Close

Atlassian 通用控制框架


与许多公司一样,Atlassian 需要遵守适用于我们产品开发和运营环境的若干国际控制标准。我们决定对这些独立标准之间的重叠情况进行评估,并确保我们对这些标准如何应用于内部环境达成统一认识。应用这些标准的主要环境是我们的云托管平台。我们理解,我们需要展现出我们正在采取适当举措来保护我们的客户及其数据。但是,并非所有标准对所有环境皆适用。例如,Sarbanes-Oxley (SOX) 主要针对支持我们财务报告的那些系统,而我们的云服务是次要的。以下是我们评估的标准以及原因。

适用的国际标准

下表列出了我们纳入内部通用控制框架的各项标准:

Standard

赞助商

ISO27001

国际标准化组织

ISO27002

国际标准化组织

ISO27018

国际标准化组织

PCI-DSS

支付卡行业

CSA CCM

云安全联盟

SOC2

美国注册会计师协会 (AICPA)

SOX 404 (IT)

美国联邦法律

FedRAMP

美国总务管理局

通用控制框架

如上表所示,我们有一系列不同的要求,其中不少应用于相同的环境、系统或团队。为了方便团队理解这些标准之间的重叠与相似之处,我们评估了每一项控制要求,确定了存在重叠的地方(即,各项标准评估的对象基本均为同一领域)。因此,我们制定了一个能轻松映射到每一标准的通用控制框架。

总结

Atlassian 通用控制框架的组织非常重要,可使我们的团队能够运用“多次评估一次执行”的观念。我们没有多次询问不同的团队,而是利用此框架的效率来定义我们在何处组织和应用控制措施,使整个公司都能理解这些要求,了解我们组织的各个部分如何采取统一的行动让我们的所有客户获得安全保障。