剣 KENSAI
← All posts · security · 2026-01-01 · 5 min

एसओसी 2 सुरक्षा परीक्षण एवं भेद्यता प्रबंधन

एसओसी 2 टाइप II ऑडिटर पूरी ऑडिट अवधि के दौरान आपके भेद्यता प्रबंधन कार्यक्रम की जांच करते हैं। पॉइंट-इन-टाइम स्कैन से ऑडिटरों को संतुष्ट करने के दिन ख़त्म हो गए हैं। केन्साई आधुनिक एसओसी 2 ऑडिट के लिए आवश्यक निरंतर साक्ष्य ट्रेल प्रदान करता है।

एसओसी 2 मूल्यांकन प्रारंभ करें → एक डेमो बुक करें

भेद्यता प्रबंधन के लिए एसओसी 2 सामान्य मानदंड

एसओसी 2 एआईसीपीए के ट्रस्ट सर्विसेज क्राइटेरिया (टीएससी) पर आधारित है। भेद्यता प्रबंधन साक्ष्य मुख्य रूप से आवश्यक हैसामान्य मानदंड (सीसी)सिस्टम संचालन और परिवर्तन प्रबंधन से संबंधित:

CC7.1 - सिस्टम मॉनिटरिंग

इकाई कॉन्फ़िगरेशन में परिवर्तन, नई कमजोरियों और विसंगतियों की पहचान करने के लिए पहचान और निगरानी प्रक्रियाओं का उपयोग करती है। ऑडिटर देखना चाहते हैं: चल रही भेद्यता स्कैनिंग, दस्तावेज़ीकृत प्रक्रियाएँ, और सबूत कि निगरानी निरंतर है - न कि केवल त्रैमासिक।

CC7.2 - घटना प्रतिक्रिया

सुरक्षा घटनाओं (कमजोरियों के शोषण सहित) की पहचान की जाती है और उनका जवाब दिया जाता है। भेद्यता प्रबंधन सीधे घटना प्रतिक्रिया प्रक्रिया में शामिल होता है।

सीसी8.1 - परिवर्तन प्रबंधन

बुनियादी ढांचे, डेटा, सॉफ़्टवेयर और प्रक्रियाओं में परिवर्तन अधिकृत, डिज़ाइन, विकसित, दस्तावेज़ीकृत, परीक्षण, समीक्षा और कार्यान्वित किए जाते हैं। परिवर्तनों के बाद भेद्यता स्कैनिंग अपेक्षित साक्ष्य है।

CC9.2 - जोखिम न्यूनीकरण

इकाई भेद्यता की पहचान और निवारण सहित जोखिम शमन गतिविधियों का चयन और विकास करती है। यह वह जगह है जहां आपकी भेद्यता प्राथमिकता और निवारण एसएलए का मूल्यांकन किया जाता है।

💡 टाइप I बनाम टाइप II:एसओसी 2 प्रकार I एक समय-बिंदु मूल्यांकन है। टाइप II में एक अवधि (आमतौर पर 6-12 महीने) शामिल होती है। टाइप II के लिए, ऑडिटर पूरे ऑडिट अवधि से भेद्यता स्कैन साक्ष्य का नमूना लेंगे और लगातार, दोहराए जाने योग्य निष्पादन की तलाश करेंगे। 11वें महीने में एक भी स्कैन पास नहीं होगा।

एसओसी 2 ऑडिटर वास्तव में क्या मांगते हैं

SOC 2 कार्यकलापों में सामान्य ऑडिटर अनुरोधों के आधार पर, आपको यह प्रदान करना होगा:

साक्ष्य प्रकारआवृत्तिलेखापरीक्षक क्या चाहते हैं
भेद्यता स्कैन परिणाममासिक या निरंतरटाइमस्टैम्प, दायरा, निष्कर्षों की संख्या, गंभीरता का विश्लेषण
प्रवेश परीक्षण रिपोर्टवार्षिककार्यप्रणाली, दायरा, निष्कर्ष, उपचार की स्थिति
निवारण ट्रैकिंगनिरंतरडिस्कवरी से लेकर फिक्स और पुनः परीक्षण तक टिकटिंग ट्रेल
पैच प्रबंधन रिकॉर्डनिरंतरएसएलए के भीतर लागू किए गए गंभीर पैच (आमतौर पर 30 दिन)
भेद्यता प्रबंधन नीतिऑडिट मेंगंभीरता परिभाषाओं और उपचारात्मक एसएलए के साथ लिखित नीति
जोखिम स्वीकृति दस्तावेजप्रति अपवादअप्रकाशित ज्ञात कमजोरियों के लिए हस्ताक्षरित जोखिम स्वीकृति

एसओसी 2 के लिए प्रवेश परीक्षण

जबकि एसओसी 2 स्पष्ट रूप से प्रवेश परीक्षण आवृत्ति को अनिवार्य नहीं करता है, वस्तुतः सभी विश्वसनीय एसओसी 2 रिपोर्ट में वार्षिक प्रवेश परीक्षण साक्ष्य शामिल होते हैं। लेखा परीक्षक इसे एक परिपक्व भेद्यता प्रबंधन कार्यक्रम के प्रमाण के रूप में देखते हैं।

एसओसी 2 पेंटेस्ट साक्ष्य के लिए मुख्य आवश्यकताएँ:

KENSAI SOC 2 अनुपालन का समर्थन कैसे करता है

✓ सतत स्कैनिंग साक्ष्य

टाइमस्टैम्प्ड रिपोर्ट के साथ दैनिक या साप्ताहिक स्कैन एसओसी 2 टाइप II ऑडिटरों को संपूर्ण ऑडिट अवधि के दौरान आवश्यक निरंतर साक्ष्य ट्रेल प्रदान करते हैं।

✓ उपचारात्मक एसएलए ट्रैकिंग

गंभीरता के आधार पर उपचारात्मक एसएलए को परिभाषित करें और ट्रैक करें। KENSAI आपके प्रलेखित भेद्यता निवारण समयसीमा के अनुपालन को दर्शाने वाली रिपोर्ट तैयार करता है।

✓ परिवर्तन-ट्रिगर स्कैनिंग

परिवर्तनों के सुरक्षा परीक्षण के लिए CC8.1 आवश्यकताओं को पूरा करने के लिए बुनियादी ढांचे में परिवर्तन के बाद ट्रिगर स्वचालित रूप से स्कैन करता है।

✓ लेखापरीक्षक-तैयार रिपोर्ट

ऑडिटर समीक्षा के लिए डिज़ाइन किए गए प्रारूपों में स्कैन इतिहास, सुधारात्मक मेट्रिक्स और प्रवृत्ति विश्लेषण निर्यात करें। ऑडिट की तैयारी का समय काफी कम करें।

✓ जोखिम स्वीकृति वर्कफ़्लो

उन कमजोरियों के लिए जोखिम स्वीकृति निर्णयों का दस्तावेजीकरण करें जिन्हें तुरंत ठीक नहीं किया जा सकता है, अनुमोदनकर्ता के हस्ताक्षर और समीक्षा तिथियों के साथ।

✓ संपत्ति कवरेज रिपोर्ट

लेखा परीक्षकों को प्रदर्शित करें कि सभी इन-स्कोप सिस्टम व्यापक परिसंपत्ति सूची के साथ आपके भेद्यता प्रबंधन कार्यक्रम द्वारा कवर किए गए हैं।

एसओसी 2-तैयार भेद्यता प्रबंधन कार्यक्रम का निर्माण

  1. अपनी भेद्यता प्रबंधन नीति को परिभाषित करें- दस्तावेज़ गंभीरता परिभाषाएँ, उपचारात्मक एसएलए (उदाहरण के लिए, गंभीर: 7 दिन, उच्च: 30 दिन, मध्यम: 90 दिन)
  2. दायरे में आने वाली सभी परिसंपत्तियों की सूची- संपूर्ण परिसंपत्ति सूची आधार है; आप उस चीज़ को स्कैन नहीं कर सकते जिसके बारे में आप नहीं जानते
  3. निरंतर स्कैनिंग लागू करें- न्यूनतम साप्ताहिक स्कैन पर; इंटरनेट-फ़ेसिंग सिस्टम के लिए दैनिक पसंदीदा
  4. सुधारात्मक कार्यप्रवाह स्थापित करें- टिकट, मालिक, समय सीमा, और सबूत के साथ समापन मानदंड
  5. वार्षिक प्रवेश परीक्षण- कम से कम सालाना एक योग्य तीसरे पक्ष को नियुक्त करें
  6. दस्तावेज़ अपवाद- जिन कमजोरियों को तुरंत दूर नहीं किया जा सकता, उनके लिए व्यावसायिक औचित्य के साथ जोखिम स्वीकृति का दस्तावेजीकरण करें
  7. प्रवृत्ति में सुधार प्रदर्शित करें— लेखा परीक्षक एक ऐसा कार्यक्रम देखना चाहते हैं जिसमें समय के साथ सुधार हो, न कि स्थिर

आत्मविश्वास के साथ अपना एसओसी 2 ऑडिट पास करें

KENSAI निरंतर भेद्यता स्कैनिंग, सुधारात्मक ट्रैकिंग और ऑडिटर-तैयार रिपोर्टिंग प्रदान करता है जिसके लिए SOC 2 प्रकार II की आवश्यकता होती है। आज ही अपना साक्ष्य पथ बनाना शुरू करें।

एसओसी 2 अनुपालन प्रारंभ करें → किसी अनुपालन विशेषज्ञ से बात करें

संबंधित आलेख