Close

Gemeenschappelijk controlekader van Atlassian


Atlassian heeft, zoals vele bedrijven, een aantal internationale controlenormen die van toepassing zijn op onze productontwikkeling en onze werkomgevingen. We hebben besloten de overeenkomsten tussen veel van deze onafhankelijke normen te evalueren en ervoor te zorgen dat we ze op één manier kunnen toepassen op onze interne omgevingen. De primaire omgeving waar we deze normen op toepassen is ons cloudhostingplatform. We begrijpen dat we moeten laten zien dat we de juiste inspanningen leveren om onze klanten en hun gegevens te beschermen. Niet alle normen zijn echter van toepassing op alle omgevingen. De focus voor Sarbanes-Oxley (SOX) ligt bijvoorbeeld op de systemen die onze financiële rapporten ondersteunen, waarvan onze clouddiensten hooguit secundair zijn. Laten we eens kijken naar de normen die we evalueren en waarom.

Toepasselijke internationale normen

Hieronder is een lijst normen te vinden die we hebben meegenomen in ons interne gemeenschappelijke controlekader:

Standard

Sponsor

ISO27001

Internationale Organisatie voor Standaardisatie

ISO27002

Internationale Organisatie voor Standaardisatie

ISO27018

Internationale Organisatie voor Standaardisatie

PCI-DSS

Payment Card Industries

CSA CCM

Cloud Security Alliance

SOC2

American Institute of Certified Public Accountants (AICPA)

SOX 404 (IT)

Amerikaanse federale wetgeving

FedRAMP

De Amerikaanse General Services Administration

Gemeenschappelijk controlekader

Zoals in bovenstaande tabel te zien is, zijn er een reeks verschillende en uiteenlopende vereisten, waarvan vele worden toegepast op dezelfde omgevingen, systemen of teams. Om de overlap en overeenkomsten tussen deze normen wat duidelijker te maken voor onze teams, hebben we elk van de controlevereisten beoordeeld en vastgesteld waar sprake was van overlapping, waarbij elk van de normen eigenlijk hetzelfde domein evalueerde. Als gevolg hiervan hebben we een gemeenschappelijk controlekader dat gemakkelijk aan elk van de normen kan worden aangepast.

Conclusie

De organisatie van het Atlassian Common Controls Framework was belangrijk voor onze teams om de mentaliteit van 'vaak controleren, één keer uitvoeren' echt te kunnen gebruiken. In plaats van meerdere teams meerdere keren te vragen, hebben we de efficiëntie van dit kader ingezet om te bepalen waar we controles konden opzetten en toepassen zodat het hele bedrijf de vereisten zou begrijpen en in zou zien hoe elk deel van ons bedrijf collectief werkt om al onze klanten te beveiligen.