Close

Gemeenschappelijk controlekader van Atlassian


Atlassian heeft, zoals vele bedrijven, een aantal internationale controlenormen die van toepassing zijn op onze productontwikkeling en onze werkomgevingen. We hebben besloten de overeenkomsten tussen veel van deze onafhankelijke normen te evalueren en ervoor te zorgen dat we ze op één manier kunnen toepassen op onze interne omgevingen. De primaire omgeving waar we deze normen op toepassen is ons cloudhostingplatform. We begrijpen dat we moeten laten zien dat we de juiste inspanningen leveren om onze klanten en hun gegevens te beschermen. Niet alle normen zijn echter van toepassing op alle omgevingen. De focus voor Sarbanes-Oxley (SOX) ligt bijvoorbeeld op de systemen die onze financiële rapporten ondersteunen, waarvan onze clouddiensten hooguit secundair zijn. Laten we eens kijken naar de normen die we evalueren en waarom.

Toepasselijke internationale normen

Hieronder is een lijst normen te vinden die we hebben meegenomen in ons interne gemeenschappelijke controlekader:

Standard

Sponsor

ISO27001

Internationale Organisatie voor Standaardisatie

ISO27002

Internationale Organisatie voor Standaardisatie

ISO27018

Internationale Organisatie voor Standaardisatie

SOC2

American Institute of Certified Public Accountants (AICPA)

NIST SP 800-53 Rev 4

National Institute of Standards and Technology

FedRAMP

Amerikaanse federale overheid

CSA CCM

Cloud Security Alliance

HIPAA

Amerikaanse federale overheid

SOX 404 (IT)

Amerikaanse federale overheid

PCI DSS

PCI Security Standards Council

Gemeenschappelijk controlekader

Zoals in bovenstaande tabel te zien is, zijn er een reeks verschillende en uiteenlopende vereisten, waarvan vele worden toegepast op dezelfde omgevingen, systemen of teams. Om de overlap en overeenkomsten tussen deze normen wat duidelijker te maken voor onze teams, hebben we elk van de controlevereisten beoordeeld en vastgesteld waar sprake was van overlapping, waarbij elk van de normen eigenlijk hetzelfde domein evalueerde. Als gevolg hiervan hebben we een gemeenschappelijk controlekader dat gemakkelijk aan elk van de normen kan worden aangepast.

Conclusie

De organisatie van het Atlassian gemeenschappelijk controlekader is belangrijk voor onze teams om de mentaliteit van 'vaak controleren, een keer uitvoeren' te kunnen inzetten. In plaats van meerdere teams meerdere keren te vragen, hebben we de efficiëntie van dit framework ingezet om te bepalen waar we controles konden opzetten en toepassen zodat het hele bedrijf de vereisten zou begrijpen en in zou zien hoe elk deel van ons bedrijf collectief werkt om vertrouwen te wekken bij al onze klanten.