对于努力管理多个合规标准并试图构建自己的合规框架的公司,Adobe的通用控制框架是一个很好的方法。企业面临的最严峻的合规挑战之一是如何构建一个程序来有效地管理所有合规控制和要求而不重叠。Adobe最近发布了一份白皮书,描述了其通用控制框架(CCF)以及它如何帮助满足重要标准。虽然白皮书没有详细说明,但该公司从自己的角度强调了多标准合规的重要性,因为软件制造商必须遵守各种标准。这份CCF白皮书没有提供足够的细节来影响其他企业使用的安全程序的特定方面,但它提供了一个很好的概念方法来处理重叠的监管要求。合理化安全需求CCF最重要的功能是执行合理化过程。在这种方法中,合规专家和安全专家列出了各种法规的细节,并确定了两个或多个法规要求的共同控制。这有助于减轻管理合规性方面重叠法规的负担。程序带来的复杂性。例如,联邦政府发布了联邦风险和授权管理计划(FedRAMP),这是对试图向联邦机构提供云服务的供应商的合规要求。漏洞扫描。同时,支付卡行业数据安全标准(PCIDSS)主要针对处理信用卡信息的商户和服务提供商。其中,PCIDSS11.2要求每季度扫描一次计算机系统,必须由授权扫描供应商进行。如果企业试图使FedRAMP和PCIDSS要求合理化,则企业可以创建一个控制来涵盖这两个要求。在此示例中,组织的合规性框架可能只需要包括由PCIDSS授权扫描供应商执行的季度漏洞扫描,因为这种合理化控制已经满足FedRAMPRA-5和PCIDSS11.2要求。企业只需要继续满足他们自己的控制标准,以确保他们符合这两项要求。Adobe的CCF合理化了与Adobe相关的10项重要安全要求,包括PCIDSS、FedRAMP、Sarbanes-OxleyAct、ISO27001等。Adobe的合理化流程将1000条详细要求分解为200条合理化要求。分阶段合理化合规性在其白皮书中,Adobe将CCF称为一项正在进行的工作,其部署路线图跨越四年。该公司的白皮书概述了到2016年底在多个Adob??e产品中部署CCF的分阶段方法。随着企业建立自己的合规计划,使用这种分阶段方法作为合理合规方法的参考。据推测,Adobe在计划的初始阶段进行了风险评估,针对最高风险和最大努力的领域。这种方法首先针对容易实现的目标,为企业提供直接利益。但是,组织可能会根据当前的控制状态、审计的可能性、安全风险、执法处罚和其他标准来选择对合规活动进行优先排序。构建您自己的合规计划Adob??e尚未发布其CCF的详细信息。因此,企业不能简单地将CCF作为自身合规方案的框架,这给企业带来了两种选择:创建一个新的合规框架或者在现有系统上构建。构建新程序是一个耗时的过程,并且只有在您的企业具有现有框架无法满足的高度专业化的合规性要求时才有价值。大多数试图合理化合规性的企业最好从现有框架开始,例如统一合规性框架(UCF),它提供了800多条法律和法规列表中9,000多条要求的预先合理化。结论虽然公司不能直接利用Adob??e的CCF作为他们自己的合规计划,但它可以用作企业实践的模型,从合规要求清单开始,在构建完整的清单之后,通过执行评估或在现有框架的基础上构建(例如UCF)用于执行控制合理化。然后,您的组织可以映射安全控制以合理化要求并简化合规流程。
