Správa dôkazov o zhode: Zber, organizácia a uchovávanie auditných dôkazov

Problém s dôkazmi

Väčšina organizácií pristupuje k dôkazom o zhode ako k zbierke artefaktov – zhromažďujú ich z viacerých zdrojov do štruktúry priečinkov pred každým auditom. Tento prístup je krehký, časovo náročný a náchylný na chyby. Dôkazy zastarávajú, zdroje sa menia, formátovanie sa líši a pred-auditové zhony zaberajú týždne.

Nepretržité zhromažďovanie dôkazov

Alternatíva: zabudujte zhromažďovanie dôkazov do svojich prevádzkových pracovných postupov, aby sa artefakty vytvárali a organizovali ako vedľajší produkt vašej práce. Bezpečnostné testovanie automaticky vytvára správy mapované na súlad. Revízie prístupu generujú dôkazy vo vašom systéme správy identít. Riadenie zmien zachytáva záznamy o schválení vo vašom systéme lístkov. Dôkazy sú vždy aktuálne, pretože sa neustále generujú.

Konkrétne dôkazy z Penetration Testing

Pre dôkazy z pentestu potrebujete: dokumentáciu metodológie, zosúladenie rozsahu s hranicou súladu, zistenia s hodnotením závažnosti s dôkazmi o reprodukcii, nápravné opatrenia s časovými osami, dôkazy o opakovanom testovaní potvrdzujúce opravy a kompletnú správu datovanú v rámci obdobia auditu. Správy Penetrify obsahujú všetkých šesť prvkov ako štandardné výstupy – nevyžaduje sa žiadne dodatočné spracovanie.

Uchovávanie a organizácia

Uchovávajte dôkazy o súlade počas obdobia, ktoré vyžaduje váš rámec (zvyčajne 1 – 7 rokov v závislosti od rámca). Organizujte podľa kontrol rámca, nie podľa zdrojového systému. Označte dôkazy obdobím auditu, ktoré podporujú. Udržiavajte živý index dôkazov, ktorý mapuje každú kontrolu na jej podporné artefakty.