我不清楚如何正确表述我们的安全状态。我们托管的 IFD CRM 实例所在的数据中心尚未支付这些审计费用。但是,微软文献表明 CRM Online(托管在 MS 服务器上)具有这些认证,并且随着每次服务更新,认证数量都在增加。
如果我们的 CRM 内部部署软件是最新的,那么是否可以肯定地说 CRM 内部部署软件本身符合这里但数据中心尚未经过审核员的“认证”?
- ISO 27001
- SAS70 II 型
- 萨班斯-奥克斯利法案
- Microsoft Dynamics CRM 在线服务安全港
- ISO 27001
- SSAE 16 SOC1(II 型)
- 数据处理协议 (DPA)
- 欧盟示范条款
- 商业伙伴协议 - 使公司能够遵守《健康保险流通与责任法案》(HIPAA)
答案1
这是一个棘手的问题,许多供应商并不总是将其视为理所当然(有时他们会因此自食其果)。
列出的许多审计都是针对管理实践和控制的验证。具体来说,ISO 27001、SAS70/SSAE16、SOX 404 和 HIPAA 更多地基于控制而非技术(即 FIPS 140-2、CC EAL、ICSA Labs 产品认证)。从根本上讲,当您将某个软件移至另一个环境时,您必须重新审核整个环境,才能断言您已实施控制并且您按照可接受的实践进行管理。
话虽如此,我建议您咨询律师/认证审计师,以确定您可以针对标准提出什么主张。我说“认证审计师”是因为许多合规计划要求审计师保持特定资格(即 ISO 审计师必须是“认证注册商”,SOX 审计师通常是会计师事务所)。