对于厌倦了管理多个合规标准并试图构建自己的合规框架的企业,Adobe的Common Controls Framework这是个好办法。
在没有重叠的情况下,企业面临的最棘手的合规挑战之一是如何构建一个程序来有效地管理所有的合规控制和要求。Adobe公司最近发布了一份白皮书,介绍了它Common Controls Frameworks(CCF)以及它如何帮助满足重要标准。虽然白皮书没有细节,但该公司从自己的角度强调了多标准合规性的重要性。毕竟,软件制造商必须遵守各种标准。
该CCF白皮书没有提供足够的详细信息来影响其他企业使用的安全程序的具体方面,但它为重叠监管要求提供了良好的概念和 *** 。
合理化安全要求
CCF最重要的功能是执行合理化过程。在这种 *** 中,合规专家和安全专家列出了各种法律法规的详细信息,并确定了两个或两个以上法律法规要求的共同控制,这有助于减少重叠法律法规给管理合规程序带来的复杂性。例如,联邦 *** 发布了联邦风险和授权管理计划(FedRAMP),对于试图向联邦机构提供云服务的供应商,FedRAMP中的RA-5要求每年对计算系统进行独立的漏洞扫描。
同时,支付卡行业的数据安全标准(PCI DSS)主要针对处理信用卡信息的商家和服务提供商,其中PCI DSS 11.2规定计算机系统每季度扫描,由授权扫描供应商执行。
若企业试图合理化FedRAMP和PCI DSS企业可企业可能会创建一个单一的控制来覆盖这两个要求。在这个例子中,企业的合规框架可能只包正确的理由PCI DSS授权扫描供应商执行的季度漏洞扫描,因为这种合理的控制同时得到了满足FedRAMP RA-5和PCI DSS 11.2要求。企业只需要继续满足自己的控制标准,就能保证满足这两个要求。
Adobe的CCF对Adobe合理化了10个重要的安全要求,包括PCI DSS、FedRAMP、Sarbanes-Oxley法案、ISO 27001等。Adobe合理化过程将1000个详细要求分为200个合理化要求。
分阶段合规合理化
在白皮书中,Adobe将CCF它被称为正在进行的工作,其部署路线图跨越了四年。该公司的白皮书概述了2016年底前的许多工作Adobe产品部署CCF分阶段 *** 。
当企业建立自己的合规程序时,这种分阶段的 *** 可以作为合规合理 *** 的参考。据推测,Adobe该公司在该计划的初始阶段进行了风险评估***风险和***努力工作领域是目标。该 *** 将首先瞄准方便的目标,为企业提供直接利益。但企业可以根据当前的控制状态、审计的可能性、安全风险、执法处罚等标准,优先考虑合规活动。
建立自己的合规计划
然而,Adobe该公司没有宣布CCF细节。因此,企业不能简单地说CCF作为自己的合规计划框架,它为企业创建新的合规框架或在现有系统中构建两种选择。
构建一个新的计划是一个耗时的过程,只有当你的企业有高度的专业合规要求,现有的框架不能满足这些要求时,它才会有价值。大多数试图合理化合规的企业可以从现有的框架开始,比如统一的合规框架(UCF),UCF为800多项法律法规提供了9000多项要求的预合理化清单。
结论
虽然公司不能直接使用Adobe的CCF作为他们自己的合规计划,但它可以用作企业实践的模式,从清点合规要求开始,在建立完成的清单后,通过实施评估或在现有框架(如UCF)构建控制合理化。然后你的企业可以映射安全控制到合理化要求,简化合规流程。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
