Príprava na audit zhody: 90-dňový plán

90–60 dní: Posúdenie a určenie rozsahu

1. týždeň: Skontrolujte požiadavky vášho rámca a identifikujte chýbajúce dôkazy. 2. týždeň: Určite rozsah vášho Penetration Testingu tak, aby zodpovedal rozsahu vašej zhody (popis systému pre SOC 2, CDE pre PCI DSS, rozsah ISMS pre ISO 27001). 3. týždeň: Dohodnite sa s poskytovateľom testovania a naplánujte si testovanie. 4. týždeň: Pripravte testovacie prostredie, vytvorte testovacie účty a informujte príslušné tímy. Začnite zbierať dôkazy, ktoré nesúvisia s testovaním (zásady, postupy, kontroly prístupu).

60–30 dní: Testovanie a náprava

5.–6. týždeň: Prebieha Penetration Testing a skenovanie zraniteľností. Nálezy sa zobrazujú v reálnom čase, ak používate platformu TaaS, ako napríklad Penetrify. Okamžite začnite s nápravou kritických a závažných nálezov. 7.–8. týždeň: Dokončite nápravu všetkých kritických a závažných nálezov. Požiadajte o opakované testovanie dokončených opráv. Zostavte dôkazy o opakovanom testovaní potvrdzujúce nápravu.

30–0 dní: Dokumentácia a kontrola

9.–10. týždeň: Dokončite správu o zhode s metodológiou, nálezmi, nápravou a dôkazmi o opakovanom testovaní. Overte, či sú všetky mapovania kontrol rámca úplné. 11.–12. týždeň: Vykonajte internú kontrolu všetkých dôkazov. Overte, či dátumy pentestov spadajú do obdobia auditu. Potvrďte, že zosúladenie rozsahu zodpovedá rozsahu rámca. Pripravte sa na otázky audítora týkajúce sa nálezov a nápravy.

Prečo audity zlyhávajú

Príliš neskoré začatie pentestingu (žiadny čas na nápravu pred auditom). Rozsah pentestu nie je v súlade s rozsahom zhody. Chýbajúce dôkazy o opakovanom testovaní pre napravené nálezy. Dôkazy datované mimo obdobia auditu. Všeobecné správy bez mapovania kontrol špecifických pre rámec.