对于疲于管理多个合规标准并试图构建自己的合规框架的企业而言,Adobe的Common Controls Framework是一个很好的方式。
企业面临的最棘手的合规挑战之一是如何构建一个程序来有效管理所有合规控制以及要求,而没有重叠。Adobe公司最近发布了一份白皮书,其中介绍了其Common Controls Frameworks(CCF)以及它如何帮助满足重要标准。虽然该白皮书没有详细细节,但其中该公司从自身的角度强调了多标准合规性的重要性,毕竟这家软件制造商必须遵守各种标准。
该CCF白皮书没有提供足够的详细信息来影响其他企业使用的安全程序的具体方面,但它提供了很好的概念方法来在重叠的监管要求中开展工作。
合理化安全要求
CCF最重要的功能是执行合理化进程。在这种方法中,合规专家和安全专家列出了各种法规的详细信息,并确定了两个或更多法规所要求的共同的控制,这帮助减少了重叠法规带来给管理合规程序带来的复杂性。例如,联邦政府发布了联邦风险和授权管理计划(FedRAMP),这是对试图向联邦机构提供云服务的供应商提出的合规性要求,FedRAMP中的RA-5要求规定对计算系统每年进行独立的漏洞扫描。
与此同时,支付卡行业数据安全标准(PCI DSS)主要针对处理信用卡信息的商家和服务提供商,其中PCI DSS 11.2要求规定每季度对计算机系统进行扫描,需由授权扫描供应商执行。
如果企业试图合理化FedRAMP和PCI DSS要求,企业可能会创建单个控制来覆盖这两个要求。在这个例子中,企业的合规框架可能只要包含对由PCI DSS授权扫描供应商执行的季度漏洞扫描,因为这个合理化控制就已经同时满足FedRAMP RA-5和PCI DSS 11.2的要求。企业只需要继续满足其自己的控制标准,便可确保其符合这两个要求。
Adobe的CCF对Adobe相关的10个重要的安全要求进行了合理化,这些包括PCI DSS、FedRAMP、Sarbanes-Oxley法案、ISO 27001等。Adobe的合理化过程将1000个详细的要求分成200个合理化要求。
分阶段进行合规合理化
在其白皮书中,Adobe将CCF称为正在进展中的工作,其部署路线图跨越四年时间。该公司的白皮书中概述了2016年年底前在多个Adobe产品部署CCF的分阶段方法。
当企业构建自己的合规程序时,可使用这种分阶段的方法作为合规合理方法的参考。据推测,Adobe公司在该计划的初始阶段执行了风险评估,并以最高风险和最低努力领域为目标。这种方法会先瞄准唾手可得的目标,给企业提供直接利益。不过,企业可能会选择根据当前的控制状态、审核的可能性、安全风险、执法处罚和其他标准来优先排序合规活动。
构建你自己的合规计划
然而,Adobe公司并没有公布其CCF的细节。因此,企业不能简单地将CCF作为其自己的合规计划的框架,这给企业带来两个选择:创建新的合规框架或者在现有的系统构建。
构建新的计划是一个耗时的过程,并且,只有当你的企业具有高度专业化合规要求,且现有框架无法满足这些要求时才会有价值。大多数试图合理化合规性的企业可从现有的框架开始,这样会更好,例如统一合规框架(UCF),UCF提供了对来自800多个法律和法规的9000多个要求的预先合理化清单。
结论
虽然公司不能直接利用Adobe的CCF作为自己的合规计划,但它可以被用来作为企业做法的模式,从清点合规要求开始,在构建完成的清单后,通过执行评估或在现有框架(例如UCF)构建来执行控制合理化。然后你的企业可以映射安全控制到合理化要求,以及简化合规流程。
作者:Mike Chapple
来源:51CTO