北京
第一次SOC 2審計(jì)失敗時(shí),我以為自己看錯(cuò)了郵件。我們明明做了訪問控制、加密了靜態(tài)數(shù)據(jù)——所有博客都在寫的那些。結(jié)果栽跟頭的地方,根本沒人寫過。
審計(jì)員問了一個(gè)問題:"你能證明這些日志完整且未被篡改嗎?"我們有幾百萬條日志存在ELK里,但答案是:不能。AICPA的CC7.2標(biāo)準(zhǔn)里有個(gè)關(guān)鍵詞是"監(jiān)控",不是"記錄"。我們有日志,但沒有監(jiān)控、沒有告警、沒有完整性校驗(yàn)。換句話說,我們只是把日志當(dāng)倉庫,不是當(dāng)哨兵。
離職流程是第二個(gè)坑。我們以為禁用Okta賬號(hào)就完事了,審計(jì)員卻要了一份清單:每個(gè)系統(tǒng)的訪問權(quán)限、撤銷時(shí)間、操作人、截圖證據(jù)。Okta只覆蓋60%的系統(tǒng),剩下40%散落在各處。更狠的是時(shí)間差——員工離職兩周后才撤銷權(quán)限?直接記一筆違規(guī)。
第三個(gè)是變更管理。我們說是代碼審查,審計(jì)員問:"生產(chǎn)環(huán)境誰有權(quán)限直接部署?"沉默。后來我們花了兩個(gè)月做哈希鏈?zhǔn)饺罩尽⒆詣?dòng)化離職檢查、強(qiáng)制雙人審批。第二次審計(jì)才過。
那位審計(jì)員最后補(bǔ)了一句:「我見過太多團(tuán)隊(duì)把合規(guī)當(dāng) checkbox,但SOC 2 要的是證據(jù)鏈,不是良心賬。」
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
