SAS 70替代

  • 在Facebook上分享
  • 在Twitter上分享
  • 分享在LinkedIn
  • 在Reddit分享
  • 通过电子邮件分享
  • 印刷资源

方案 |

同时给出SAS 70明年将被取代的审计标准SSAE 16。

SAS 70审计服务提供者的标准一直是必须测试内部安全控制。但还没有没有批评者SAS 70的替换就在眼前。

2011年6月,取而代之的将是标准认证活动(SSAE) 16。审计准则委员会的美国注册会计师协会(AICPA)定稿SSAE 164月的一个有效的起始日期6月15日,2011年。它的目的是更新美国服务机构报告标准所以镜子和符合新标准被称为国际服务机构报告ISAE 3402

高级经理冬青Russo会计师事务所施耐德唐斯& co .总结有什么不同在SSAE 16网站给客户的报告。关键的不同点是:

  • 的要求报告中的“管理断言”部分——SSAE 16下,管理服务组织必须提供一份书面报告的断言在体内的公允表达描述服务的组织系统,控制和的设计的适用性,为2型报告,操作控制的有效性。如果一个服务组织使用subservice组织(s)和选择使用包容性的方法,subservice组织(s)断言也必须陪审计人员的报告。管理的说法还必须指定用于评估的标准。这些断言本质上类似于SAS 70审计管理代表字母。信也仍然需要一个单独的管理表示。
  • II型报告,服务的审计师的意见公允表达系统和适应性的设计将报告涵盖的时期。在SAS 70,这是目前的一个时间点。

时钟滴答作响,方案决定把那些经历过的温度和/或SAS 70年进行审计。这样做的目的是,看看它如何准备了公司整体审计挑战。下面四个方面在回答我们的询问各LinkedIn论坛。

研究主管斯科特•克劳福德企业管理协会(EMA)和前国际数据中心信息安全官的全面禁止核试验条约组织在维也纳,奥地利。SAS 70审计是根据目标进行定义的服务机构。换句话说,SAS 70框架本身并不是一个目标,而是允许组织选择的目标,这引出了一个问题“审计什么?”

当然,大多数组织将促使审计认可标准。在很多情况下,被广泛接受的指导可以使用如COBIT框架,但COBIT可以很一般,可能更适合于高级项目管理而不是具体的实现。但COBIT只是许多这样之一——和任何框架可以调到一个组织或一个审计的特定需求,所以了解一个特定的控制和控制目标审计同样重要。这意味着一个SAS 70审计可能非常彻底的控制目标是高度颗粒,无用地一般如果过于极端光谱的另一端。

因此,事实上不仅有许多替代SAS 70审计,但许多控制目标和/或框架,可以定义为任何审计,包括任何SAS 70审计。这包括PCI DSS、ISO 27000 -系列、SysTrust等等。位共享评估计划旨在专门启用主要金融机构共同努力标准化评估在许多方面,包括安全。然而,有每种方法的优势以及不足之处,如:当前的标准是当前景观如何威胁或技术本身。例如虚拟化,仍然尚未彻底解决作为它应该在某些情况下。但它经常在云计算的基础技术。

CPA克里斯•Schellman CISSP,中钢协,中央情报局,总统和股东,SAS 70解决方案,Inc.The SAS 70审计标准适合于其预期的目的,而不是那么好。它从来没有声称自己是所有评估的通用解决方案的需求,但绝对没有替代领域的财务报表审计和SOX合规。批评的标准往往展示了深刻的漠视标准的目的。公平批评标准的误用和滥用的SAS 70年审计报告,但这并不等同于标准本身的故障。

SAS 70标准可以说是消失可能不是最好的角度。是的,它是被SSAE 16所取代,但SSAE 16使用SAS 70标准为基础。国际标准,ISAE 3402,其他国家的担保机构正忙于采用完全或调整他们的SSAE 16等价的标准匹配。我们可能会进入一个繁荣时期为“SAS 70 v2.0”(SSAE 16和ISAE 3402)的形式。大部分差异SAS 70和新标准将几乎无法区分一般的外行。

首席安全官不费格斯Intekras据我们的风险评估,我们利用ISO 27001/27002审查安全措施的充分性。根据定义,SAS 70评论包括程序获取合理保证是否控制描述(如所描述的管理)提供的服务组织的控制方面可能相关的财务报表的审计,并进一步控制包含在描述中指定适当的旨在实现控制目标的描述。这意味着在SAS 70 II型审查服务组织描述其控制机制,然后一个测试来验证控制存在。所以,如果有一个糟糕的控制,审查者证明了它的存在,而不是其改进建议。

与SAS 70年,ISO标准有超过150个预定义的控制。在我们ISO-based评论,我们确定一个特定的控制(通过适用性)的一份声明中,适用于一个组织如何满足控制目标,我们收集证据,他们遇到了控制。而不是依赖管理描述控制(然后只是证明他们的存在),我们更喜欢ISO-based评论,因为它提供了一组全面的安全相关的主题和以客观的手段来衡量风险。

高级信息安全审计Shrinath SunGardMy组织经历了SAS 70审计在过去的3年。第一年都知道它绝对是挑战和测试程序。这绝对是一个最严格的审计因为证据样本的数量拿起测试和任何失败在一个单一的其中一个会导致控制失败除非你有很好的补偿控制为它。对我们来说,它帮助收紧过程失误,增加操作控制的有效性。

阅读更多关于它的审计在CSOonline审计部分。

这个故事,“SAS 70替换”最初发表的方案

下一个读这篇文章:

相关:

版权©2010 IDG通信公司。Raybet2

企业网络2022的10个最强大的公司