互联网名称与数字地址分配机构 (Internet Corporation for Assigned Names and Numbers, ICANN) 现已完成针对互联网号码分配机构 (Internet Assigned Numbers Authority, IANA) 职能交付关键系统的再次年度审计。罗申美国际会计师事务所 (RSM US LLP) 进行了两项系统和机构控制体系 (Service Organization Control, SOC) 审计:针对注册分配和维护系统 (Registry Assignment and Maintenance Systems, RAMS) 截止于 2023 年 9 月 30 日的 12 个月期间进行了 SOC2 审计;并针对根区域名系统安全扩展 (Domain Name System Security Extensions, DNSSEC) 截止于 2023 年 11 月 30 日的 12 个月期间进行了 SOC3”审计。
我们连续 14 年针对维护域名系统 (Domain Name System, DNS) 安全的根 DNSSEC 密钥签名密钥 (Key Signing Key, KSK) 的管理工作展开了无例外审计。使用 SOC3 框架,本轮审计表明存在有效的安全性、可用性和处理完整性的控制措施,用以管理根 KSK。这份报告现已在此公开发布。
在今年的审计周期内,除了惯常的季度密钥签名业务外,我们还开展了常规的改进活动,如引入新的硬件和受托社群代表。虽然我们在 2023 年初就生成了新的 KSK,但中途暂停了这项工作,然后在 2024 年使用更新的技术平台重启这项工作。
在此期间,SOC2 审计发现了四个例外情况。虽然发现的所有问题都已纠正,但这是多年来第一次发现例外情况。我们将汲取这些经验教训,进一步加强整个 ICANN 组织的业务实践能力。
“2023 年 8 月,审计员发现了这些例外情况,ICANN 组织马上采取补救措施,纠正了这些问题。”IANA 服务部副总裁兼 PTI 总裁金·戴维斯 (Kim Davies) 这样说道,“我们还实施了其他程序,帮助解决发现的问题。”
明年,除了针对注册分配和维护系统进行 SOC2 审计外,ICANN 还计划进行一次 SOC3 审计。这样做旨在提高透明度,因为在 SOC3 审计后会发布一份涵盖这些系统的高层级报告,非常类似于针对根 KSK 业务审计发布的报告。
SOC 审计旨在评估一个组织在“可信赖服务原则和标准”方面的控制工作,由美国注册会计师协会 (American Institute of Certified Public Accountants, AICPA) 负责管理。这些独立的第三方审计是 ICANN 在为多利益相关方社群履行 IANA 职能时所承担的多方面责任的重要组成部分。
ICANN 简介
ICANN 的使命在于确保全球互联网的稳定、安全与统一。在互联网上寻找另一个人的信息,您必须在您的电脑或其他设备中键入一个地址——可以是一个名称或是一串数字。这一地址必须是独一无二的,只有这样电脑之间才能互相识别。ICANN 则负责协调这些分布在全球各地的唯一标识符。ICANN 成立于 1998 年,是一家非营利公益型企业,其成员遍布全球各地。