负责数据中心物理安全的工作人员有着对数据中心内外敏感设施进行监控，并作出技术和策略部署决策的职责。由于有这么多设施处于危险当中，再加上有如此多的技术可供选择，他们要想在其中找到最佳的解决方案是很有挑战性的，从某种程度上讲犹如大海捞针。

　　一些数据中心经理表示，要想制定一份长期的安全计划机会是不可能的，你需要依据2002年Sarbanes-Oxley Act（SOX）的指导方针对其进行周期性的修改。

　　SOX是被政府部门用来对财务报表进行监控的手段，同时对安全行业产生了深远的影响。最初SOX被看成是IT经理的一种负担，但目前来看它似乎可以为数据中心安全计划的制定打下基础。

　　SAS 70条款

　　在SAS（审计标准说明书）颁布的这些年里，它已为公共部门或那些为公众企业和政府机构提供服务的数据中心减少了很多SOX法规方面的压力。目前美国有SAS 70 1和SAS 70 2两种认证方式。后者主要是看一家机构是否满足SOX需求——如果可以得到很好的执行，对数据中心安全的衡量和监测有很大的好处。

　　从表面上来看，SAS 70似乎更是像在解决更多的数据中心网络安全问题，但实际上它其中也包含了许多物理安全要素，这也是其看起来更加全面。“在我看来，在SAS 70中，没有什么要素是比物理安全更重要，”Denver Latisys数据中心运营公司总经理Corey Needles说。

　　Needles告诫那些新成立的公司，在进行SAS 70认证的过程中，会有一些相关的挑战需要注意。“这个过程费时费力，主要取决于你的起点高低。”

　　Latisys已准备了许多新的安全措施，Needles表示要想获得SAS 70认证也不是很难。SAS 70认证需要有完备的记录、严格遵守标准规定的流程并具备适当的架构。在遵守SAS 70法规多年之后，Needles感觉该认证标准使其公司可以在环境管理和目标控制方面做得更好了。

　　为了满足一些SAS 70标准的要求，Latisys需要采用一些新的技术。例如，SAS 70认证要求数据中心配置摄像头，他们可以更容易地利用IP摄像头，而不再使用传统的摄像头。Latisys决定购买这种新的摄像头一方面是因为法规遵从原因，另一方面是他发现这一技术的优势所在，它可以加强安全管理，有利于NOC部门的工作开展。

　　Terremark安全集团公司副总裁Noel Rojias表示，SAS 70法规给安全人员带来了新的责任，因为它要求他们严格遵守专业的安全协议，而这并不是完成任务最简单或最高效的方法。“安全流程有时会增加员工的工作时间，但一般说来，只要员工们知道这是一个SAS 70遵从性问题，他们就不会退缩。

　　然而，并不是所有人都对SAS 70 2认证表示乐观。一位来自Gartner的分析师最近在SearchCompliance.com上发表文章表示，由于SAS 70是一个流程审计标准，它事实上并不能确保服务供应商对企业数据的保护——他们只是在遵循所有的流程而已。

　　此外，为SAS 70认证支付费用的数据中心服务供应商需要界定该认证的一些限制因素，这些因素可能导致他们忽略一些真正需要改进的安全部件。

　　如今，许多需要为物理安全负责的机构都将SAS 70认证看做是一个不可避免的灾难。Needles指出，包括医疗卫生、金融以及政府重要部门在将自己的数据中心运营业务外包给第三方时都需要进行认证。

　　然而，SAS 70和SOX已经对数据中心物理安全措施产生了很大的影响。Lee Technologies数据中心咨询公司副总裁Mike Hagen表示，如果要想真正地遵从条款，数据中心需要制定供客户和运营人员遵守的内部措施。“是的，SAS 70和Sarbanes都很重要，但只要谈到标准，就需要创建合适的培训机制、政策法规以及流程来遵守，包括一些安全的法规和减少风险的手段。”Hagan说。