审核SAP的云实践博客，作者：Mark S.Ciminello，MBA，PMP，CISSP，CCSP更新日期：2020年3月5日

Mark Ciminello是SAP全球安全组织内负责云（托管）、信息安全、数据隐私、法律法规遵从性等领域云安全的首席工程师。他居住在凤凰城地区，自2010年以来一直在SAP工作，物联网展，拥有超过35年的项目管理经验，信息安全和云。

我必须从几乎所有与我交谈的客户那里得到这样一个请求："我们希望能够根据需要对SAP进行审计，并希望得到SAP的合作和支持。"

作为一名认证云安全专家（CCSP），我理解这个请求。我明白客户需要关注球，我认为这是一件好事，这是客户的明智要求。如果我站在他们的立场，我也会想要同样的东西。事实上，我需要它。我将要求我的云提供商支持我的尽职调查，除非他们同意提高透明度并提供合理和适当的安全控制保证，否则我可能不会与提供商签订任何合同义务，也肯定不会与提供商建立业务合作关系。对我来说，这对关系至关重要；我对我的提供商的期望是一样的。

CCSP凭证建议通过审计实现透明度。

"在云关系中，解决云风险的控制权属于CSP[云服务提供商]，组织需要评估CSP控制，以了解在云客户和CSP之间覆盖的预期云控制框架内是否存在差距。"（1）

此外，在数据隐私行业内，隐私专业人士行业协会（IAPP）也提出了同样的建议。

"合同的一部分还应包括持续保证的适当框架。这些措施包括现场审计、检查和测试的执行情况，以及对持续合规性的定期评估。"（2）

但SAP是一个非常大的云服务提供商（CSP），随着SAP客户越来越多地转向云，我们面临着一定的挑战和有问题的物流问题。此外，由于SAP现在与诸如Microsoft（Azure）、Amazon（AWS）和Google（云平台）等Hyperscaler合作，这促进了SAP基于云计算的收入的指数级增长。

因此，我想分享一些我对物流问题的想法，并提供一些实用的见解，说明SAP客户如何在不打瞌睡的情况下盯着球，然后提供一些指导，说明他们如何从SAP组织内部的人员那里获得尽职调查所需的信息。

审核SAP云（包括Hyperscaler）对于客户来说，安全审计是管理和监控CSP/客户关系的预期方法。对于只有少数几个客户、几百个甚至几千个客户的小型云公司来说，移动物联网，这是相当容易管理的。他们拥有支持有限范围审计的资源和资金，请求量很容易扩展，如果云供应商非常渴望获得新业务（通常忽略成本和可行性），他们同意支持这些业务。但请注意，随着云提供商的发展，这可能会对执行产生长期影响。

正如我所写，SAP的客户已超过45万。这给SAP带来了一个后勤挑战，以满足众多客户的审计需求。如果他们都需要审核SAP，会发生什么？

毫不奇怪，这一立场和对顾客服务提供商可扩展性的认可得到了AICPA（美国注册会计师协会）和AIA（国际会计师协会）的支持。两个专业组织都认识到云计算和云服务提供商的独特之处，并理解CSP审计的可伸缩性问题。这两个组织的建议是，应该使用服务组织控制报告（SOC），更多信息请参见下文？问责？保证？我们需要有能力在合理的情况下对SAP进行审计。

SAP同意。

SAP确实支持直接审计，并同意与我们的客户合作。

SAP支持直接审计SAP支持直接审计，只要这些审计得到保证和证明。然而，由于涉及SAP、客户、审计员或其他感兴趣的第三方的审计成本高、资源密集且耗时，SAP已将直接审计的使用限制在合理的有效性范围内。支持审计需要大量的工作，包括准备工作——收集支持材料作为证据，进行背景调查（经审计的信息可能是敏感的和机密的），计划和安排活动，安排旅行，确定会议时间和地点；这项工作是广泛的。根据我自己的经验，物联网平台，进行过几次有限范围的安全审计花费了我几个月以上的时间——仅针对一个客户。

此外，审计通常不仅仅提供安全控制的讨论，云服务器厂商，还需要通过收集物证来提供证据。在审计期间，顾客服务提供商应说明实施了哪些安全控制和措施，然后通过文件、日志、服务单等提供其合规性的实际证据。这就需要提供文件，在某些情况下，还需要证明在行动中实施的文件，作为证据。任何发现的问题都必须在问题解决后进行补救和报告。

SAP收购的解决方案，如SuccessFactors、Ariba等，在规模较小且独立于SAP的情况下，历史上支持直接审计。但自从收购了这些业务线（LOB）解决方案之后，这就变得不太实际了。因此，SAP改变了其政策，只在审核合理的情况下才支持审核，其中包括以下内容。这在数据处理协议的当前版本中有概述，它是云订阅协议的一部分。

5。认证和审核