Správa důkazů shody: Sběr, organizace a uchovávání auditních důkazů

Problém s důkazy

Většina organizací přistupuje k dokladům o souladu jako ke sběru dat – shromažďuje artefakty z různých zdrojů do struktury složek před každým auditem. Tento přístup je křehký, časově náročný a náchylný k chybám. Důkazy zastarávají, zdroje se mění, formátování se liší a před-auditní shon pohltí týdny.

Nepřetržité shromažďování důkazů

Alternativa: začleňte shromažďování důkazů do vašich provozních pracovních postupů, aby artefakty vznikaly a byly organizovány jako vedlejší produkt vaší práce. Bezpečnostní testování automaticky generuje zprávy mapované na soulad. Revize přístupů generují důkazy ve vašem systému pro správu identit. Správa změn zachycuje záznamy o schválení ve vašem ticketingovém systému. Důkazy jsou vždy aktuální, protože jsou neustále generovány.

Konkrétně důkazy z Penetration Testing

Pro důkazy z pentestů potřebujete: dokumentaci metodologie, sladění rozsahu s hranicí souladu, zjištění s hodnocením závažnosti s důkazy o reprodukci, nápravná opatření s časovými osami, důkazy o retestu potvrzující opravy a kompletní zprávu datovanou v rámci auditovaného období. Zprávy Penetrify standardně obsahují všech šest prvků – není nutné žádné dodatečné zpracování.

Uchovávání a organizace

Uchovávejte důkazy o souladu po dobu, kterou vyžaduje váš rámec (obvykle 1–7 let v závislosti na rámci). Organizujte podle kontrol rámce, nikoli podle zdrojového systému. Označte důkazy obdobím auditu, které podporují. Udržujte živý index důkazů, který mapuje každou kontrolu na její podpůrné artefakty.