6.3.4  信息系統(tǒng)審計(jì)報(bào)告

報(bào)告撰寫通常是最關(guān)鍵的任務(wù)之一。評(píng)估人員經(jīng)常擔(dān)心寫下我們所做的是什么，以及它對(duì)組織的意義。這可能是將真正的安全專業(yè)人員與安全從業(yè)者區(qū)分開來的任務(wù)：專業(yè)人員了解信息系統(tǒng)安全在更廣泛的業(yè)務(wù)環(huán)境中的作用，并能夠?qū)⑵鋫鬟_(dá)給技術(shù)和非技術(shù)觀眾。常見的報(bào)告標(biāo)準(zhǔn)包括SAS70和SOC。

1.SAS 70

SAS 70是由美國注冊(cè)會(huì)計(jì)師協(xié)會(huì)(American Institute of Certified Pul)lic Accountants,

AICPA)制定的用于處理服務(wù)機(jī)構(gòu)的審計(jì)標(biāo)準(zhǔn)。它提供了一套基于服務(wù)組織（如提供IT艮務(wù)的服務(wù)組織）標(biāo)準(zhǔn)可以展示其內(nèi)部控制的有效性，而不必允許每個(gè)客戶進(jìn)入并執(zhí)行自己的審核。沒有這個(gè)標(biāo)準(zhǔn)，服務(wù)機(jī)構(gòu)將會(huì)花費(fèi)大量的資源來重新審視來自每個(gè)客戶的請(qǐng)求。根據(jù)這一標(biāo)準(zhǔn)，服務(wù)機(jī)構(gòu)可以聘請(qǐng)經(jīng)認(rèn)證的獨(dú)立服務(wù)審核員來形成SAS 70審核并發(fā)布報(bào)告。該報(bào)告可以反過來提交給任何需要證明服務(wù)機(jī)構(gòu)內(nèi)部控制有效性的客戶。

自從2002年實(shí)施“薩班斯法案”404條款以來，SAS 70報(bào)告變得尤為重要，因?yàn)楣究梢詫⑵渥鳛閮?nèi)部控制有效性的證明，證明其已外包的財(cái)務(wù)處理和重新轉(zhuǎn)移的任何方面。沒有他們，所有提供金融服務(wù)的公司都將受到來自所有客戶的薩班斯一奧克斯利法案的審核的轟炸，而不是能夠?qū)⒚總€(gè)客戶的SAS 70報(bào)告都交給客戶。

SAS 70服務(wù)審核員報(bào)告有兩種類型：類型l和類型2。兩種類型都包括對(duì)服務(wù)組織的內(nèi)部控制在某個(gè)時(shí)間點(diǎn)的設(shè)計(jì)的描述和意見。但是，只有第2類報(bào)告包含服務(wù)審計(jì)人員在本報(bào)告所述期間控制是否有效運(yùn)行的結(jié)果，以確保實(shí)現(xiàn)控制目標(biāo)。作為審計(jì)師，您腎希望您的服務(wù)提供商提供類型2報(bào)告，因?yàn)轭愋?報(bào)告不提供控制措施有效運(yùn)行的證據(jù)。