剣 KENSAI
← All posts · security · 2026-01-01 · 5 min

SOC 2 Beveiligingstests en kwetsbaarheidsbeheer

SOC 2 Type II-auditors onderzoeken uw kwetsbaarheidsbeheerprogramma gedurende de volledige auditperiode. De tijd van point-in-time scans die auditors tevreden stelden, is voorbij. KENSAI biedt het continue bewijstraject dat moderne SOC 2-audits vereisen.

SOC 2 Beoordeling starten → Boek een demo

SOC 2 Algemene criteria voor kwetsbaarheidsbeheer

SOC 2 is gebaseerd op de Trust Services Criteria (TSC) van de AICPA. Bewijsmateriaal voor kwetsbaarheidsbeheer is in de eerste plaats vereist op grond van deGemeenschappelijke criteria (CC)gerelateerd aan systeemoperaties en verandermanagement:

CC7.1 — Systeembewaking

De entiteit gebruikt detectie- en monitoringprocedures om wijzigingen in configuraties, nieuwe kwetsbaarheden en afwijkingen te identificeren. Auditors willen zien: voortdurend scannen op kwetsbaarheden, gedocumenteerde processen en bewijs dat de monitoring continu is – en niet alleen elk kwartaal.

CC7.2 — Reactie op incidenten

Beveiligingsincidenten (waaronder misbruik van kwetsbaarheden) worden geïdentificeerd en er wordt op gereageerd. Kwetsbaarheidsbeheer is rechtstreeks van invloed op het incidentresponsproces.

CC8.1 — Wijzigingsbeheer

Wijzigingen in de infrastructuur, gegevens, software en processen worden geautoriseerd, ontworpen, ontwikkeld, gedocumenteerd, getest, beoordeeld en geïmplementeerd. Het scannen van kwetsbaarheden na wijzigingen is het verwachte bewijs.

CC9.2 — Risicobeperking

De entiteit selecteert en ontwikkelt risicobeperkende activiteiten, waaronder identificatie en herstel van kwetsbaarheden. Dit is waar uw SLA's voor kwetsbaarheidsprioriteit en herstel worden geëvalueerd.

💡Type I versus Type II:SOC 2 Type I is een beoordeling op een bepaald tijdstip. Type II bestrijkt een periode (doorgaans 6-12 maanden). Voor Type II zullen auditors bewijsmateriaal van kwetsbaarheidsscans verzamelen uit de gehele auditperiode en op zoek gaan naar een consistente, herhaalbare uitvoering. Een enkele scan in maand 11 zal niet slagen.

Waar SOC 2-auditors eigenlijk om vragen

Gebaseerd op veel voorkomende auditorverzoeken bij SOC 2-opdrachten, is dit wat u moet verstrekken:

BewijstypeFrequentieWat accountants willen
Resultaten van de kwetsbaarheidsscanMaandelijks of doorlopendTijdstempels, reikwijdte, aantal bevindingen, uitsplitsing naar ernst
PenetratietestrapportJaarlijksMethodologie, reikwijdte, bevindingen, saneringsstatus
Het volgen van saneringenContinuTickettraject van ontdekking tot oplossing en opnieuw testen
PatchbeheerrecordsContinuKritieke patches toegepast binnen SLA (doorgaans 30 dagen)
Beleid voor kwetsbaarheidsbeheerBij controleSchriftelijk beleid met ernstdefinities en herstel-SLA's
Documentatie over risicoacceptatiePer uitzonderingOndertekende risicoacceptatie voor ongepatchte bekende kwetsbaarheden

Penetratietesten voor SOC 2

Hoewel SOC 2 de frequentie van penetratietests niet expliciet voorschrijft, bevatten vrijwel alle geloofwaardige SOC 2-rapporten jaarlijks bewijs van penetratietests. Auditors beschouwen dit als bewijs van een volwassen programma voor kwetsbaarheidsbeheer.

Belangrijkste vereisten voor SOC 2-pentestbewijs:

Hoe KENSAI SOC 2-compliance ondersteunt

✓ Bewijs van continu scannen

Dagelijkse of wekelijkse scans met tijdstempelrapporten bieden het continue bewijstraject dat SOC 2 Type II-auditors nodig hebben gedurende de volledige auditperiode.

✓ SLA-tracking voor herstel

Definieer en volg herstel-SLA's op ernst. KENSAI genereert rapporten waaruit blijkt dat uw gedocumenteerde tijdlijnen voor het herstel van kwetsbaarheden worden nageleefd.

✓ Door veranderingen geactiveerd scannen

Activeert automatisch scans na wijzigingen in de infrastructuur om te voldoen aan de CC8.1-vereisten voor het testen van de beveiliging van wijzigingen.

✓ Rapporten klaar voor auditors

Exporteer de scangeschiedenis, herstelstatistieken en trendanalyse in formaten die zijn ontworpen voor beoordeling door auditors. Verminder de voorbereidingstijd voor audits aanzienlijk.

✓ Risicoacceptatieworkflow

Documenteer risicoacceptatiebeslissingen voor kwetsbaarheden die niet onmiddellijk kunnen worden verholpen, met handtekeningen van de goedkeurder en beoordelingsdata.

✓ Rapporten over activadekking

Laat auditors zien dat alle systemen binnen het bereik onder uw programma voor kwetsbaarheidsbeheer vallen met een uitgebreide inventarisatie van bedrijfsmiddelen.

Een SOC 2-ready kwetsbaarheidsbeheerprogramma bouwen

  1. Definieer uw beleid voor kwetsbaarheidsbeheer— Documenternstdefinities, herstel-SLA's (bijv. Kritiek: 7 dagen, Hoog: 30 dagen, Gemiddeld: 90 dagen)
  2. Inventariseer alle activa die binnen het toepassingsgebied vallen— Volledige inventarisatie van bedrijfsmiddelen vormt de basis; wat je niet weet, kun je niet scannen
  3. Implementeer continu scannen— Minimaal wekelijkse scans; dagelijks de voorkeur voor internetgerichte systemen
  4. Herstelworkflows opzetten— Tickets, eigenaren, deadlines en sluitingscriteria met bewijsmateriaal
  5. Jaarlijkse penetratietesten— Schakel minimaal jaarlijks een gekwalificeerde derde partij in
  6. Documenteer uitzonderingen— Voor kwetsbaarheden die niet onmiddellijk kunnen worden verholpen, documenteer de risicoacceptatie met zakelijke rechtvaardiging
  7. Toon trendverbetering— Auditors willen een programma zien dat in de loop van de tijd verbetert, en niet statisch is

Doorloop uw SOC 2-audit met vertrouwen

KENSAI biedt de continue kwetsbaarheidsscans, het volgen van herstelmaatregelen en rapportage die geschikt is voor auditors die SOC 2 Type II vereist. Begin vandaag nog met het opbouwen van uw bewijsspoor.

Start SOC 2-compliance → Praat met een compliance-expert

Gerelateerde artikelen