对于疲于管理多个合规标准并试图构建自己的合规框架的企业而言,Adobe的Common Controls Framework是一个很好的方式。
企业面临的最棘手的合规挑战之一是如何构建一个程序来有效管理所有合规控制以及要求,而没有重叠。Adobe公司最近发布了一份白皮书,其中介绍了其Common Controls Frameworks(CCF)以及它如何帮助满足重要标准。虽然该白皮书没有详细细节,但其中该公司从自身的角度强调了多标准合规性的重要性,毕竟这家软件制造商必须遵守各种标准。
该CCF白皮书没有提供足够的详细信息来影响其他企业使用的安全程序的具体方面,但它提供了很好的概念方法来在重叠的监管要求中开展工作。
合理化安全要求
CCF最重要的功能是执行合理化进程。在这种方法中,合规专家和安全专家列出了各种法规的详细信息,并确定了两个或更多法规所要求的共同的控制,这帮助减少了重叠法规带来给管理合规程序带来的复杂性。例如,联邦政府发布了联邦风险和授权管理计划(FedRAMP),这是对试图向联邦机构提供云服务的供应商提出的合规性要求,FedRAMP中的RA-5要求规定对计算系统每年进行独立的漏洞扫描。
与此同时,支付卡行业数据安全标准(PCI DSS)主要针对处理信用卡信息的商家和服务提供商,其中PCI DSS 11.2要求规定每季度对计算机系统进行扫描,需由授权扫描供应商执行。
如果企业试图合理化FedRAMP和PCI DSS要求,企业可能会创建单个控制来覆盖这两个要求。在这个例子中,企业的合规框架可能只要包含对由PCI DSS授权扫描供应商执行的季度漏洞扫描,因为这个合理化控制就已经同时满足FedRAMP RA-5和PCI DSS 11.2的要求。企业只需要继续满足其自己的控制标准,便可确保其符合这两个要求。
Adobe的CCF对Adobe相关的10个重要的安全要求进行了合理化,这些包括PCI DSS、FedRAMP、Sarbanes-Oxley法案、ISO 27001等。Adobe的合理化过程将1000个详细的要求分成200个合理化要求。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
