Close

Wspólne ramowe zasady kontroli Atlassian


Podobnie jak wiele innych firm, Atlassian musi uwzględniać wiele międzynarodowych norm dotyczących środków kontroli, które mają zastosowanie do naszych środowisk tworzenia produktów i operacyjnych. Zdecydowaliśmy się przeprowadzić ocenę w celu wskazania obszarów wspólnych dla wielu spośród tych niezależnych norm, aby zyskać pojedynczą wizję zastosowania tych norm do naszych środowisk wewnętrznych. Głównym środowiskiem, w którym wdrażamy te normy, jest nasza platforma hostingowa w chmurze. Mamy świadomość, że musimy wykazać, że podejmujemy odpowiednie wysiłki w celu ochrony naszych klientów oraz ich danych. Jednak nie wszystkie spośród tych norm mają zastosowanie do każdego środowiska. Na przykład ustawa Sarbanes-Oxley (SOX) dotyczy systemów obsługujących nasze sprawozdania finansowe, a nasze usługi w chmurze pełnią tu w najlepszym razie rolę drugorzędną. Przyjrzyjmy się zatem normom, które poddajemy ewaluacji, i przeanalizujmy cele takiej oceny.

Obowiązujące normy międzynarodowe

Poniżej znajduje się lista norm, które zostały uwzględnione w naszych wspólnych ramowych zasadach kontroli:

Standard

Sponsor

ISO 27001

Międzynarodowa Organizacja Normalizacyjna (ISO)

ISO 27002

Międzynarodowa Organizacja Normalizacyjna (ISO)

ISO 27018

Międzynarodowa Organizacja Normalizacyjna (ISO)

SOC2

Amerykański Instytut Biegłych Rewidentów (AICPA)

NIST SP 800-53 Rev 4

Narodowy Instytut Standaryzacji i Technologii (USA)

FedRAMP

Rząd federalny Stanów Zjednoczonych

CCM CSA

Cloud Security Alliance

HIPAA

Rząd federalny Stanów Zjednoczonych

SOX 404 (IT)

Rząd federalny Stanów Zjednoczonych

PCI DSS

Rada ds. norm bezpieczeństwa PCI

Wspólne ramowe zasady kontroli

Jak można zauważyć w powyższej tabeli, istnieje szereg różnych i odmiennych wymagań, przy czym wiele z nich dotyczy tych samych środowisk, systemów lub zespołów. Aby nieco ułatwić naszym zespołom zrozumienie podobieństw między wieloma z tych norm i obszarów, w których ich wymagania się pokrywają, dokonaliśmy oceny każdego wymogu dotyczącego kontroli, wskazując obszary wspólne — miejsca, w których każda z norm odnosiła się zasadniczo do ewaluacji tej samej domeny. W ten sposób udało nam się opracować wspólne ramowe zasady kontroli, które można z łatwością odnieść do każdej z norm.

Wnioski

Organizacja wspólnych ramowych zasad kontroli Atlassian stanowiła ważny krok, który pozwolił naszym zespołom zastosować podejście „zmierz dwa razy, tnij raz”. Zamiast wielokrotnego zadawania pytań wielu różnym zespołom wykorzystaliśmy skuteczność tych zasad ramowych do zdefiniowania obszarów, w których można zorganizować i zastosować środki kontroli tak, aby cała firma mogła zrozumieć wymagania i sposób, w jaki każda część naszej organizacji działa wspólnie, aby zasłużyć na zaufanie wszystkich naszych klientów.