Close

Wspólne ramowe zasady kontroli Atlassian


Podobnie jak wiele innych firm, Atlassian musi uwzględniać wiele międzynarodowych norm dotyczących środków kontroli, które mają zastosowanie do naszych środowisk tworzenia produktów i operacyjnych. Zdecydowaliśmy się przeprowadzić ocenę w celu wskazania obszarów wspólnych dla wielu spośród tych niezależnych norm, aby zyskać pojedynczą wizję zastosowania tych norm do naszych środowisk wewnętrznych. Głównym środowiskiem, w którym wdrażamy te normy, jest nasza platforma hostingowa w chmurze. Mamy świadomość, że musimy wykazać, że podejmujemy odpowiednie wysiłki w celu ochrony naszych klientów oraz ich danych. Jednak nie wszystkie spośród tych norm mają zastosowanie do każdego środowiska. Na przykład ustawa Sarbanes-Oxley (SOX) dotyczy systemów obsługujących nasze sprawozdania finansowe, a nasze usługi w chmurze pełnią tu w najlepszym razie rolę drugorzędną. Przyjrzyjmy się zatem normom, które poddajemy ewaluacji, i przeanalizujmy cele takiej oceny.

Obowiązujące normy międzynarodowe

Poniżej znajduje się lista norm, które zostały uwzględnione w naszych wspólnych ramowych zasadach kontroli:

Standard

Sponsor

ISO 27001

Międzynarodowa Organizacja Normalizacyjna (ISO)

ISO 27002

Międzynarodowa Organizacja Normalizacyjna (ISO)

ISO 27018

Międzynarodowa Organizacja Normalizacyjna (ISO)

PCI-DSS

Branże kart płatniczych

CCM CSA

Cloud Security Alliance

SOC2

Amerykański Instytut Biegłych Rewidentów (AICPA)

SOX 404 (IT)

Prawo federalne Stanów Zjednoczonych

FedRAMP

Amerykańska agencja General Services Administration (GSA)

Wspólne ramowe zasady kontroli

Jak można zauważyć w powyższej tabeli, istnieje szereg różnych i odmiennych wymagań, przy czym wiele z nich dotyczy tych samych środowisk, systemów lub zespołów. Aby nieco ułatwić naszym zespołom zrozumienie podobieństw między wieloma z tych norm i obszarów, w których ich wymagania się pokrywają, dokonaliśmy oceny każdego wymogu dotyczącego kontroli, wskazując obszary wspólne — miejsca, w których każda z norm odnosiła się zasadniczo do ewaluacji tej samej domeny. W ten sposób udało nam się opracować wspólne ramowe zasady kontroli, które można z łatwością odnieść do każdej z norm.

Wnioski

Organizacja wspólnych ramowych zasad kontroli Atlassian stanowiła ważny krok, który pozwolił naszym zespołom praktycznie zastosować podejście oparte na przekonaniu „wiele ewaluacji, jedno wykonanie”. Zamiast wielokrotnego zadawania pytań wielu różnym zespołom, wykorzystaliśmy skuteczność tych zasad ramowych, definiując obszary, w których można zorganizować i zastosować środki kontroli tak, aby cała firma mogła zrozumieć wymagania i sposób, w jaki każda część naszej organizacji działa wspólnie, aby zapewnić bezpieczeństwo wszystkim naszym klientom.