SAS 70 Type II稽核無法檢查稽核范圍以外的項目。在稽核檢查表上的項目您或許嚴格控管，但漏洞卻可能在檢查范圍之外。再者，任何流程的稽核都無法涵蓋執(zhí)行流程的人。廠商的用人原則為何？SAS 70 Type II稽核并不一定涵蓋用人原則。凡人都可能犯錯，當(dāng)然也絕非完美(純粹就事論事)。

SAS70審查并沒有一套標(biāo)準(zhǔn)作法。這類稽核是稽核者與受稽核對象彼此共同設(shè)計出來，目的在于測試特定業(yè)務(wù)流程的控管措施。而控管措施可能無法"包山包海"，所以，在原先預(yù)定之外的項目，即使對業(yè)務(wù)服務(wù)很重要也不在測試范圍內(nèi)。因此，在將關(guān)鍵業(yè)務(wù)流程交給任何服務(wù)供貨商之前，您應(yīng)該對SAS70稽核有所存疑。而且，理想的稽核不應(yīng)該只專注于數(shù)據(jù)安全，而是應(yīng)該延伸至服務(wù)永續(xù)性、廠商管理、備份復(fù)原、人事制度等其它領(lǐng)域。

不論公共云端運算或私人云端運算在降低成本、提升企業(yè)靈活度方面都能提供優(yōu)異的企業(yè)價值。不過，建議您在挑選之前還是應(yīng)該先認清其中的安全挑戰(zhàn)。