阿摩線上測驗
42.公用雲的資安問題常讓人擔憂,因此過去雲端供應商都藉由通過下列何種的 Type II 稽核標準,證明其服務對 於資安控管措施與目標已達到一定的安全標準?
(A) ISO 27701
(B) NEMA
(C) SAS70
(D) BSI
答案:登入後查看
統計: A(426), B(15), C(657), D(45), E(0) #3638895
統計: A(426), B(15), C(657), D(45), E(0) #3638895
詳解 (共 4 筆)
郵政布魯
#7075484
2025版 P49.
19
0
Jim Lu
#7314015
? 為什麼選 (C)?
-
背景與定義: SAS 70 (Statement on Auditing Standards No. 70) 是由美國會計師協會 (AICPA) 制定的準則。雖然它最初是為了財務審計設計,但後來變成雲端供應商(如 AWS、Google Cloud)用來證明其資料中心控管、資訊安全與維運流程達到標準的重要標竿。
-
Type II 的意義: * Type I: 只針對某個時間點的「設計」進行評估。
-
Type II: 則是針對一段時間(通常是 6 個月以上)的「執行有效性」進行測試。對於公用雲用戶來說,看到 Type II 報告 才能確保供應商不是只有「表面功夫」,而是長期確實執行。
-
-
演進: 現在 SAS 70 已經被 SSAE 16 及後來的 SSAE 18 (SOC 1/2/3 報告) 所取代,但在金融科技與資安考試的歷史題庫中,SAS 70 仍是具備代表性的正確答案。
❌ 其他選項的解析
-
(A) ISO 27701: 這是關於 「隱私資訊管理」 的國際標準(ISO 27001 的延伸),側重於 PII 個人資料保護。
-
(B) NEMA: 這是美國電氣製造商協會,跟雲端資安稽核無關。
-
(D) BSI: 英國標準協會,它是一個驗證機構(發證單位),而不是稽核標準名稱。
1
0
