एसओसी 2 सुरक्षा परीक्षण एवं भेद्यता प्रबंधन
एसओसी 2 टाइप II ऑडिटर पूरी ऑडिट अवधि के दौरान आपके भेद्यता प्रबंधन कार्यक्रम की जांच करते हैं। पॉइंट-इन-टाइम स्कैन से ऑडिटरों को संतुष्ट करने के दिन ख़त्म हो गए हैं। केन्साई आधुनिक एसओसी 2 ऑडिट के लिए आवश्यक निरंतर साक्ष्य ट्रेल प्रदान करता है।
एसओसी 2 मूल्यांकन प्रारंभ करें → एक डेमो बुक करेंभेद्यता प्रबंधन के लिए एसओसी 2 सामान्य मानदंड
एसओसी 2 एआईसीपीए के ट्रस्ट सर्विसेज क्राइटेरिया (टीएससी) पर आधारित है। भेद्यता प्रबंधन साक्ष्य मुख्य रूप से आवश्यक हैसामान्य मानदंड (सीसी)सिस्टम संचालन और परिवर्तन प्रबंधन से संबंधित:
इकाई कॉन्फ़िगरेशन में परिवर्तन, नई कमजोरियों और विसंगतियों की पहचान करने के लिए पहचान और निगरानी प्रक्रियाओं का उपयोग करती है। ऑडिटर देखना चाहते हैं: चल रही भेद्यता स्कैनिंग, दस्तावेज़ीकृत प्रक्रियाएँ, और सबूत कि निगरानी निरंतर है - न कि केवल त्रैमासिक।
सुरक्षा घटनाओं (कमजोरियों के शोषण सहित) की पहचान की जाती है और उनका जवाब दिया जाता है। भेद्यता प्रबंधन सीधे घटना प्रतिक्रिया प्रक्रिया में शामिल होता है।
बुनियादी ढांचे, डेटा, सॉफ़्टवेयर और प्रक्रियाओं में परिवर्तन अधिकृत, डिज़ाइन, विकसित, दस्तावेज़ीकृत, परीक्षण, समीक्षा और कार्यान्वित किए जाते हैं। परिवर्तनों के बाद भेद्यता स्कैनिंग अपेक्षित साक्ष्य है।
इकाई भेद्यता की पहचान और निवारण सहित जोखिम शमन गतिविधियों का चयन और विकास करती है। यह वह जगह है जहां आपकी भेद्यता प्राथमिकता और निवारण एसएलए का मूल्यांकन किया जाता है।
💡 टाइप I बनाम टाइप II:एसओसी 2 प्रकार I एक समय-बिंदु मूल्यांकन है। टाइप II में एक अवधि (आमतौर पर 6-12 महीने) शामिल होती है। टाइप II के लिए, ऑडिटर पूरे ऑडिट अवधि से भेद्यता स्कैन साक्ष्य का नमूना लेंगे और लगातार, दोहराए जाने योग्य निष्पादन की तलाश करेंगे। 11वें महीने में एक भी स्कैन पास नहीं होगा।
एसओसी 2 ऑडिटर वास्तव में क्या मांगते हैं
SOC 2 कार्यकलापों में सामान्य ऑडिटर अनुरोधों के आधार पर, आपको यह प्रदान करना होगा:
| साक्ष्य प्रकार | आवृत्ति | लेखापरीक्षक क्या चाहते हैं |
|---|---|---|
| भेद्यता स्कैन परिणाम | मासिक या निरंतर | टाइमस्टैम्प, दायरा, निष्कर्षों की संख्या, गंभीरता का विश्लेषण |
| प्रवेश परीक्षण रिपोर्ट | वार्षिक | कार्यप्रणाली, दायरा, निष्कर्ष, उपचार की स्थिति |
| निवारण ट्रैकिंग | निरंतर | डिस्कवरी से लेकर फिक्स और पुनः परीक्षण तक टिकटिंग ट्रेल |
| पैच प्रबंधन रिकॉर्ड | निरंतर | एसएलए के भीतर लागू किए गए गंभीर पैच (आमतौर पर 30 दिन) |
| भेद्यता प्रबंधन नीति | ऑडिट में | गंभीरता परिभाषाओं और उपचारात्मक एसएलए के साथ लिखित नीति |
| जोखिम स्वीकृति दस्तावेज | प्रति अपवाद | अप्रकाशित ज्ञात कमजोरियों के लिए हस्ताक्षरित जोखिम स्वीकृति |
एसओसी 2 के लिए प्रवेश परीक्षण
जबकि एसओसी 2 स्पष्ट रूप से प्रवेश परीक्षण आवृत्ति को अनिवार्य नहीं करता है, वस्तुतः सभी विश्वसनीय एसओसी 2 रिपोर्ट में वार्षिक प्रवेश परीक्षण साक्ष्य शामिल होते हैं। लेखा परीक्षक इसे एक परिपक्व भेद्यता प्रबंधन कार्यक्रम के प्रमाण के रूप में देखते हैं।
एसओसी 2 पेंटेस्ट साक्ष्य के लिए मुख्य आवश्यकताएँ:
- किसी योग्य तृतीय पक्ष द्वारा निष्पादित (केवल आंतरिक सुरक्षा टीम नहीं)
- स्कोप एसओसी 2 के दायरे में आने वाले सिस्टम को कवर करता है (सिर्फ एक उपसमूह नहीं)
- रिपोर्ट में गंभीरता रेटिंग और उपचारात्मक सिफ़ारिशों के साथ निष्कर्ष शामिल हैं
- उच्च/महत्वपूर्ण निष्कर्षों का निवारण पुनः परीक्षण पुष्टिकरण के साथ प्रलेखित किया गया
- कार्यकारी सारांश एसओसी 2 रिपोर्ट में ही शामिल करने के लिए उपयुक्त है
KENSAI SOC 2 अनुपालन का समर्थन कैसे करता है
✓ सतत स्कैनिंग साक्ष्य
टाइमस्टैम्प्ड रिपोर्ट के साथ दैनिक या साप्ताहिक स्कैन एसओसी 2 टाइप II ऑडिटरों को संपूर्ण ऑडिट अवधि के दौरान आवश्यक निरंतर साक्ष्य ट्रेल प्रदान करते हैं।
✓ उपचारात्मक एसएलए ट्रैकिंग
गंभीरता के आधार पर उपचारात्मक एसएलए को परिभाषित करें और ट्रैक करें। KENSAI आपके प्रलेखित भेद्यता निवारण समयसीमा के अनुपालन को दर्शाने वाली रिपोर्ट तैयार करता है।
✓ परिवर्तन-ट्रिगर स्कैनिंग
परिवर्तनों के सुरक्षा परीक्षण के लिए CC8.1 आवश्यकताओं को पूरा करने के लिए बुनियादी ढांचे में परिवर्तन के बाद ट्रिगर स्वचालित रूप से स्कैन करता है।
✓ लेखापरीक्षक-तैयार रिपोर्ट
ऑडिटर समीक्षा के लिए डिज़ाइन किए गए प्रारूपों में स्कैन इतिहास, सुधारात्मक मेट्रिक्स और प्रवृत्ति विश्लेषण निर्यात करें। ऑडिट की तैयारी का समय काफी कम करें।
✓ जोखिम स्वीकृति वर्कफ़्लो
उन कमजोरियों के लिए जोखिम स्वीकृति निर्णयों का दस्तावेजीकरण करें जिन्हें तुरंत ठीक नहीं किया जा सकता है, अनुमोदनकर्ता के हस्ताक्षर और समीक्षा तिथियों के साथ।
✓ संपत्ति कवरेज रिपोर्ट
लेखा परीक्षकों को प्रदर्शित करें कि सभी इन-स्कोप सिस्टम व्यापक परिसंपत्ति सूची के साथ आपके भेद्यता प्रबंधन कार्यक्रम द्वारा कवर किए गए हैं।
एसओसी 2-तैयार भेद्यता प्रबंधन कार्यक्रम का निर्माण
- अपनी भेद्यता प्रबंधन नीति को परिभाषित करें- दस्तावेज़ गंभीरता परिभाषाएँ, उपचारात्मक एसएलए (उदाहरण के लिए, गंभीर: 7 दिन, उच्च: 30 दिन, मध्यम: 90 दिन)
- दायरे में आने वाली सभी परिसंपत्तियों की सूची- संपूर्ण परिसंपत्ति सूची आधार है; आप उस चीज़ को स्कैन नहीं कर सकते जिसके बारे में आप नहीं जानते
- निरंतर स्कैनिंग लागू करें- न्यूनतम साप्ताहिक स्कैन पर; इंटरनेट-फ़ेसिंग सिस्टम के लिए दैनिक पसंदीदा
- सुधारात्मक कार्यप्रवाह स्थापित करें- टिकट, मालिक, समय सीमा, और सबूत के साथ समापन मानदंड
- वार्षिक प्रवेश परीक्षण- कम से कम सालाना एक योग्य तीसरे पक्ष को नियुक्त करें
- दस्तावेज़ अपवाद- जिन कमजोरियों को तुरंत दूर नहीं किया जा सकता, उनके लिए व्यावसायिक औचित्य के साथ जोखिम स्वीकृति का दस्तावेजीकरण करें
- प्रवृत्ति में सुधार प्रदर्शित करें— लेखा परीक्षक एक ऐसा कार्यक्रम देखना चाहते हैं जिसमें समय के साथ सुधार हो, न कि स्थिर
आत्मविश्वास के साथ अपना एसओसी 2 ऑडिट पास करें
KENSAI निरंतर भेद्यता स्कैनिंग, सुधारात्मक ट्रैकिंग और ऑडिटर-तैयार रिपोर्टिंग प्रदान करता है जिसके लिए SOC 2 प्रकार II की आवश्यकता होती है। आज ही अपना साक्ष्य पथ बनाना शुरू करें।
एसओसी 2 अनुपालन प्रारंभ करें → किसी अनुपालन विशेषज्ञ से बात करें