Un controllo SOC 2 richiede tipicamente test di penetrazione?

4

Lavoro per una piccola azienda che inizia ad esplorare l'esecuzione di una verifica SOC 2 (Sicurezza, Disponibilità, Riservatezza). L'auditor con cui lavoriamo crede che avremo bisogno di test di penetrazione eseguiti annualmente per soddisfare alcuni dei criteri dei servizi di fiducia.

Siamo preoccupati per il costo di questi test eseguiti annualmente (oltre ai costi di audit). Un test di penetrazione di solito è richiesto annualmente per soddisfare un SOC 2? È possibile fare il test delle penne in casa?

    
posta J.R. 06.10.2016 - 18:10
fonte

1 risposta

3

Avendo attraversato tutto questo da solo, la risposta è davvero all'agenzia di audit che esegue l'audit. È una funzione di assicurazione di terze parti di facile comprensione che è abbastanza tipica in questo tipo di audit.

Potresti essere in grado di negoziare con l'auditor per non averlo richiesto questa volta, ma dovrai essere in grado di compensare la perdita di sicurezza in qualche altro modo.

Nella risposta alla gestione, l'azienda può spiegare perché il test di penetrazione non è stato eseguito.

    
risposta data 06.10.2016 - 19:59
fonte

Leggi altre domande sui tag