SAS 70 Type II稽核无法检查稽核范围以外的项目。在稽核检查表上的项目您或许严格控管,但漏洞却可能在检查范围之外。再者,任何流程的稽核都无法涵盖执行流程的人。厂商的用人原则为何?SAS 70 Type II稽核并不一定涵盖用人原则。凡人都可能犯错,当然也绝非完美(纯粹就事论事)。
SAS70审查并没有一套标准作法。这类稽核是稽核者与受稽核对象彼此共同设计出来,目的在于测试特定业务流程的控管措施。而控管措施可能无法"包山包海",所以,在原先预定之外的项目,即使对业务服务很重要也不在测试范围内。因此,在将关键业务流程交给任何服务供货商之前,您应该对SAS70稽核有所存疑。而且,理想的稽核不应该只专注于数据安全,而是应该延伸至服务永续性、厂商管理、备份复原、人事制度等其它领域。
不论公共云端运算或私人云端运算在降低成本、提升企业灵活度方面都能提供优异的企业价值。不过,建议您在挑选之前还是应该先认清其中的安全挑战。
相关阅读