Назад | Перейти на главную страницу

Локальные сертификаты и сертификаты безопасности Dynamics CRM 2011 (ISO 27001, SAS70 и т. Д.)

Я не понимаю, как правильно обозначить наш статус безопасности. Центр обработки данных, в котором работает наш размещенный экземпляр IFD CRM, не оплатил эти аудиты. Однако в литературе Microsoft предполагается, что CRM Online (размещенная на серверах MS) имеет эти сертификаты, и количество сертификатов растет с каждым обновлением службы.

Если наше локальное программное обеспечение CRM обновлено, можно ли с уверенностью сказать, что локальное программное обеспечение CRM соответствует стандартам, изложенным в Вот, а дата-центр не прошел аудиторскую проверку?

Это сложный вопрос, который не всегда воспринимается многими поставщиками как должное (иногда на свой страх и риск).

Многие из перечисленных аудитов являются подтверждением практики управления и контроля. В частности, ISO 27001, SAS70 / SSAE16, SOX 404 и HIPAA в большей степени основаны на контроле, чем на технологиях (например, сертификаты продуктов FIPS 140-2, CC EAL, ICSA Labs). По сути, когда вы берете часть программного обеспечения и переносите ее в другую среду, вам придется провести повторный аудит всей среды, чтобы иметь возможность утверждать, что у вас есть средства контроля и вы практикуете управление в соответствии с приемлемыми методами.

С учетом сказанного, я бы посоветовал вам проконсультироваться с поверенным / аккредитованным аудитором, чтобы определить, какие претензии вы можете сделать относительно стандартов. Я говорю «аккредитованный аудитор», потому что многие программы соответствия требуют, чтобы аудиторы обладали определенной квалификацией (например, аудиторы ISO должны быть «аккредитованными регистраторами», аудиторы SOX часто являются бухгалтерскими фирмами).