隨(sui)著新(xin)規則(ze)的出(chu)現(xian)和(he)舊(jiu)規則(ze)的發(fa)展(zhan),數據中心(xin)審(shen)計(ji)需(xu)求(qiu)也在(zai)不(bu)斷變(bian)化(hua)。
很(hen)少(shao)有(you)人對(dui)審計(ji)或(huo)監管要(yao)求(qiu)感到(dao)興(xing)奮�。然(ran)而�,鑒(jian)于近(jin)年來(lai)監管(guan)和合規(gui)環(huan)境的(de)快速變化���,我(wo)們(men)有(you)理(li)由(you)對數據(ju)中(zhong)心審(shen)計(ji)感到興(xing)奮�。數(shu)據(ju)中(zhong)心需要滿(man)足的審(shen)計規則在某(mou)些方(fang)面(mian)正(zheng)在發(fa)生變(bian)化����,利(li)益相(xiang)關(guan)者(zhe)如果(guo)想繼(ji)續遵守(shou)其(qi)需(xu)要滿足(zu)的(de)各(ge)種(zhong)監(jian)管和行(xing)業審計標準���,就必須跟(gen)蹤(zong)并(bing)響應(ying)這些(xie)變化(hua)�����。
數據中心(xin)審(shen)計(ji)概述
數(shu)據(ju)中(zhong)心審計(ji)程(cheng)序(xu)分(fen)為(wei)兩(liang)大類:
第(di)一類審計(ji)是主觀的(de),并(bing)且(qie)在(zai)不同(tong)的(de)數(shu)據中心(xin)之間差異很大�����。鑒于(yu)此(ci)�����,很(hen)難確定任何(he)涉及自愿(yuan)審(shen)計的中(zhong)心趨(qu)勢(shi)。
第二種(zhong)類(lei)型(xing)的(de)數(shu)據(ju)中心審計(ji)——法(fa)規(gui)正式(shi)要(yao)求(qiu)的審計(ji),近年來(lai)發生(sheng)了很(hen)大(da)變化(hua)���。
也許最(zui)顯著(zhu)的(de)轉(zhuan)變是用(yong)SSAE 18(該(gai)標準的更新(xin)版(ban)本)取代(dai)了(le)SAS 70和(he)SSAE 16,這(zhe)兩(liang)種(zhong)審(shen)核(he)標(biao)準(zhun)在SOC 2合(he)規性方(fang)面(mian)發(fa)揮(hui)著關鍵(jian)作用�。這一變(bian)化并(bing)沒(mei)有(you)從(cong)根本(ben)上(shang)改(gai)變需要實現SOC合規(gui)性(xing)的(de)數(shu)據(ju)中(zhong)心的(de)報(bao)告要求(qiu),但(dan)其確(que)實(shi)更(geng)新了一些報(bao)告(gao)細節(jie)。
目前正(zheng)在(zai)進行(xing)的(de)另(ling)一項重(zhong)大(da)合(he)規(gui)性(xing)變更(geng)是推(tui)出PCI DSS 4.0,該版本(ben)于2022年3月生效���。PCI DSS是支付(fu)處理行(xing)業維(wei)護的一套(tao)合規(gui)標準�。這些規則并(bing)不是專門(men)為(wei)數(shu)據中(zhong)心(xin)設計(ji)的——事(shi)實(shi)上(shang),數(shu)據(ju)中(zhong)心并(bing)不(bu)是(shi)PCI DSS的(de)明(ming)確(que)關(guan)注點,而(er)是針(zhen)對(dui)希望(wang)托(tuo)管(guan)以某(mou)種(zhong)方(fang)式處(chu)理(li)支(zhi)付的(de)工(gong)作(zuo)負載(zai)的數(shu)據(ju)中(zhong)心的考慮(lv)因(yin)素(su)。
因(yin)此(ci),數據中(zhong)心運(yun)營商(shang)可(ke)能需(xu)要(yao)更(geng)新其審計(ji)策(ce)略,以(yi)反映(ying)PCI DSS 4引(yin)入(ru)的新(xin)規則(ze),該規則除其他(ta)增(zeng)強(qiang)功(gong)能(neng)外(wai)�,還(hai)對(dui)安(an)全(quan)和身(shen)份驗(yan)證(zheng)提(ti)出(chu)了更嚴格的要求。如(ru)果數據中心想(xiang)要(yao)實(shi)現PCI DSS合(he)規(gui)性,這些(xie)需求可(ke)能會(hui)影響數據中(zhong)心(xin)需(xu)要實(shi)施的物(wu)理和(he)虛擬安全(quan)保護(hu)。
除(chu)了審(shen)核之(zhi)外(wai):其(qi)他(ta)數(shu)據(ju)中心(xin)合規性(xing)變(bian)更
除了PCI DSS之外(wai),一(yi)些(xie)數(shu)據中心(xin)可能還需(xu)要(yao)滿足(zu)許多(duo)其(qi)他(ta)合(he)規性法(fa)規和標準�,特別(bie)是當其迎合某(mou)些行業(ye)或在某些地區運營(ying)時(shi)�����。
例(li)如��,托(tuo)管醫療保(bao)健相關工作(zuo)負(fu)載(zai)的數(shu)據中(zhong)心可能(neng)需要(yao)遵守HIPAA(美(mei)國主(zhu)要(yao)的(de)醫(yi)療保健數據(ju)隱(yin)私保(bao)護法(fa)規(gui))���。GDPR、CPRA和(he)CCPA數據(ju)隱(yin)私(si)法(fa)規也(ye)會影(ying)響(xiang)位于特定司法管轄(xia)區的數據(ju)中心(xin),或(huo)者(zhe)在(zai)某些情況(kuang)下僅(jin)為(wei)位(wei)于特(te)定(ding)司(si)法(fa)管(guan)轄(xia)區(qu)的用(yong)戶提供服務。
這(zhe)些合(he)規性(xing)框(kuang)架(jia)近年來沒(mei)有(you)出現(xian)重(zhong)大更(geng)新(xin)����,因(yin)此(ci)數(shu)據(ju)中(zhong)心(xin)已經(jing)采用的審(shen)計策略(lve)可(ke)以幫助(zhu)遵守(shou)HIPAA��、GDPR�、CCPA和(he)類(lei)似的法規(gui),在可(ke)預見(jian)的未來,這些(xie)策略應該會繼續(xu)發(fa)揮(hui)作(zuo)用。
然(ran)而(er)����,至(zhi)少在(zai)2023年,HIPAA可能(neng)會(hui)發生一些變化�����,因(yin)此(ci)數(shu)據中(zhong)心(xin)運(yun)營商應(ying)密切(qie)監控(kong)合(he)規情況,以(yi)確保其(qi)始(shi)終遵守(shou)法規所施(shi)加(jia)的任何審(shen)計(ji)或(huo)其(qi)他要求�����。
總結
數(shu)據中(zhong)心必須(xu)注意(yi)的審(shen)計需求(qiu)尚(shang)未(wei)完(wan)全(quan)顛(dian)覆(fu),但正在發(fa)生顯著變化(hua)�����。如果沒(mei)有注(zhu)意到(dao)這(zhe)一(yi)點(dian),并(bing)且數據中心審(shen)計(ji)策略(lve)還停(ting)留在(zai)2010年(nian)代(dai)�,那么現(xian)在是(shi)時候(hou)弄(nong)清楚如(ru)何(he)滿(man)足新的(de)和正在(zai)出現的(de)審計(ji)需(xu)求(qiu)了。
