¿Una auditoría SOC 2 generalmente requerirá pruebas de penetración?

4

Trabajo para una pequeña empresa que comienza a explorar la realización de una auditoría SOC 2 (Seguridad, Disponibilidad, Confidencialidad). El auditor con el que estamos trabajando cree que tendremos que realizar pruebas de penetración anualmente para satisfacer algunos de los criterios de servicios de confianza.

Nos preocupa el costo de realizar estas pruebas anualmente (además de los costos de auditoría). ¿Normalmente se requiere una prueba de penetración anualmente para satisfacer un SOC 2? ¿Es posible hacer pruebas de pluma en casa?

    
pregunta J.R. 06.10.2016 - 18:10
fuente

1 respuesta

3

Habiendo pasado por esto, la respuesta depende realmente de la agencia de auditoría que realiza la auditoría. Es una función de aseguramiento de terceros fácil de entender que es bastante típica en este tipo de auditoría.

Es posible que pueda negociar con el auditor para que no lo requiera esta vez, pero tendrá que poder compensar la pérdida de seguridad de alguna otra manera.

En la Respuesta de la Administración, el Negocio puede explicar por qué no se realizó la prueba de penetración.

    
respondido por el schroeder 06.10.2016 - 19:59
fuente

Lea otras preguntas en las etiquetas