SOC 2 安全测试和漏洞管理
SOC 2 Type II 审核员在整个审核期间仔细审查您的漏洞管理计划。满足审核员要求的时间点扫描的时代已经结束。 KENSAI 提供现代 SOC 2 审计所需的连续证据追踪。
开始 SOC 2 评估 → 预订演示SOC 2 漏洞管理通用标准
SOC 2 基于 AICPA 的信任服务标准 (TSC)。漏洞管理证据主要是根据共同标准 (CC)与系统操作和变更管理相关:
该实体使用检测和监控程序来识别配置更改、新漏洞和异常。审计人员希望看到:持续的漏洞扫描、记录的流程以及持续监控的证据——而不仅仅是每季度一次。
识别并响应安全事件(包括漏洞利用)。漏洞管理直接反馈到事件响应流程中。
对基础设施、数据、软件和流程的变更均经过授权、设计、开发、记录、测试、审查和实施。变更后的漏洞扫描是预期的证据。
该实体选择并开发风险缓解活动,包括漏洞识别和修复。这是评估漏洞优先级和修复 SLA 的地方。
💡 I 型与 II 型:SOC 2 Type I 是一种时间点评估。类型 II 涵盖一段时期(通常为 6-12 个月)。对于第二类,审计人员将从整个审计期间抽取漏洞扫描证据,并寻找一致、可重复的执行情况。第 11 个月的一次扫描不会通过。
SOC 2 审核员实际要求什么
根据 SOC 2 项目中常见的审核员请求,您需要提供以下内容:
| 证据类型 | 频率 | 审计师想要什么 |
|---|---|---|
| 漏洞扫描结果 | 每月或连续 | 时间戳、范围、结果计数、严重性细分 |
| 渗透测试报告 | 年度的 | 方法、范围、调查结果、补救状态 |
| 补救跟踪 | 连续的 | 从发现到修复再到重新测试的票务轨迹 |
| 补丁管理记录 | 连续的 | 在 SLA 内应用的关键补丁(通常为 30 天) |
| 漏洞管理策略 | 审核时 | 包含严重性定义和补救 SLA 的书面策略 |
| 风险接受文件 | 每个例外 | 针对未修补的已知漏洞签署风险接受 |
SOC 2 渗透测试
虽然 SOC 2 没有明确规定渗透测试频率,但几乎所有可信的 SOC 2 报告都包含年度渗透测试证据。审计人员将此视为成熟漏洞管理计划的证据。
SOC 2 渗透测试证据的关键要求:
- 由合格的第三方执行(不仅仅是内部安全团队)
- 范围涵盖 SOC 2 范围内的系统(不仅仅是一个子集)
- 报告包括具有严重程度评级和补救建议的调查结果
- 通过重新测试确认记录的高/关键发现的补救措施
- 适合包含在 SOC 2 报告本身中的执行摘要
KENSAI 如何支持 SOC 2 合规性
✓ 连续扫描证据
每日或每周扫描带有时间戳的报告可提供 SOC 2 Type II 审核员在整个审核期间所需的连续证据跟踪。
✓ 修复 SLA 跟踪
按严重性定义并跟踪补救 SLA。 KENSAI 生成报告,显示遵守您记录的漏洞修复时间表的情况。
✓ 变更触发扫描
基础设施变更后自动触发扫描,以满足 CC8.1 对变更安全测试的要求。
✓ 审计员就绪报告
以专为审核员审查而设计的格式导出扫描历史记录、补救指标和趋势分析。显着减少审核准备时间。
✓ 风险接受工作流程
记录无法立即修复的漏洞的风险接受决策,并附有审批者签名和审核日期。
✓ 资产覆盖率报告
向审核员证明您的漏洞管理计划涵盖了所有范围内的系统以及全面的资产清单。
构建 SOC 2 就绪的漏洞管理计划
- 定义您的漏洞管理策略— 记录严重性定义、补救 SLA(例如,严重:7 天,高:30 天,中:90 天)
- 盘点范围内的所有资产——完整的资产盘点是基础;你无法扫描你不知道的东西
- 实施连续扫描— 至少每周扫描一次;面向互联网系统的每日首选
- 建立补救工作流程— 门票、所有者、截止日期和带有证据的结束标准
- 年度渗透测试— 至少每年聘请一个合格的第三方
- 记录例外情况— 对于无法立即修复的漏洞,记录风险接受情况和业务理由
- 展示趋势改善— 审计员希望看到一个随着时间的推移而不断改进的计划,而不是一成不变的计划
充满信心地通过 SOC 2 审核
KENSAI 提供 SOC 2 Type II 所需的持续漏洞扫描、修复跟踪和审计就绪报告。今天就开始建立你的证据线索。
开始 SOC 2 合规性 → 与合规专家交谈