當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

如果你疲于管理多個(gè)合規(guī)標(biāo)準(zhǔn) 可試試CCF

責(zé)任編輯：editor005 作者：Mike Chapple |來源：企業(yè)網(wǎng)D1Net 2015-09-11 14:05:07 本文摘自：TechTarget中國

對(duì)于疲于管理多個(gè)合規(guī)標(biāo)準(zhǔn)并試圖構(gòu)建自己的合規(guī)框架的企業(yè)而言，Adobe的Common Controls Framework是一個(gè)很好的方式。

企業(yè)面臨的最棘手的合規(guī)挑戰(zhàn)之一是如何構(gòu)建一個(gè)程序來有效管理所有合規(guī)控制以及要求，而沒有重疊。Adobe公司最近發(fā)布了一份白皮書，其中介紹了其Common Controls Frameworks(CCF)以及它如何幫助滿足重要標(biāo)準(zhǔn)。雖然該白皮書沒有詳細(xì)細(xì)節(jié)，但其中該公司從自身的角度強(qiáng)調(diào)了多標(biāo)準(zhǔn)合規(guī)性的重要性，畢竟這家軟件制造商必須遵守各種標(biāo)準(zhǔn)。

該CCF白皮書沒有提供足夠的詳細(xì)信息來影響其他企業(yè)使用的安全程序的具體方面，但它提供了很好的概念方法來在重疊的監(jiān)管要求中開展工作。

合理化安全要求

CCF最重要的功能是執(zhí)行合理化進(jìn)程。在這種方法中，合規(guī)專家和安全專家列出了各種法規(guī)的詳細(xì)信息，并確定了兩個(gè)或更多法規(guī)所要求的共同的控制，這幫助減少了重疊法規(guī)帶來給管理合規(guī)程序帶來的復(fù)雜性。例如，聯(lián)邦政府發(fā)布了聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(FedRAMP)，這是對(duì)試圖向聯(lián)邦機(jī)構(gòu)提供云服務(wù)的供應(yīng)商提出的合規(guī)性要求，F(xiàn)edRAMP中的RA-5要求規(guī)定對(duì)計(jì)算系統(tǒng)每年進(jìn)行獨(dú)立的漏洞掃描。

如果你疲于管理多個(gè)合規(guī)標(biāo)準(zhǔn) 可試試CCF

與此同時(shí)，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)主要針對(duì)處理信用卡信息的商家和服務(wù)提供商，其中PCI DSS 11.2要求規(guī)定每季度對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行掃描，需由授權(quán)掃描供應(yīng)商執(zhí)行。

如果企業(yè)試圖合理化FedRAMP和PCI DSS要求，企業(yè)可能會(huì)創(chuàng)建單個(gè)控制來覆蓋這兩個(gè)要求。在這個(gè)例子中，企業(yè)的合規(guī)框架可能只要包含對(duì)由PCI DSS授權(quán)掃描供應(yīng)商執(zhí)行的季度漏洞掃描，因?yàn)檫@個(gè)合理化控制就已經(jīng)同時(shí)滿足FedRAMP RA-5和PCI DSS 11.2的要求。企業(yè)只需要繼續(xù)滿足其自己的控制標(biāo)準(zhǔn)，便可確保其符合這兩個(gè)要求。

Adobe的CCF對(duì)Adobe相關(guān)的10個(gè)重要的安全要求進(jìn)行了合理化，這些包括PCI DSS、FedRAMP、Sarbanes-Oxley法案、ISO 27001等。Adobe的合理化過程將1000個(gè)詳細(xì)的要求分成200個(gè)合理化要求。

分階段進(jìn)行合規(guī)合理化

在其白皮書中，Adobe將CCF稱為正在進(jìn)展中的工作，其部署路線圖跨越四年時(shí)間。該公司的白皮書中概述了2016年年底前在多個(gè)Adobe產(chǎn)品部署CCF的分階段方法。

當(dāng)企業(yè)構(gòu)建自己的合規(guī)程序時(shí)，可使用這種分階段的方法作為合規(guī)合理方法的參考。據(jù)推測(cè)，Adobe公司在該計(jì)劃的初始階段執(zhí)行了風(fēng)險(xiǎn)評(píng)估，并以最高風(fēng)險(xiǎn)和最低努力領(lǐng)域?yàn)槟繕?biāo)。這種方法會(huì)先瞄準(zhǔn)唾手可得的目標(biāo)，給企業(yè)提供直接利益。不過，企業(yè)可能會(huì)選擇根據(jù)當(dāng)前的控制狀態(tài)、審核的可能性、安全風(fēng)險(xiǎn)、執(zhí)法處罰和其他標(biāo)準(zhǔn)來優(yōu)先排序合規(guī)活動(dòng)。

構(gòu)建你自己的合規(guī)計(jì)劃

然而，Adobe公司并沒有公布其CCF的細(xì)節(jié)。因此，企業(yè)不能簡單地將CCF作為其自己的合規(guī)計(jì)劃的框架，這給企業(yè)帶來兩個(gè)選擇：創(chuàng)建新的合規(guī)框架或者在現(xiàn)有的系統(tǒng)構(gòu)建。

構(gòu)建新的計(jì)劃是一個(gè)耗時(shí)的過程，并且，只有當(dāng)你的企業(yè)具有高度專業(yè)化合規(guī)要求，且現(xiàn)有框架無法滿足這些要求時(shí)才會(huì)有價(jià)值。大多數(shù)試圖合理化合規(guī)性的企業(yè)可從現(xiàn)有的框架開始，這樣會(huì)更好，例如統(tǒng)一合規(guī)框架(UCF)，UCF提供了對(duì)來自800多個(gè)法律和法規(guī)的9000多個(gè)要求的預(yù)先合理化清單。

結(jié)論

雖然公司不能直接利用Adobe的CCF作為自己的合規(guī)計(jì)劃，但它可以被用來作為企業(yè)做法的模式，從清點(diǎn)合規(guī)要求開始，在構(gòu)建完成的清單后，通過執(zhí)行評(píng)估或在現(xiàn)有框架(例如UCF)構(gòu)建來執(zhí)行控制合理化。然后你的企業(yè)可以映射安全控制到合理化要求，以及簡化合規(guī)流程。

關(guān)鍵字：CCF Adobe PCI DSS