Příprava na audit shody: 90denní odpočítávání

Dny 90–60: Posouzení a definování rozsahu

1. týden: Zkontrolujte požadavky svého rámce a identifikujte mezery v důkazech. 2. týden: Definujte rozsah svého Penetration Testing tak, aby odpovídal hranicím shody (popis systému pro SOC 2, CDE pro PCI DSS, rozsah ISMS pro ISO 27001). 3. týden: Kontaktujte svého poskytovatele testování a naplánujte spolupráci. 4. týden: Připravte testovací prostředí, vytvořte testovací účty a informujte příslušné týmy. Začněte shromažďovat důkazy, které se netýkají testování (zásady, postupy, revize přístupů).

Dny 60–30: Testování a náprava

5.–6. týden: Probíhá Penetration Testing a skenování zranitelností. Zjištění se zobrazují v reálném čase, pokud používáte platformu TaaS, jako je Penetrify. Okamžitě začněte s nápravou kritických a závažných zjištění. 7.–8. týden: Dokončete nápravu všech kritických a závažných zjištění. Požádejte o opakované testování opravených chyb. Shromážděte důkazy o opakovaném testování potvrzující nápravu.

Dny 30–0: Dokumentace a revize

9.–10. týden: Dokončete zprávu o shodě s metodologií, zjištěními, nápravou a důkazy o opakovaném testování. Ověřte, zda jsou kompletní všechna mapování kontrol rámce. 11.–12. týden: Proveďte interní revizi všech důkazů. Ověřte, zda data Penetration Testing spadají do období auditu. Potvrďte, že shoda rozsahu odpovídá hranicím rámce. Připravte se na dotazy auditora týkající se zjištění a nápravy.

Proč audity selhávají

Příliš pozdní zahájení Penetration Testing (žádný čas na nápravu před auditem). Rozsah Penetration Testing není v souladu s hranicemi shody. Chybějící důkazy o opakovaném testování opravených zjištění. Důkazy datované mimo období auditu. Obecné zprávy bez mapování kontrol specifických pro daný rámec.