6.3.4  信息系統審計報告

報告撰寫通常是最關鍵的任務之一。評估人員經常擔心寫下我們所做的是什么，以及它對組織的意義。這可能是將真正的安全專業人員與安全從業者區分開來的任務：專業人員了解信息系統安全在更廣泛的業務環境中的作用，并能夠將其傳達給技術和非技術觀眾。常見的報告標準包括SAS70和SOC。

1.SAS 70

SAS 70是由美國注冊會計師協會(American Institute of Certified Pul)lic Accountants,

AICPA)制定的用于處理服務機構的審計標準。它提供了一套基于服務組織（如提供IT艮務的服務組織）標準可以展示其內部控制的有效性，而不必允許每個客戶進入并執行自己的審核。沒有這個標準，服務機構將會花費大量的資源來重新審視來自每個客戶的請求。根據這一標準，服務機構可以聘請經認證的獨立服務審核員來形成SAS 70審核并發布報告。該報告可以反過來提交給任何需要證明服務機構內部控制有效性的客戶。

自從2002年實施“薩班斯法案”404條款以來，SAS 70報告變得尤為重要，因為公司可以將其作為內部控制有效性的證明，證明其已外包的財務處理和重新轉移的任何方面。沒有他們，所有提供金融服務的公司都將受到來自所有客戶的薩班斯一奧克斯利法案的審核的轟炸，而不是能夠將每個客戶的SAS 70報告都交給客戶。

SAS 70服務審核員報告有兩種類型：類型l和類型2。兩種類型都包括對服務組織的內部控制在某個時間點的設計的描述和意見。但是，只有第2類報告包含服務審計人員在本報告所述期間控制是否有效運行的結果，以確保實現控制目標。作為審計師，您腎希望您的服務提供商提供類型2報告，因為類型1報告不提供控制措施有效運行的證據。