SOC 2 Beveiligingstests en kwetsbaarheidsbeheer
SOC 2 Type II-auditors onderzoeken uw kwetsbaarheidsbeheerprogramma gedurende de volledige auditperiode. De tijd van point-in-time scans die auditors tevreden stelden, is voorbij. KENSAI biedt het continue bewijstraject dat moderne SOC 2-audits vereisen.
SOC 2 Beoordeling starten → Boek een demoSOC 2 Algemene criteria voor kwetsbaarheidsbeheer
SOC 2 is gebaseerd op de Trust Services Criteria (TSC) van de AICPA. Bewijsmateriaal voor kwetsbaarheidsbeheer is in de eerste plaats vereist op grond van deGemeenschappelijke criteria (CC)gerelateerd aan systeemoperaties en verandermanagement:
De entiteit gebruikt detectie- en monitoringprocedures om wijzigingen in configuraties, nieuwe kwetsbaarheden en afwijkingen te identificeren. Auditors willen zien: voortdurend scannen op kwetsbaarheden, gedocumenteerde processen en bewijs dat de monitoring continu is – en niet alleen elk kwartaal.
Beveiligingsincidenten (waaronder misbruik van kwetsbaarheden) worden geïdentificeerd en er wordt op gereageerd. Kwetsbaarheidsbeheer is rechtstreeks van invloed op het incidentresponsproces.
Wijzigingen in de infrastructuur, gegevens, software en processen worden geautoriseerd, ontworpen, ontwikkeld, gedocumenteerd, getest, beoordeeld en geïmplementeerd. Het scannen van kwetsbaarheden na wijzigingen is het verwachte bewijs.
De entiteit selecteert en ontwikkelt risicobeperkende activiteiten, waaronder identificatie en herstel van kwetsbaarheden. Dit is waar uw SLA's voor kwetsbaarheidsprioriteit en herstel worden geëvalueerd.
💡Type I versus Type II:SOC 2 Type I is een beoordeling op een bepaald tijdstip. Type II bestrijkt een periode (doorgaans 6-12 maanden). Voor Type II zullen auditors bewijsmateriaal van kwetsbaarheidsscans verzamelen uit de gehele auditperiode en op zoek gaan naar een consistente, herhaalbare uitvoering. Een enkele scan in maand 11 zal niet slagen.
Waar SOC 2-auditors eigenlijk om vragen
Gebaseerd op veel voorkomende auditorverzoeken bij SOC 2-opdrachten, is dit wat u moet verstrekken:
| Bewijstype | Frequentie | Wat accountants willen |
|---|---|---|
| Resultaten van de kwetsbaarheidsscan | Maandelijks of doorlopend | Tijdstempels, reikwijdte, aantal bevindingen, uitsplitsing naar ernst |
| Penetratietestrapport | Jaarlijks | Methodologie, reikwijdte, bevindingen, saneringsstatus |
| Het volgen van saneringen | Continu | Tickettraject van ontdekking tot oplossing en opnieuw testen |
| Patchbeheerrecords | Continu | Kritieke patches toegepast binnen SLA (doorgaans 30 dagen) |
| Beleid voor kwetsbaarheidsbeheer | Bij controle | Schriftelijk beleid met ernstdefinities en herstel-SLA's |
| Documentatie over risicoacceptatie | Per uitzondering | Ondertekende risicoacceptatie voor ongepatchte bekende kwetsbaarheden |
Penetratietesten voor SOC 2
Hoewel SOC 2 de frequentie van penetratietests niet expliciet voorschrijft, bevatten vrijwel alle geloofwaardige SOC 2-rapporten jaarlijks bewijs van penetratietests. Auditors beschouwen dit als bewijs van een volwassen programma voor kwetsbaarheidsbeheer.
Belangrijkste vereisten voor SOC 2-pentestbewijs:
- Uitgevoerd door een gekwalificeerde derde partij (niet alleen het interne beveiligingsteam)
- Scope omvat systemen die binnen scope vallen voor SOC 2 (niet slechts een subset)
- Het rapport bevat bevindingen met ernstbeoordelingen en aanbevelingen voor herstel
- Herstel van hoge/kritieke bevindingen gedocumenteerd met bevestiging van hertesten
- Samenvatting geschikt voor opname in het SOC 2-rapport zelf
Hoe KENSAI SOC 2-compliance ondersteunt
✓ Bewijs van continu scannen
Dagelijkse of wekelijkse scans met tijdstempelrapporten bieden het continue bewijstraject dat SOC 2 Type II-auditors nodig hebben gedurende de volledige auditperiode.
✓ SLA-tracking voor herstel
Definieer en volg herstel-SLA's op ernst. KENSAI genereert rapporten waaruit blijkt dat uw gedocumenteerde tijdlijnen voor het herstel van kwetsbaarheden worden nageleefd.
✓ Door veranderingen geactiveerd scannen
Activeert automatisch scans na wijzigingen in de infrastructuur om te voldoen aan de CC8.1-vereisten voor het testen van de beveiliging van wijzigingen.
✓ Rapporten klaar voor auditors
Exporteer de scangeschiedenis, herstelstatistieken en trendanalyse in formaten die zijn ontworpen voor beoordeling door auditors. Verminder de voorbereidingstijd voor audits aanzienlijk.
✓ Risicoacceptatieworkflow
Documenteer risicoacceptatiebeslissingen voor kwetsbaarheden die niet onmiddellijk kunnen worden verholpen, met handtekeningen van de goedkeurder en beoordelingsdata.
✓ Rapporten over activadekking
Laat auditors zien dat alle systemen binnen het bereik onder uw programma voor kwetsbaarheidsbeheer vallen met een uitgebreide inventarisatie van bedrijfsmiddelen.
Een SOC 2-ready kwetsbaarheidsbeheerprogramma bouwen
- Definieer uw beleid voor kwetsbaarheidsbeheer— Documenternstdefinities, herstel-SLA's (bijv. Kritiek: 7 dagen, Hoog: 30 dagen, Gemiddeld: 90 dagen)
- Inventariseer alle activa die binnen het toepassingsgebied vallen— Volledige inventarisatie van bedrijfsmiddelen vormt de basis; wat je niet weet, kun je niet scannen
- Implementeer continu scannen— Minimaal wekelijkse scans; dagelijks de voorkeur voor internetgerichte systemen
- Herstelworkflows opzetten— Tickets, eigenaren, deadlines en sluitingscriteria met bewijsmateriaal
- Jaarlijkse penetratietesten— Schakel minimaal jaarlijks een gekwalificeerde derde partij in
- Documenteer uitzonderingen— Voor kwetsbaarheden die niet onmiddellijk kunnen worden verholpen, documenteer de risicoacceptatie met zakelijke rechtvaardiging
- Toon trendverbetering— Auditors willen een programma zien dat in de loop van de tijd verbetert, en niet statisch is
Doorloop uw SOC 2-audit met vertrouwen
KENSAI biedt de continue kwetsbaarheidsscans, het volgen van herstelmaatregelen en rapportage die geschikt is voor auditors die SOC 2 Type II vereist. Begin vandaag nog met het opbouwen van uw bewijsspoor.
Start SOC 2-compliance → Praat met een compliance-expert