剣 KENSAI
← All posts · security · 2026-01-01 · 5 min

SOC 2 Test di sicurezza e gestione delle vulnerabilità

Gli auditor SOC 2 Tipo II esaminano attentamente il programma di gestione delle vulnerabilità durante l'intero periodo di audit. Sono finiti i giorni delle scansioni puntuali che soddisfacevano gli auditor. KENSAI fornisce la traccia continua delle prove richiesta dai moderni audit SOC 2.

Avvia la valutazione SOC 2 → Prenota una dimostrazione

SOC 2 Criteri comuni per la gestione delle vulnerabilità

SOC 2 si basa sui Trust Services Criteria (TSC) dell'AICPA. Le prove sulla gestione delle vulnerabilità sono richieste principalmente ai sensi delCriteri comuni (CC)relativi alle operazioni di sistema e alla gestione delle modifiche:

CC7.1 — Monitoraggio del sistema

L'entità utilizza procedure di rilevamento e monitoraggio per identificare modifiche alle configurazioni, nuove vulnerabilità e anomalie. I revisori vogliono vedere: scansione continua delle vulnerabilità, processi documentati e prove che il monitoraggio sia continuo, non solo trimestrale.

CC7.2 — Risposta agli incidenti

Gli incidenti di sicurezza (incluso lo sfruttamento delle vulnerabilità) vengono identificati e risolti. La gestione delle vulnerabilità alimenta direttamente il processo di risposta agli incidenti.

CC8.1 — Gestione del cambiamento

Le modifiche all'infrastruttura, ai dati, al software e ai processi vengono autorizzate, progettate, sviluppate, documentate, testate, riviste e implementate. La scansione delle vulnerabilità dopo le modifiche è una prova prevista.

CC9.2 — Mitigazione del rischio

L'entità seleziona e sviluppa attività di mitigazione del rischio, inclusa l'identificazione e la risoluzione delle vulnerabilità. Qui è dove vengono valutati gli SLA relativi alla priorità delle vulnerabilità e alla correzione.

💡 Tipo I vs Tipo II:SOC 2 Tipo I è una valutazione puntuale. Il tipo II copre un periodo (tipicamente 6-12 mesi). Per il Tipo II, gli auditor campioneranno le prove della scansione di vulnerabilità durante tutto il periodo di audit e cercheranno un'esecuzione coerente e ripetibile. Una singola scansione nell'undicesimo mese non passerà.

Cosa chiedono realmente i revisori SOC 2

Sulla base delle richieste comuni dei revisori negli incarichi SOC 2, ecco cosa dovrai fornire:

Tipo di provaFrequenzaCosa vogliono i revisori dei conti
Risultati della scansione delle vulnerabilitàMensile o continuativoTimestamp, ambito, conteggio dei risultati, suddivisione della gravità
Rapporto sul test di penetrazioneAnnualeMetodologia, ambito, risultati, stato della riparazione
Monitoraggio della riparazioneContinuoPercorso di ticketing dalla scoperta alla correzione fino al nuovo test
Record di gestione delle patchContinuoPatch critiche applicate entro lo SLA (in genere 30 giorni)
Politica di gestione delle vulnerabilitàAlla verificaPolitica scritta con definizioni di gravità e SLA di riparazione
Documentazione sull'accettazione del rischioPer eccezioneAccettazione del rischio firmata per vulnerabilità note senza patch

Test di penetrazione per SOC 2

Anche se SOC 2 non impone esplicitamente la frequenza dei test di penetrazione, praticamente tutti i report SOC 2 credibili includono prove annuali dei test di penetrazione. I revisori considerano questo come la prova di un programma maturo di gestione delle vulnerabilità.

Requisiti chiave per le prove pentest SOC 2:

In che modo KENSAI supporta la conformità SOC 2

✓ Prove di scansione continua

Le scansioni giornaliere o settimanali con report con timestamp forniscono la traccia continua delle prove richiesta dagli auditor SOC 2 Tipo II durante l'intero periodo di audit.

✓ Monitoraggio dello SLA di riparazione

Definire e tenere traccia degli SLA di correzione in base alla gravità. KENSAI genera report che mostrano la conformità con le tempistiche documentate di risoluzione delle vulnerabilità.

✓ Scansione attivata da modifiche

Attiva automaticamente le scansioni dopo le modifiche all'infrastruttura per soddisfare i requisiti CC8.1 per i test di sicurezza delle modifiche.

✓ Rapporti pronti per il revisore

Esporta la cronologia delle scansioni, le metriche di correzione e l'analisi delle tendenze in formati progettati per la revisione del revisore. Riduci significativamente i tempi di preparazione dell'audit.

✓ Flusso di lavoro di accettazione del rischio

Documenta le decisioni di accettazione del rischio per le vulnerabilità che non possono essere risolte immediatamente, con le firme degli approvatori e le date di revisione.

✓ Rapporti sulla copertura delle risorse

Dimostrare agli auditor che tutti i sistemi nell'ambito sono coperti dal programma di gestione delle vulnerabilità con un inventario completo delle risorse.

Creazione di un programma di gestione delle vulnerabilità SOC 2-Ready

  1. Definisci la tua politica di gestione delle vulnerabilità— Definizioni di gravità del documento, SLA di riparazione (ad esempio, Critico: 7 giorni, Alto: 30 giorni, Medio: 90 giorni)
  2. Inventariare tutte le risorse che rientrano nell'ambito— Il fondamento è l’inventario completo delle risorse; non puoi scansionare ciò che non conosci
  3. Implementare la scansione continua— Al minimo scansioni settimanali; quotidiano preferito per i sistemi collegati a Internet
  4. Stabilire flussi di lavoro di riparazione— Ticket, proprietari, scadenze e criteri di chiusura con prove
  5. Test di penetrazione annuale— Coinvolgere una terza parte qualificata almeno una volta all'anno
  6. Eccezioni del documento— Per le vulnerabilità che non possono essere risolte immediatamente, documentare l'accettazione del rischio con giustificazione aziendale
  7. Dimostrare il miglioramento della tendenza— I revisori vogliono vedere un programma che migliora nel tempo, non un programma statico

Supera la verifica SOC 2 con sicurezza

KENSAI fornisce la scansione continua delle vulnerabilità, il monitoraggio delle soluzioni correttive e il reporting pronto per il revisore richiesto da SOC 2 Tipo II. Inizia oggi stesso a costruire il tuo percorso di prove.

Avvia conformità SOC 2 → Parla con un esperto di conformità

Articoli correlati