Das Adobe Common Controls Framework (CCF).
Wir sind überzeugt: Eine solide Strategie für Compliance und Risiko-Management ist für den Unternehmenserfolg genauso entscheidend wie die Produktstrategie. Der hohe Stellenwert, den Adobe der Sicherheit einräumt, wird in den implementierten Branchenstandards und der Einhaltung der gesetzlichen Vorgaben für Datensicherheit und -schutz sichtbar. Sobald neue Sicherheitsstandards und regulatorische Anforderungen in der Branche entwickelt und eingeführt werden, prüft Adobe diese und übernimmt die für unsere Kundinnen und Kunden relevanten Aspekte.
Um unsere kontinuierlichen Compliance-Maßnahmen zu unterstützen, hat Adobe ein Open-Source-Framework für Sicherheitsprozesse und -kontrollen eingeführt: das Common Controls Framework (CCF). Das CCF schützt nicht nur die Adobe-Infrastruktur, -Anwendungen und -Services, sondern hilft uns auch, zahlreiche branchenweit anerkannte Best Practices, Standards, Vorschriften und Zertifizierungen einzuhalten. Bei der Entwicklung des CCF hat Adobe die Kriterien der gängigen Sicherheitszertifizierungen für Cloud-basierte Unternehmen analysiert und die über 4.300 Anforderungen auf Adobe-spezifische Kontrollen reduziert, die 21 Branchenstandards abdecken.
Dieses Trichterdiagramm zeigt die Sicherheitsstandards und Kontrollanforderungen, die Adobe umgesetzt hat, um gemeinsame Kontrollen über verschiedene Kontrollbereiche hinweg zu schaffen.
Die linke Seite des Diagramms trägt den Titel „über 20 Standards, ca. 4.300 Kontrollanforderungen (CRs)“. Unter dem Titel befindet sich die folgende Liste von Standards, jeweils mit einer Zahl, die die Kontrollanforderungen repräsentiert:
• AICPA Trust Service Principles Service Organization Controls (SOC) – 40
• Cloud Computing Compliance Criteria Catalogue (BSI C5) – 120
• Cyber Essentials, Vereinigtes Königreich – 24
• Critical Security Controls (CIS V8) – 150
• FedRAMP Tailored & Moderate – 320
• Financial Security Institute CSP Evaluation, Korea – 56
• Health Insurance Portability and Accountability Act (HIPAA) – 70
• InfoSec Registered Assessors Program, Australien (IRAP) – 880
• Information System Security Management and Assessment Program, Japan (ISMAP) – 1160
• ISO 27001:2022 & 27002:2022 – 110
• ISO 27017:2015 – 7
• ISO 27018:2019 – 26
• ISO 22301:2019 – 200
• Monetary Authority of Singapore (MAS) – 230
• Multi-Layer Protection Scheme, China (MLPS) – 300
• NIST Cybersecurity – 100
• Payment Card Industry Data Security Standard (PCI DSS v4) – 290
• Spanien Esquema Nacional de Seguridad (ENS) – 100
• TXRAMP L1 – 120
Im Zentrum des Diagramms befindet sich ein Trichter mit der Bezeichnung „CCF-Rationalisierung“. Die auf der linken Seite der Grafik aufgeführten Standards und Kontrollen werden durch einige gelbe Punkte dargestellt, die in den Trichter fließen. Auf der rechten Seite des Trichters treten wenige grüne Punkte hervor. Diese repräsentieren die resultierenden gemeinsamen Kontrollen.
Die rechte Seite des Diagramms trägt den Titel „Ungefähr 315 gemeinsame Kontrollen über 25 Kontrollbereiche hinweg“. Unter dem Titel befindet sich folgende Liste von Kontrollbereichen, jeweils mit einer Zahl, die die gemeinsamen Kontrollen repräsentiert:
• Asset-Management – 11 Kontrollen
• Backup-Management – 5 Kontrollen
• Geschäftskontinuität – 6 Kontrollen
• Änderungs-Management – 4 Kontrollen
• Konfigurations-Management – 15 Kontrollen
• Kryptografie – 15 Kontrollen
• Kundenverwaltete Sicherheit – 4 Kontrollen
• Daten-Management – 21 Kontrollen
• Unternehmensverwaltung – 11 Kontrollen
• Identitäts- und Zugriffs-Management – 39 Kontrollen
• Problembehandlung – 8 Kontrollen
• Verwaltung mobiler Geräte – 4 Kontrollen
• Netzwerkbetrieb – 18 Kontrollen
• Personalressourcen – 10 Kontrollen
• Datenschutz – 10 Kontrollen
• Proaktive Sicherheit – 4 Kontrollen
• Risiko-Management – 8 Kontrollen
• Sicherheits-Governance – 17 Kontrollen
• Service-Lebenszyklus – 7 Kontrollen
• Standortbetrieb – 16 Kontrollen
• System-Design-Dokumentation – 2 Kontrollen
• Systemüberwachung – 32 Kontrollen
• Drittanbieter-Management – 13 Kontrollen
• Schulung und Sensibilisierung – 9 Kontrollen
• Schwachstellen-Management – 23 Kontrollen
Unsere fortlaufenden Maßnahmen.
Compliance ist ein kontinuierlicher Prozess, der regelmäßige interne Prüfungen, externe Bewertungen und fortlaufende Kontrollen umfasst. Adobe unterzieht sich regelmäßigen Audits durch Dritte und periodischen Überprüfungen, um sicherzustellen, dass wir unsere Verpflichtungen konsequent erfüllen. Zudem hat Adobe in die Entwicklung einer unternehmensweiten Automatisierungsplattform für Governance, Risiko und Compliance (GRC) https://medium.com/adobetech/automating-the-common-controls-framework-ccf-part-i-83271bdb0f00investiert, um ein effektives Governance-Modell für das Compliance-Programm aufrechtzuerhalten.
Open-Source und einsatzbereit.
Das Common Controls Framework (CCF) wurde als Open-Source-Lösung (jetzt in Version 5.0) veröffentlicht, um der breiteren Sicherheits- und Risiko-Management-Community dabei zu helfen, eigene Compliance-Ziele zu erreichen. Wir aktualisieren das Framework regelmäßig, sobald sich Vorschriften ändern oder neue Branchenstandards in unser Compliance-Programm aufgenommen werden. Nutze das Framework gern, um deine eigenen Compliance-Aktivitäten zu beschleunigen und zu standardisieren. Lade das CCF noch heute herunter. Wir freuen uns immer über Rückmeldung zur Weiterentwicklung.