安全与合规认证
为什么需要它
认证和认证支持成熟的安全做法,并通过开放进入受监管的市场和合作伙伴来缩短销售周期(尽职调查)。关键不是"一次性审核",而是构建具有可测量检查点的连续管理系统。
景观地图(什么以及何时选择)
ISO/IEC 27001是信息安全管理系统(ISMS)。通用"骨架"过程。
补充:ISO 27017(云),27018(云中的隐私),27701(PIMS,隐私),22301(BCMS,可持续性)。
SOC 2(AICPA): I型(日期设计)和II型(设计+操作效率,通常为3-12个月)。Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.
PCI DSS(用于卡处理):工作量级别、涉及QSA的ROC/AOC、季度ASV扫描、pentests和CHD区域分割。
CSA STAR (Level 1-3):云服务提供商和服务声明/审核。
其他领域包括:ISO 20000(ITSM),ISO 31000(风险管理),ISO 37001(反bribery),TISAX/ISAE 3402(行业/财务)。
GDPR/隐私:没有"GDPR证书"本身;适用ISO 27701和独立评估/行为守则。
认证vs认证
认证(ISO):认可机构颁发为期3年的证书,并进行年度监督审计。
认证(SOC 2):独立审计师发布该时期的报告(意见);您根据NDA向客户提供文档。
PCI DSS:由ROC (Compliance报告)和AOC (Compliance Attestation of Compliance)或SAQ确认,用于较小的卷。
Scope: 如何勾勒出界限
1.资产和流程:产品,环境(prod/stage),区域,数据类(PII/财务/地图)。
2.技术体系结构:云,VPC/VNet,Kubernetes,CI/CD,秘密管理,DWH/分析。
3.组织区域:办公室/搬迁,承包商,外包支持。
4.供应商(第三方):PSP,内容提供商,KYC/AML,云是分担责任的模型。
5.例外:记录为什么不在跳跃和补偿措施之外。
"第一个徽章"的路线图"
1.Gap分析与目标(27001/SOC 2/PCI)。
2.风险管理:技术,风险注册表,处理计划,应用性规范(ISO)。
3.政策和角色:IB/隐私政策,数据分类,可用性(IAM),编写,响应,BCM/DR。
4.技术控制:加密,网络(WAF/WAAP,DDoS),漏洞/补丁,安全SDLC,备份,监视。
5.证据基础:法规,日志,屏幕截图,卸载,滴答作响-我们保留。
6.内部审计/就绪评估。
7.外部审核:阶段1(坞站)→阶段2 (效率/samples)。对于SOC 2,II型是"观察期"。
8.监督/维护:季度控制检查,年度监督审计(ISO),SOC 2年度更新。
控制映射矩阵(示例片段)
审计员将显示什么(类型查询)
可用性:来自IdP/IAM的报告,JML逻辑,特权咆哮。
秘密:KMS/Vault政策,轮换历史。
漏洞扫描:最新报告、补丁程序、MTTP时间表。
日志/杂志:事件案例,MTTD/MTTR,后太平间。
供应商:登记处,DPIA/DTIA(如果PII),合同措施,风险评估。
培训和测试:网络钓鱼模拟,IB培训,确认。
BC/DR:最新演习的结果,RTO/RPO事实。
连续控制)
Policy-as-Code:OPA/Gatekeeper/Kyverno代表;关键规则上的"Enforce"。
持续控制监控(CCM):每N分钟/小时进行一次检查(罐加密、打开端口、MFA覆盖)。
GRC系统:控制登记册,所有者,任务和时机,指标绑定。
单个人工制品-枢纽:"证据"(evidence)由检查点旋转和标记。
报告自动生成:SoA、Risk Register、Control Effectiveness、KPI/SLO控制。
complians的度量和SLO
Coverage:带自动验证的控制百分比;漏洞中资产的百分比。
回应时间:p95结束审计请求≤ 5个工作日。
可靠性:"控制不在绿区"≤每月1%的时间。
漏洞:MTTP P1 ≤ 48小时,P2 ≤ 7天;Pentest还原≤ 30天。
IB培训:员工覆盖率≥ 98%,周期12个月。
云和Kubernetes的详细信息
云:资源清单(IaC),加密"在磁盘上"/"在通道中",日志(CloudTrail/Activity Logs),最小角色。使用提供商认证报告(SOC 2、ISO、PCI)作为"继承"保护的一部分。
Kubernetes: RBAC关于namespace、Admission Policy (映像签名/SBOM、禁令':latest')、网络策略、etcd外秘密(KMS)、API服务器审核、映像/群集扫描配置文件。
网络和周长:WAF/WAAP,DDoS,细分,ZTNA而不是"广泛"VPN。
PCI DSS(支付环境的改进)
CHD区域细分:跳跃中的最小系统;PSP的mTLS;vebhuki-与HMAC。
季度ASV扫描和年度pentests(包括细分)。
逻辑和完整性:FIM,不变期刊,"印刷时间"(NTP)。
文件:政策,地图数据流图,AOC/ROC,事件程序。
隐私(ISO 27701+GDPR方法)
角色:主计长/处理器,处理注册表,法律依据。
DPIA/DTIA:隐私和跨境转移风险评估。
主体权利:响应的SLA,技术搜索/删除工具。
最小化/别名化:体系结构模式和DLP。
工件(现成的模板-手头握着什么)
具有Annex A包含/排除动机的应用性声明(SoA)。
控制矩阵(ISO↔SOC2↔PCI)与所有者和证据。
风险注册与技术(impact/likelihood)和处理计划。
BC/DR计划+最近演习的协议。
Secure SDLC软件包: review支票单,SAST/DAST报告,deploe poly.
供应商尽职调查:问卷(SIG Lite/CAIQ),风险评估,合同措施。
常见错误
"审计是为了审计":没有实时流程,只有带有策略的文件夹。
过于宽阔:维护更加昂贵和困难;以"价值核心"开头。
手动收集证据:高运营债务;自动化CCM和卸载。
无指标控制:无法管理(没有SLO/所有者)。
被遗忘的验证后制度:没有季度检查→监督意外。
外围承包商:第三方成为事件来源和审计上的"红牌"。
准备就绪清单(缩写)
[……]确定了所有权、资产、所有人;数据和线程映射。
- 风险注册表,SoA(用于ISO),Trust Services Criteria(用于SOC 2)按控制分解。
[……]政策、程序、工作人员培训已经实施并且具有相关性。
- 控制器是自动的(CCM),行车记录仪和差速器。
- 每项控制的证据均应收集/审查。
- 进行内部审计/准备工作;解决了严重的差距。
- 指定了审计员/机构,商定了监测期(SOC 2)或Stage 1/2(ISO)计划。
- 现场pentest/ASV (PCI)、重整计划和小费确认。
迷你模板
控制指标策略(示例)
控制: "所有带有PII的垃圾箱均由KMS加密。"
SLI:启用加密的罐的百分比。
目标: ≥ 99。9%.
Alert:跌倒时<99。9%超过15分钟→ P2,所有者是Head of Platform。
证据日志(片段)
iGaming/fintech的细节
高风险域:付款/付款,反欺诈行为,反欺诈行为,伙伴关系集成-抢购和控制中的优先级。
业务指标:时间到钱包,reg→depozit转换-考虑保护措施和审计的影响。
区域性:欧盟/LATAM/亚洲要求-跨境转移记录,本地监管机构。
内容提供商/PSP:强制性尽职调查,mTLS/HMAC,法律补充数据协议。
底线
证书是纪律和自动化的结果:风险管理,实时政策,可衡量的控制和持续的准备。选择正确的套件(ISO 27001/27701/22301、SOC 2 Type II、PCI DSS、CSA STAR)、轮廓、自动检查(CCM/Policy-as-Code)、保持工件正常和SLO测量-因此合规性将变得可预测并支持产品增长,而不是刹车。