對於疲於管理多個合規標準並試圖構建自己的合規框架的企業而言,Common Controls Framework是一個很好的方式。
基本介紹
- 中文名:Common Controls Framework
主要內容,結論,
主要內容
對於疲於管理多個合規標準並試圖構建自己的合規框架的企業而言,Common Controls Framework是一個很好的方式。
企業面臨的最棘手的合規挑戰之一是如何構建一個程式來有效管理所有合規控制以及要求,而沒有重疊。Adobe公司最近發布了一份白皮書,其中介紹了其Common Controls Frameworks(CCF)以及它如何幫助滿足重要標準。雖然該白皮書沒有詳細細節,但其中該公司從自身的角度強調了多標準合規性的重要性,畢竟這家軟體製造商必須遵守各種標準。
該CCF白皮書沒有提供足夠的詳細信息來影響其他企業使用的安全程式的具體方面,但它提供了很好的概念方法來在重疊的監管要求中開展工作。
合理化安全要求
CCF最重要的功能是執行合理化進程。在這種方法中,合規專家和安全專家列出了各種法規的詳細信息,並確定了兩個或更多法規所要求的共同的控制,這幫助減少了重疊法規帶來給管理合規程式帶來的複雜性。例如,聯邦政府發布了聯邦風險和授權管理計畫(FedRAMP),這是對試圖向聯邦機構提供雲服務的供應商提出的合規性要求,FedRAMP中的RA-5要求規定對計算系統每年進行獨立的漏洞掃描。
與此同時,支付卡行業數據安全標準(PCI DSS)主要針對處理信用卡信息的商家和服務提供商,其中PCI DSS 11.2要求規定每季度對計算機系統進行掃描,需由授權掃描供應商執行。
如果企業試圖合理化FedRAMP和PCI DSS要求,企業可能會創建單個控制來覆蓋這兩個要求。在這個例子中,企業的合規框架可能只要包含對由PCI DSS授權掃描供應商執行的季度漏洞掃描,因為這個合理化控制就已經同時滿足FedRAMP RA-5和PCI DSS 11.2的要求。企業只需要繼續滿足其自己的控制標準,便可確保其符合這兩個要求。
Adobe的CCF對Adobe相關的10個重要的安全要求進行了合理化,這些包括PCI DSS、FedRAMP、Sarbanes-Oxley法案、ISO 27001等。Adobe的合理化過程將1000個詳細的要求分成200個合理化要求。
分階段進行合規合理化
在其白皮書中,Adobe將CCF稱為正在進展中的工作,其部署路線圖跨越四年時間。該公司的白皮書中概述了2016年年底前在多個Adobe產品部署CCF的分階段方法。
當企業構建自己的合規程式時,可使用這種分階段的方法作為合規合理方法的參考。據推測,Adobe公司在該計畫的初始階段執行了風險評估,並以最高風險和最低努力領域為目標。這種方法會先瞄準唾手可得的目標,給企業提供直接利益。不過,企業可能會選擇根據當前的控制狀態、審核的可能性、安全風險、執法處罰和其他標準來優先排序合規活動。
構建你自己的合規計畫
然而,Adobe公司並沒有公布其CCF的細節。因此,企業不能簡單地將CCF作為其自己的合規計畫的框架,這給企業帶來兩個選擇:創建新的合規框架或者在現有的系統構建。
構建新的計畫是一個耗時的過程,並且,只有當你的企業具有高度專業化合規要求,且現有框架無法滿足這些要求時才會有價值。大多數試圖合理化合規性的企業可從現有的框架開始,這樣會更好,例如統一合規框架(UCF),UCF提供了對來自800多個法律和法規的9000多個要求的預先合理化清單。
結論
雖然公司不能直接利用Adobe的CCF作為自己的合規計畫,但它可以被用來作為企業做法的模式,從清點合規要求開始,在構建完成的清單後,通過執行評估或在現有框架(例如UCF)構建來執行控制合理化。然後你的企業可以映射安全控制到合理化要求,以及簡化合規流程。
