 116 Anforderungen | 5 Prinzipien |
SOX 404 (IT) | US Federal Law | 22 Anforderungen | 5 Domänen |
GAPP | AICPA | 106 Anforderungen | 10 Domänen |
Common Controls Framework
Wie du der obigen Tabelle entnehmen kannst, gibt es eine Reihe verschiedener Anforderungen, von denen viele auf dieselben Umgebungen, Systeme oder Teams angewendet werden. Um unseren Teams diese Überlappungen und Ähnlichkeiten von vielen dieser Standards verständlicher zu machen, haben wir jede der Kontrollanforderungen geprüft und ermittelt, wo es Überlappungen gibt, also an welcher Stelle jeder der Standards im Wesentlichen dieselbe Domäne evaluiert. Demzufolge haben wir ein Common Controls Framework erstellt, das sich jedem der Standards einfach zuordnen lässt.
Konzeptionelles Modell für Anwendbarkeit
Beim Bewerten der einzelnen Anforderungen stellten wir fest, dass die Anwendung sämtlicher Kontrollen auf jedes unserer Produkte oder unsere Online-Services ineffizient wäre. Wir haben eine Struktur entworfen, mit der verschiedene Teile des Kontroll-Frameworks auf unterschiedliche Teile des bereitgestellten Stacks angewendet werden, die dann von anderen Teilen der Organisation übernommen werden können.
Fazit
Die Organisation des Common Controls Framework von Atlassian war nötig, damit unsere Teams dem Credo "mehrmals prüfen, einmal durchführen" folgen konnten. Anstatt mehrere unterschiedliche Teams mehrere Male zu fragen, nutzten wir dieses effiziente Framework, um festzulegen, wo wir Kontrollen organisieren und anwenden könnten. Schließlich sollte das gesamte Unternehmen die Anforderungen verstehen und erkennen können, wie jeder Teil unserer Organisation im Kollektiv arbeiten, um all unseren Kunden sichere Lösungen bereitzustellen.