Thursday, December 21, 2006

Thoughts on SAS 70 and Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Standards

I'm not an auditor or CPA, thank goodness. The first time I heard of SAS 70 (Statement on Auditing Standards No. 70, Service Organizations) happened when I visited Symantec in October. Last week, however, one of my clients asked what I knew about SAS 70. I knew Symantec used its SAS 70 results as a way to avoid having every Symantec managed security service client perform its own audit of Symantec. My client wanted to know if his company might also benefit from getting a SAS 70 audit.

I found an exceptionally helpful CSO Online article by Michael Fitzgerald about SAS 70. I'd like to share some insights from it.

A spokeswoman for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 body that created SAS 70 doesn't actually recommend it for security purposes. "It isn't a measure of security, it's a measure of financial controls," says Judith Sherinsky, a technical manager on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audit and test standards team at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American Institute of Certified Public Accountants (AICPA), which created SAS 70...

For security audits, Sherinsky recommends a different AICPA standard: SysTrust, an attestation engagement that includes criteria for system security. SysTrust was developed to help CPAs gauge whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following criteria: availability, security, processing integrity, online privacy and confidentiality.


That's extraordinary. It means all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customers who get a SAS 70 audit from a service provider aren't getting any real security assurances. It sounds like Common Criteria.

The Sarbanes-Oxley Act is essentially a mandate to establish internal controls so that corporate executives can't fudge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir numbers. Sarbox requires that companies verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accuracy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir financial statements, and establishes SAS 70 Type 2 audits as a way to verify that third-party providers meet those needs...

A SAS 70 audit does not rate a company's security controls against a particular set of defined best practices. In a SAS 70 audit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service organization being audited must first prepare a written description of its goals and objectives. The auditor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n examines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service organization's description and says whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor believes those goals are fairly stated, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls are suitably designed to achieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control objectives that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization has stated for itself, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls have been placed in operations (as opposed to existing only on paper), and in a Type 2 engagement, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se controls are operating effectively.

The fact that a company has conducted a SAS 70 audit does not necessarily mean its systems are secure. In fact, a SAS 70 may confirm that a particular system is not secure, by design.

"You can have control objectives to make any statement management may want to make," says Robert Aanerud, chief risk officer and principal consultant at security consultancy HotSkills. In effect, he says, management could decide that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company is OK with bad access control, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor (who must be a CPA) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n needs to ensure that access control is at least bad. The SAS 70 opinion would essentially say that, yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company has achieved its stated control objectives.
(emphasis added)

It sounds like reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAS 70 report is important!

Unfortunately, consultants say many companies are skipping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard work and treating SAS 70 as a security rubber stamp. Sharon O'Bryan, head of O'Bryan Advisory Services, says she's aware of companies taking SAS 70 reports for potential service providers, sticking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m someplace and never reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...

Service providers say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're being asked more and more often for SAS 70 audits, often instead of governance standards like Cobit or ISO 17799. That's even true for companies that handle security functions, traditionally more oriented toward granular best-practice tests than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broad audit test of SAS 70.

Michael Scher, general counsel and compliance architect at Nexum, a security product and service provider, says his company is preparing to undergo its first SAS 70 audit. "It's an efficiency-type move," Scher says. It will save his company cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trouble of having to be audited by every potential client, or generate reams of documentation in answer to questions.


If SAS 70 is so bad for security, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re an alternative? The AICPA quote earlier in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article mentions SysTrust. AICPA provides a comparison brochure for SAS 70 vs SysTrust. It includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

SAS 70 intended purpose: To provide user auditors with information about controls at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service organization that may affect assertions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user organizations' financial statements. This generally enables a user auditor to perform an audit.

Trust Services intended purpose: To provide assurance that an organization's system's controls meet one or more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trust Services principles and related criteria. Areas addressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Principles include: security, online privacy, availability, confidentiality and processing integrity.


It seems SAS 70 is not at all what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customers think it is. Alternatively, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not getting any security assurances, but just want a rubber stamp. Apparently this is more make-work for CPAs, since SAS 70 work must be done by a CPA.

Speaking of work for CPAs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir What Skills Do I Need to Provide SysTrust Services? site is hilarious in a sick way:

Application of Current Skills and Knowledge. CPAs have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ethical standards and principles needed to evaluate and provide assurance on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reliability of systems. CPAs have skills in evaluating evidence, determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of internal controls, and reporting to third parties on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work performed.

New Skills and Knowledge May Be Required. CPA in public accounting and CPAs industry may require additional competencies in addition to those from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional accounting, audit, and tax arena in order to provide services related to SysTrust. In order to deliver SysTrust-related advice or assurance, CPAs may need to use automated techniques.


So, in brief: CPAs are ethical but are going to rely on "automated techniques" to validate security effectiveness. Right...

What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various ISO standards? Here Wikipedia is helpful:

ISO/IEC 27001 is an information security standard published in October 2005 by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International Organization for Standardization and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International Electrotechnical Commission. Its complete name is Information technology -- Security techniques -- Information security management systems -- Requirements. The current standard replaced BS 7799-2:2002, which has now been withdrawn.

ISO/IEC 27001:2005 specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a documented Information Security Management System (ISMS). It specifies requirements for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 management of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation of security controls. It is intended to be used in conjunction with ISO 17799:2005, a security Code of Practice, which offers a list of specific security controls to select from.

This is also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first standard in a proposed series of standards which will be assigned numbers within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO 27000 series. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are anticipated to include a re-publication of ISO 17799, a standard for information security measurement and metrics, and potentially a version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current BS7799-3 standard.

Prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO 27001 standard, organizations could only be certified against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 British Standard Institute's BS7799-2 standard. Now organizations can obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO 27001 certification, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BS7799-2 certification is being phased out, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard itself has been withdrawn...

It should also be noted that this certification scheme now aligns with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ISO schemes, such as those for ISO 9001 and ISO 14001.


This blog entry has some opinion on ISO 27001 too.

Do any of you recommend a certain standard to show your company is implementing effective security practices?

13 comments:

Landon Lewis said...

In my past experiences SAS70 has been implemented by private companies that do a significant amount of business with publicly traded companies (who are SOX compliant).
These private companies may be connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se public companies for control processes/data and also dependent upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial systems of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private company. This (I guess) provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public companies with assurance that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private companies are performing some type of due diligence.
I've always found it interesting from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infosec perspective that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy is written and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer can only be responsible for being compliant with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy. I did run into an instance where an auditing company was trying to force security requirements not written in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAS70 policy. We as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer just noted that we would put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a recommendation.
The first approach however was first following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO17799 standard, but quickly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of work tripled for being compliant so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy was slimmed down. I don't think this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of policy where private companies will spend a lot of time unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public companies demand more from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir private partners or customers.

Anonymous said...

SAS 70 is one of those phenomenons that has reached critical mass and is widely accepted for all sorts of purposes now. We are being forced by our customers to go through it and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't a whole lot we can do about it.

I would not say SAS 70 is all bad though. SAS 70 forces you to get your operations under control, and that's important. There are a lot of service providers that are secure, but could do a better job doing security reliably and repeatably well.

A SAS 70 audit is often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stimulus needed to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper motivation to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right things for your operation and get management buy-in for implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right controls, even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not specifically prescribed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard.

I'd say it's more useful than say, HIPAA, from that perspective.

Anonymous said...

"The first time I heard of SAS 70 (Statement on Auditing Standards No. 70, Service Organizations) happened when I visited Symantec in October...

...Do any of you recommend a certain standard to show your company is implementing effective security practices?"


Richard, this is a joke, right? You're being sarcastic?

Richard Bejtlich said...

nigelmellish,

With a dozen "standards" to choose from, what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with me asking what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people recommend? And so what if I'm new to SAS 70 -- it's not even meant for security purposes. Relax.

eugenek said...

While working for a Big 5 firm, I was sent on a SAS 70 engagement. It was a bit confusing at first, since I was a security guy and this seemed an awful lot like an accounting audit. Anyway, I assumed I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re to provide some technical security expertise. When I recommended that we at least do some basic vulnerability scanning, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engagement lead laughed and said that would require an entirely new contract - ie, more money.

Anonymous said...

My organization is a large web host and considered a "service provider" by most people and standards. We have gone through and passed both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAS70 and PCI audits.

I agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public perception of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAS70 is vastly different from what it was designed to accomplish; even more so with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different types of SAS70 certifications (Type 1 & Type 2).

Type 1 simply states that at one single point in time, that particular organization followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se guidlines. It doesn't mean that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se practices before and/or after that particular date in time. The Type 2 is more in-depth, which I feel carries more weight.

As far as security goes, I feel that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Compliancy is better. Obviously, PCI was designed for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credit card infrastucture and companies that process cards online. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audit actually involves a detailed questionaire, followed by one or more security scans and site surveys. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI compliancy is a quarterly audit; unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAS70 Type 1 which is a one time policy overview.

Anonymous said...

As a security auditor at one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big 4 firms, I have been involved with SAS70 audits for some time now, and this is my opinion:

SAS70 Type 1 is just a description of a list of controls and objectives of this control. For example. a company chooses "network segmentation" as a control with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 objective of segregating critical information systems based upon trust level. During a SAS70 Type 1 audit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor is going to provide assurance that at a certain point in time, this control was in place.

A SAS70 Type 2 provides assurance over a certain period of time. The same controls can be defined as in a type 1, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will also be tested over time (over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last financial year for example).

Now, what is important to look at for a client:
- type of SAS70
- scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAS70
- controls taken into account
- results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls

Often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are companies who only list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir controls which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y KNOW are working correctly, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (immature) controls are silently left out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report.

I personnaly don't think SAS70 is useless. It can provide reasonable assurance (yes, I still am an auditor :) ) if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 selection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls has been done ethically and professionally.

Anonymous said...

One primary issue with a SAS70 is that it is a test of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clients controls - that is if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client says that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do ABC cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor will test ABC, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will not (usually) pass an opinion on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ABC is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct way to do it, or in many cases whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ABC actually works.
The clearest example of this would be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area of patch management, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client claims that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y apply patches on a regular basis and have a sign off sheet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n this process is what is tested. The issue of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paccá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365s are actually applied (for instance by running a vulnerability scan) is never addressed. In practice we have seen this several times where an organization supposedly has good patch management policies and can produce a list showing every patch applied and to what, however when performing some technical testing we have found this to be incorrect, yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAS70 makes no mention of this.
The testing tends to be far too audit focused and does not address technology as deeply as it should (if it was going to be used for scurity reliance).

Systrust is only marginally better, security controls are tested but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r narrowly.

Anonymous said...

This article makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same mistakes that every article written by security professionals makes....it tries to compare a security assessment (aka "apples") to a SAS 70 audit (aka "oranges"). And, BELIEVE IT OR NOT, security professionals always seem to conclude that apples are not oranges and apples are better than oranges...EUREKA!

There is no substitute for a SAS 70 audit in terms of providing third party verification to clients and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir auditors in conjunction with a financial statement audit and/or SOX. It is, essentially, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only acceptable substitute for a CPA firm reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service organizations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.

There is no one security standard that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry would agree upon. There is no one standard that contemplates all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibilities that could be in place at a service organization. There is not authoritative body that regulates standards or enforces licensing. There is no real risk of civil or criminal liability for gross negligence related to a security assessment.

It is very possible that a company could need both types of audits. There is also nothing that prevents a company from incorporating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 components of standards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have implemented into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir SAS 70 audit. However, note that it generally not preferable to be very specific about security information in a report issued to third parties b/c of obvious issues as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that it guarantees feedback from all your clients on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir OPINIONS about your configurations. Such conversations are better held offline if that level of detail is desired.

One final note is that if you need a SAS 70 audit, you should find an audit firm (and team) that has significant SAS 70 experience. This is hard to find, even at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Big 4" firms. If you need a security assessment of any type, don't call a CPA firm...and don't consider SysTrust. Call a security assessment and find a team that has experience performing information security audits.

Anonymous said...

Richard,
Thumbs up, you hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target.

Anonymous said...

Anyone looking for a security certification should look no furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than ISO 27001:2005. Unlike SAS70, 27001 has a list of predefined controls (around 150, give or take a few). An organization must state whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r that control applies to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control, and provide evidence that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have met cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y state. If you state that a control does not apply, you must provide enough evidence to that fact to convince cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor. My first ISO 27001 audit is in a week, and I have talked to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs within my organization that have already been audited. For all of us, it has helped us tremendously to find weaknesses and to create processes to correct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

j said...

Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector does not use NIST guidance at all? Specifically NIST 800-53 from an Information Security perspective?

It is a pretty comprehensive set of security controls that are well documented.

CPA said...

SAS 70 is something completely different as Systrust or ISO27. It is a method with (very strict) rules for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CPAs to execute a service delivery audit. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control objectives put in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAS 70 by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organisation are strong it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best assurance on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market (SAS 70 type 2). The devil is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details but that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same for all reports (e.g. ISO27, Systrust).
ISO27 certification can only for ISO27001. It is thus only a statement of "yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have processes in place". If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y actually work you do not known.
If you would put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO27002 control objectives in a SAS 70, you would get; "I, a CPA, states that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se control objectives are met and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls are working every day. If not you may sue me". That is a strong statement.