SOC 2-Sicherheitstests und Schwachstellenmanagement
SOC 2 Typ II-Auditoren prüfen Ihr Schwachstellenmanagementprogramm über den gesamten Auditzeitraum hinweg. Die Zeiten, in denen punktuelle Scans die Prüfer zufriedenstellten, sind vorbei. KENSAI bietet den kontinuierlichen Beweispfad, den moderne SOC-2-Audits erfordern.
Starten Sie die SOC 2-Bewertung → Buchen Sie eine DemoSOC 2 Gemeinsame Kriterien für das Schwachstellenmanagement
SOC 2 basiert auf den Trust Services Criteria (TSC) der AICPA. Nachweise für das Schwachstellenmanagement sind in erster Linie im Rahmen von erforderlichGemeinsame Kriterien (CC)im Zusammenhang mit Systembetrieb und Änderungsmanagement:
Die Entität verwendet Erkennungs- und Überwachungsverfahren, um Änderungen an Konfigurationen, neue Schwachstellen und Anomalien zu identifizieren. Prüfer möchten Folgendes sehen: fortlaufende Schwachstellenprüfung, dokumentierte Prozesse und Beweise dafür, dass die Überwachung kontinuierlich erfolgt – und nicht nur vierteljährlich.
Sicherheitsvorfälle (einschließlich der Ausnutzung von Schwachstellen) werden identifiziert und darauf reagiert. Das Schwachstellenmanagement fließt direkt in den Incident-Response-Prozess ein.
Änderungen an Infrastruktur, Daten, Software und Prozessen werden genehmigt, entworfen, entwickelt, dokumentiert, getestet, überprüft und implementiert. Das Scannen von Schwachstellen nach Änderungen ist ein erwarteter Beweis.
Das Unternehmen wählt und entwickelt Maßnahmen zur Risikominderung, einschließlich der Identifizierung und Behebung von Schwachstellen. Hier werden Ihre Schwachstellenpriorisierung und die SLAs zur Behebung bewertet.
💡 Typ I vs. Typ II:SOC 2 Typ I ist eine punktuelle Beurteilung. Typ II umfasst einen Zeitraum (typischerweise 6–12 Monate). Bei Typ II prüfen Prüfer Beweise aus Schwachstellenscans aus dem gesamten Prüfungszeitraum und achten auf eine konsistente, wiederholbare Ausführung. Ein einziger Scan im 11. Monat wird nicht bestanden.
Was SOC 2-Auditoren tatsächlich verlangen
Basierend auf häufigen Prüferanfragen bei SOC 2-Aufträgen müssen Sie Folgendes bereitstellen:
| Beweistyp | Frequenz | Was Prüfer wollen |
|---|---|---|
| Ergebnisse des Schwachstellenscans | Monatlich oder fortlaufend | Zeitstempel, Umfang, Anzahl der Ergebnisse, Aufschlüsselung des Schweregrads |
| Bericht zum Penetrationstest | Jährlich | Methodik, Umfang, Ergebnisse, Sanierungsstatus |
| Nachverfolgung der Behebung | Kontinuierlich | Ticketing-Trail von der Entdeckung über die Reparatur bis hin zum erneuten Test |
| Patch-Management-Datensätze | Kontinuierlich | Kritische Patches werden innerhalb des SLA (normalerweise 30 Tage) angewendet. |
| Richtlinie zum Schwachstellenmanagement | Bei der Prüfung | Schriftliche Richtlinie mit Schweregraddefinitionen und Abhilfe-SLAs |
| Dokumentation der Risikoakzeptanz | Pro Ausnahme | Unterzeichnete Risikoakzeptanz für ungepatchte bekannte Schwachstellen |
Penetrationstests für SOC 2
Während SOC 2 die Häufigkeit von Penetrationstests nicht explizit vorschreibt, enthalten praktisch alle glaubwürdigen SOC 2-Berichte jährliche Penetrationstests. Prüfer betrachten dies als Beweis für ein ausgereiftes Schwachstellenmanagementprogramm.
Wichtige Anforderungen für den SOC 2-Pentest-Nachweis:
- Wird von einem qualifizierten Dritten durchgeführt (nicht nur vom internen Sicherheitsteam)
- Der Geltungsbereich umfasst Systeme im Geltungsbereich von SOC 2 (nicht nur eine Teilmenge).
- Der Bericht enthält Ergebnisse mit Schweregradbewertungen und Abhilfeempfehlungen
- Behebung hoch/kritischer Ergebnisse, dokumentiert mit Bestätigung der erneuten Tests
- Zusammenfassung, die zur Aufnahme in den SOC 2-Bericht selbst geeignet ist
Wie KENSAI die SOC 2-Konformität unterstützt
✓ Kontinuierliche Scan-Beweise
Tägliche oder wöchentliche Scans mit zeitgestempelten Berichten liefern den kontinuierlichen Beweispfad, den SOC 2 Typ II-Auditoren über den gesamten Auditzeitraum benötigen.
✓ SLA-Verfolgung zur Behebung
Definieren und verfolgen Sie SLAs zur Behebung nach Schweregrad. KENSAI erstellt Berichte, die die Einhaltung Ihrer dokumentierten Zeitpläne für die Behebung von Schwachstellen belegen.
✓ Durch Änderungen ausgelöstes Scannen
Lösen Sie nach Infrastrukturänderungen automatisch Scans aus, um die CC8.1-Anforderungen für Sicherheitstests von Änderungen zu erfüllen.
✓ Prüferfähige Berichte
Exportieren Sie den Scanverlauf, Korrekturmetriken und Trendanalysen in Formaten, die für die Überprüfung durch Prüfer konzipiert sind. Reduzieren Sie die Vorbereitungszeit für Audits erheblich.
✓ Risikoakzeptanz-Workflow
Dokumentieren Sie Risikoakzeptanzentscheidungen für Schwachstellen, die nicht sofort behoben werden können, mit Unterschriften der Genehmiger und Prüfdaten.
✓ Berichte zur Vermögensabdeckung
Zeigen Sie den Prüfern mit einem umfassenden Asset-Inventar, dass alle in den Geltungsbereich fallenden Systeme von Ihrem Schwachstellenmanagementprogramm abgedeckt sind.
Aufbau eines SOC 2-Ready Vulnerability Management-Programms
- Definieren Sie Ihre Richtlinie zum Schwachstellenmanagement— Schweregraddefinitionen für Dokumente, SLAs zur Behebung (z. B. Kritisch: 7 Tage, Hoch: 30 Tage, Mittel: 90 Tage)
- Führen Sie eine Bestandsaufnahme aller im Umfang enthaltenen Vermögenswerte durch— Eine vollständige Vermögensinventur ist die Grundlage; Sie können nicht scannen, worüber Sie nichts wissen
- Implementieren Sie kontinuierliches Scannen— Mindestens wöchentliche Scans; Täglich bevorzugt für mit dem Internet verbundene Systeme
- Richten Sie Abhilfe-Workflows ein— Tickets, Besitzer, Fristen und Abschlusskriterien mit Nachweisen
- Jährlicher Penetrationstest— Beauftragen Sie mindestens einmal jährlich einen qualifizierten Dritten
- Ausnahmen dokumentieren— Dokumentieren Sie bei Schwachstellen, die nicht sofort behoben werden können, die Risikoakzeptanz mit geschäftlicher Begründung
- Demonstrieren Sie eine Trendverbesserung— Prüfer möchten ein Programm sehen, das sich im Laufe der Zeit verbessert und nicht statisch ist
Bestehen Sie Ihr SOC 2-Audit mit Zuversicht
KENSAI bietet das kontinuierliche Scannen von Schwachstellen, die Nachverfolgung von Behebungsmaßnahmen und die für Prüfer geeignete Berichterstattung, die SOC 2 Typ II erfordert. Beginnen Sie noch heute mit dem Aufbau Ihrer Beweisspur.
Starten Sie SOC 2 Compliance → Sprechen Sie mit einem Compliance-Experten