MikeKlein是网上技术的总裁和首席运营官,它提供主机托管,服务器和manged私有云服务。
最近,我们的数据中心核数师,UHY事务所,提交给我们世界上SAS70,SSAE16,SOC2和SOC3对于数据中心审计标准的更新。围绕这些标准仍旧有一些问题,他们似乎仍旧有所发展,所以我尽力简洁的写了捕获这些标准现状的文章。
SAS70(第70号审计准则声明)已经出现了近20年。1992年首次发布时,它一直是数据中心用户的黄金标准,以保证其数据中心的安全性和系统运行在适当的的控制之下。根据美国会计师协会(AICPA),SAS70从来不被用于服务组织这种方式。它的重点是对财务报告的内部控制。
一个SAS70的审计验证过程就是过程控制,数据中心运营商在地方得到遵守。有,但是没有最低杆,数据中心运营商已经实现并没有基准可用于数据中心的经营者追究责任。具有较强的控制和处理数据的中心具有索赔弱控制和系统审计数据中心商的同等水平。你必须详细阅读SAS70的审计报告去了解它的控制水平,部署和审计。
一些刺激的东西怎么没有数据中心运营商声称他们是“SAS70的认证”后他们已经审计。事实上,没有这样的认证存在。据官方统计,数据中心可以只声称他们的“SAS70审计”。但是,在服务中创造了自己的SAS70“认证"标志的供应商数量之多,表明了这种认证没有兑现的需要。输入新的SSAE16,SOC2和SOC3报告标准。
SSAE16(报表的见证业务标准第16号)是美国下一代注册会计师协会审计准则的报告(包括数据中心)管制服务机构。SSAE16审查超出规定的SAS70,审计师须获得一份书面声明,从设计和经营效率的有效性进行管理。SSAE16也提供了更好的与国际审计准则ISAE3420对齐。
根据新的美国注册会计师协会的报告标准,在SSAE下的审计将导致服务组织控制(SOC)1的报告。这些报告仍集中在控制有关的财务报告的内部控制上。从本质上讲,一个SOC1的报告将是已完成SSAE16的报告形式。与SAS70相比,SOC1报告只限于现有客户和他们的核数师,而不是潜在客户或一般公众。
SCO1报告将作为第一类或二类的报告,非常类似现在的SAS70。
第一类报告说明审计意见的准确性和管理的系统或服务,以及对控制作为一个设计是否适合特定日期说明的完整性。第二类报告的SOC1报告包括第一类报告标准和审计工作的控制效果,一般是在六个月和一年。像SAS70,没有正式的SSAE16或SOC1“认证”。
SOC2和SOC3报告
SOC2和SOC3提供比SSAE16更具有严格的控制,特别是围绕数据中心服务组织的设计。SOC2和SOC3提供SAS70中缺失的和SSAE16-一个标准基准,靠两个数据中心可以对审计工作同一套准则进行比较。
相反对于SSAE-16的参与,其中的数据中心运营商定义审计标准,AICPA的服务组织控制(SOC)的第二类报告的目的是提供与控制相关的保证1)安全2)供应3)加工诚信4)保密或5)系统和信息的隐私权。一个SOC2的报告是根据美国注册会计师协会信托服务指导原则和标准包括预先定义的控制标准。这些标准已制定了AICPA的设计和评估工作在数据中心或其他服务组织控制的有效性。
SOC3报告提供了关于在安全性,可用性,处理的完整性,保密性和作为SOC2报告的隐私性的同等水平,但本报告只做一般性释放,不包括由核数师进行的测试的详细描述,而是一个总结舆论对地方控制的有效性在数据中心或服务的机构。
SOC3也满足高层次的数据中心运营商一直在寻找的要求。一旦核数师保证数据中心运营商已经实现了信托服务标准,公司可以显示的SOC3:服务机构印章SysTrust.
尽管这种密封仍然看起来好像是由注册会计师设计的,但它在正确的方向迈进了一大步。SOC2和SOC3提供给数据中心用户高度的保证那就是他们的数据中心是安全的,高度可用的,在一组高度诚信经营流程下运行。
SOC2和SOC3-欢迎标准到数据中心行业
SOC2和SOC3是我们业界的标准。用户将获得他们一直追求的一个标准使用的比较基准的数据中心运营商。
行业观点是在数据中心的知识含量通道突出思想在数据中心的领导地位。