|
在過去,數(shù)據(jù)中心往往收到客戶要求提供SAS70報(bào)告的需求�����,以獲得服務(wù)提供商的內(nèi)部程序某種程度上的保證�。SAS70已經(jīng)于2011年6月正式廢止�����,F(xiàn)在,數(shù)據(jù)中心又開始收到客戶更換的要求:提供SSAE16(鑒證業(yè)務(wù)準(zhǔn)則公告第16號(hào))��。這兩份報(bào)告的標(biāo)準(zhǔn)均是由美國(guó)注冊(cè)公共會(huì)計(jì)師協(xié)會(huì)(AICPA)制定的�。
對(duì)于數(shù)據(jù)中心來說,與采用SAS70和SSAE16相關(guān)的挑戰(zhàn)在于這兩個(gè)標(biāo)準(zhǔn)都集中在對(duì)企業(yè)財(cái)務(wù)報(bào)告內(nèi)部控制(ICFR)的關(guān)注�����。企業(yè)財(cái)務(wù)報(bào)告內(nèi)部控制是企業(yè)必須遵守的《薩班斯-奧克斯利法案(Sarbanes-OxleyAct)》的關(guān)鍵內(nèi)容�。然而�����,在大多數(shù)情況下����,財(cái)務(wù)報(bào)告內(nèi)部控制僅僅局限于關(guān)注為數(shù)據(jù)中心的客戶提供服務(wù)。有限的報(bào)告選項(xiàng)使得有些數(shù)據(jù)中心進(jìn)退兩難�。
服務(wù)性機(jī)構(gòu)控制體系鑒證
美國(guó)注冊(cè)公共會(huì)計(jì)師協(xié)會(huì)意識(shí)到了這個(gè)問題,并創(chuàng)造了一套報(bào)告選項(xiàng)給服務(wù)提供商稱為:服務(wù)性機(jī)構(gòu)控制體系鑒證(SOC��,ServiceOrganizationControls)報(bào)告���,這正好過渡到SSAE16.SOC報(bào)告的目的是給服務(wù)提供商選項(xiàng)�,方便他們提供更多的相關(guān)報(bào)告給客戶。
SOC1是基于SSAE16��,類似于其前身SAS70�,重點(diǎn)聚焦在對(duì)企業(yè)財(cái)務(wù)報(bào)告內(nèi)部控制的關(guān)注。SOC1與那些服務(wù)的客戶對(duì)于財(cái)務(wù)報(bào)告內(nèi)部控制有需求的數(shù)據(jù)中心最為相關(guān)����。
SOC2和SOC3報(bào)告是基于AICPA的信托原則:
安全:物理和邏輯的措施,阻止未經(jīng)授權(quán)的訪問����。
可用性:指定系統(tǒng)的使用和操作。
處理系統(tǒng)的完整性:系統(tǒng)處理的授權(quán)��、準(zhǔn)確���、完整和及時(shí)��。
保密:針對(duì)保密信息的保護(hù)����。
隱私:根據(jù)AICPA普遍接受的隱私原則進(jìn)行信息收集�、處理和處置。
SOC3是一個(gè)一般用途的報(bào)告�����,只包括一個(gè)審計(jì)師的意見,即是否達(dá)到了服務(wù)性機(jī)構(gòu)控制體系鑒證的標(biāo)準(zhǔn)��。SOC3不包括配套的細(xì)節(jié)����,對(duì)于有目的的營(yíng)銷是最有用的。
不過�����,SOC2應(yīng)該對(duì)于那些要履行客戶審計(jì)要求的數(shù)據(jù)中心是非常有用的��。大多數(shù)數(shù)據(jù)中心服務(wù)供應(yīng)商都認(rèn)識(shí)到:安全性����、可用性����、處理的完整性、保密和隱私等概念比他們所提供的企業(yè)財(cái)務(wù)報(bào)告內(nèi)部控制更為重要的�����。SOC2報(bào)告包括描述數(shù)據(jù)中心的系統(tǒng),以及審計(jì)師對(duì)于公平性的描述和設(shè)計(jì)的適宜度的意見�����。報(bào)告還包括一個(gè)業(yè)務(wù)審計(jì)員進(jìn)行測(cè)試的描述以及測(cè)試結(jié)果��。
SOC2的范圍可以包括任何組合的信托服務(wù)原則�。例如,托管設(shè)施的客戶可能會(huì)覺得安全是與他們提供的服務(wù)一致唯一的原則�。然而,管理的托管服務(wù)的供應(yīng)商可能覺得安全性與可用性和保密原則是有關(guān)的���。
新報(bào)告帶來的市場(chǎng)混亂
雖然各種SOC報(bào)告選項(xiàng)使數(shù)據(jù)中心得以提供更多有關(guān)的保證報(bào)告�,這些報(bào)告選項(xiàng)的新奇也帶來了市場(chǎng)的混亂��。
今天���,數(shù)據(jù)中心客戶往往要求SSAE16審計(jì)鑒證準(zhǔn)則(SOC1)報(bào)告�����,因?yàn)樗麄兞?xí)慣于接受他們的數(shù)據(jù)中心服務(wù)提供商的SAS70.此外�,一些報(bào)告選項(xiàng)和各種信托服務(wù)原則組合可能為SOC2報(bào)告,造成客戶的混亂�����。
新的選項(xiàng)需要數(shù)據(jù)中心來重新審視自己的目標(biāo)���,他們正在尋求提供第三方保證���。數(shù)據(jù)中心服務(wù)供應(yīng)商應(yīng)當(dāng)咨詢他們的審計(jì)師,并與審計(jì)師們討論主要目標(biāo)和各種可供選擇的方案����。這個(gè)過程可能會(huì)需要大量反復(fù)的向客戶解釋和教育。
然而���,這樣做的好處是數(shù)據(jù)中心可以通過這個(gè)過程獲得第三方保證,從而確保他們給客戶所提供的相關(guān)服務(wù)滿足要求���。
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
