Gemeenschappelijk controlekader van Atlassian
Atlassian heeft, zoals vele bedrijven, een aantal internationale controlenormen die van toepassing zijn op onze productontwikkeling en onze werkomgevingen. We hebben besloten de overeenkomsten tussen veel van deze onafhankelijke normen te evalueren en ervoor te zorgen dat we ze op één manier kunnen toepassen op onze interne omgevingen. De primaire omgeving waar we deze normen op toepassen is ons cloudhostingplatform. We begrijpen dat we moeten laten zien dat we de juiste inspanningen leveren om onze klanten en hun gegevens te beschermen. Niet alle normen zijn echter van toepassing op alle omgevingen. De focus voor Sarbanes-Oxley (SOX) ligt bijvoorbeeld op de systemen die onze financiële rapporten ondersteunen, waarvan onze clouddiensten hooguit secundair zijn. Laten we eens kijken naar de normen die we evalueren en waarom.
Toepasselijke internationale normen
Hieronder is een lijst normen te vinden die we hebben meegenomen in ons interne gemeenschappelijke controlekader:
Standard | Sponsor |
ISO27001 | Internationale Organisatie voor Standaardisatie |
ISO27002 | Internationale Organisatie voor Standaardisatie |
ISO27018 | Internationale Organisatie voor Standaardisatie |
SOC2 | American Institute of Certified Public Accountants (AICPA) |
NIST SP 800-53 Rev 4 | National Institute of Standards and Technology |
FedRAMP | Amerikaanse federale overheid |
CSA CCM | Cloud Security Alliance |
HIPAA | Amerikaanse federale overheid |
SOX 404 (IT) | Amerikaanse federale overheid |
PCI DSS | PCI Security Standards Council |
Gemeenschappelijk controlekader
Zoals in bovenstaande tabel te zien is, zijn er een reeks verschillende en uiteenlopende vereisten, waarvan vele worden toegepast op dezelfde omgevingen, systemen of teams. Om de overlap en overeenkomsten tussen deze normen wat duidelijker te maken voor onze teams, hebben we elk van de controlevereisten beoordeeld en vastgesteld waar sprake was van overlapping, waarbij elk van de normen eigenlijk hetzelfde domein evalueerde. Als gevolg hiervan hebben we een gemeenschappelijk controlekader dat gemakkelijk aan elk van de normen kan worden aangepast.
Conclusie
De organisatie van het Atlassian gemeenschappelijk controlekader is belangrijk voor onze teams om de mentaliteit van 'vaak controleren, een keer uitvoeren' te kunnen inzetten. In plaats van meerdere teams meerdere keren te vragen, hebben we de efficiëntie van dit framework ingezet om te bepalen waar we controles konden opzetten en toepassen zodat het hele bedrijf de vereisten zou begrijpen en in zou zien hoe elk deel van ons bedrijf collectief werkt om vertrouwen te wekken bij al onze klanten.