Przygotowanie do audytu zgodności: 90 dni do startu

Dni 90–60: Ocena i Określenie Zakresu

Tydzień 1: Przejrzyj wymagania swojej struktury i zidentyfikuj braki w dowodach. Tydzień 2: Określ zakres twojego "Penetration Testing" tak, aby był zgodny z granicami zgodności (opis systemu dla SOC 2, CDE dla PCI DSS, zakres ISMS dla ISO 27001). Tydzień 3: Zaangażuj swojego dostawcę testów i zaplanuj działania. Tydzień 4: Przygotuj środowisko testowe, utwórz konta testowe i powiadom odpowiednie zespoły. Rozpocznij gromadzenie dowodów nie związanych z testami (polityki, procedury, przeglądy dostępu).

Dni 60–30: Testowanie i Usuwanie Luk

Tygodnie 5–6: Wykonywane są "Penetration Testing" i skanowanie w poszukiwaniu luk w zabezpieczeniach. Wyniki pojawiają się w czasie rzeczywistym, jeśli korzystasz z platformy TaaS, takiej jak Penetrify. Natychmiast rozpocznij usuwanie krytycznych i poważnych luk. Tygodnie 7–8: Zakończ usuwanie wszystkich krytycznych i poważnych luk. Poproś o ponowne przetestowanie poprawionych elementów. Zbierz dowody z ponownych testów potwierdzające usunięcie luk.

Dni 30–0: Dokumentacja i Przegląd

Tygodnie 9–10: Sfinalizuj raport zgodności, zawierający metodologię, wyniki, usunięcie luk i dowody z ponownych testów. Sprawdź, czy wszystkie mapowania kontroli ramy są kompletne. Tygodnie 11–12: Przeprowadź wewnętrzny przegląd wszystkich dowodów. Sprawdź, czy daty "pentestów" mieszczą się w okresie audytu. Potwierdź, że zakres jest zgodny z granicami struktury. Przygotuj się na pytania audytora dotyczące wyników i usuwania luk.

Dlaczego Audyty Zawodzą

Zbyt późne rozpoczęcie "pentestingu" (brak czasu na usunięcie luk przed audytem). Zakres "pentestu" niezgodny z granicami zgodności. Brak dowodów ponownych testów dla usuniętych luk. Dowody datowane poza okresem audytu. Ogólne raporty bez mapowania kontroli specyficznych dla danej struktury.