对于数据中心来说，与采用SAS70和SSAE16相关的挑战在于这两个标准都集中在对企业财务报告内部控制（ICFR）的关注。企业财务报告内部控制是企业必须遵守的《萨班斯-奥克斯利法案（Sarbanes-OxleyAct）》的关键内容。然而，在大多数情况下，财务报告内部控制仅仅局限于关注为数据中心的客户提供服务。有限的报告选项使得有些数据中心进退两难。
　　
　　服务性机构控制体系鉴证
　　
　　美国注册公共会计师协会意识到了这个问题，并创造了一套报告选项给服务提供商称为：服务性机构控制体系鉴证（SOC，ServiceOrganizationControls）报告，这正好过渡到SSAE16。SOC报告的目的是给服务提供商选项，方便他们提供更多的相关报告给客户。
　　
　　SOC1是基于SSAE16，类似于其前身SAS70，重点聚焦在对企业财务报告内部控制的关注。SOC1与那些服务的客户对于财务报告内部控制有需求的数据中心最为相关。
　　
　　SOC2和SOC3报告是基于AICPA的信托原则：
　　
　　•安全：物理和逻辑的措施，阻止未经授权的访问。
　　
　　•可用性：指定系统的使用和操作。
　　
　　•处理系统的完整性：系统处理的授权、准确、完整和及时。
　　
　　•保密：针对保密信息的保护。
　　
　　•隐私：根据AICPA普遍接受的隐私原则进行信息收集、处理和处置。
　　
　　SOC3是一个一般用途的报告，只包括一个审计师的意见，即是否达到了服务性机构控制体系鉴证的标准。SOC3不包括配套的细节，对于有目的的营销是最有用的。
　　
　　不过，SOC2应该对于那些要履行客户审计要求的数据中心是非常有用的。大多数数据中心服务供应商都认识到：安全性、可用性、处理的完整性、保密和隐私等概念比他们所提供的企业财务报告内部控制更为重要的。SOC2报告包括描述数据中心的系统，以及审计师对于公平性的描述和设计的适宜度的意见。报告还包括一个业务审计员进行测试的描述以及测试结果。
　　
　　SOC2的范围可以包括任何组合的信托服务原则。例如，托管设施的客户可能会觉得安全是与他们提供的服务一致唯一的原则。然而，管理的托管服务的供应商可能觉得安全性与可用性和保密原则是有关的。
　　
　　新报告带来的市场混乱
　　
　　虽然各种SOC报告选项使数据中心得以提供更多有关的保证报告，这些报告选项的新奇也带来了市场的混乱。
　　
　　今天，数据中心客户往往要求SSAE16审计鉴证准则（SOC1）报告，因为他们习惯于接受他们的数据中心服务提供商的SAS70。此外，一些报告选项和各种信托服务原则组合可能为SOC2报告，造成客户的混乱。
　　
　　新的选项需要数据中心来重新审视自己的目标，他们正在寻求提供第三方保证。数据中心服务供应商应当咨询他们的审计师，并与审计师们讨论主要目标和各种可供选择的方案。这个过程可能会需要大量反复的向客户解释和教育。
　　
　　然而，这样做的好处是数据中心可以通过这个过程获得第三方保证，从而确保他们给客户所提供的相关服务满足要求。

　　本文作者布瑞恩•托马斯是国际信息系统审计师，是国际注册信息系统安全专家Weaver公司的咨询伙伴，这是一家办事处遍布德克萨斯州西南部的独立会计事务所。
　　

　　
　　责任编辑：yayo