1回答
SOC的定义?
、、
一方面,“安全操作中心”,但SOC似乎是用于报告和认证领域,这是从哪里来的?信息安全法规认证中是否有其他(或更多) SOC定义,或者这些术语仅仅是将其作为描述特定it部门需要实施的实践的一种方式吗?问题来自试图确定我应该要求第三方供应商向我的组织提交什么SOC“级别”报告。
浏览 0提问于2021-03-01得票数 1
回答已采纳
如果我们需要向第三方提交SOC 2审计报告,我们是否可以雇佣一个人对我们的软件和流程进行指导,或者使用内部资源,或者规范是否要求有资格的第三方来进行审查和报告?或者,我们可以自己动手吗?规范中是否有关于卫生组织审计和报告的要求?
浏览 0提问于2019-04-10得票数 6
问题如下:我之所以选择B.SOC 2,是因为我认为,作为一家服务机构最详细的控制报告之一,它肯定需要有一位声誉良好的审计师进行这项研究的记录(“印章”)。C.SOC 2与CIA tria公司合作。SOC 1用于财务报告。SOC 3只是核数师的证明。没有SOC
浏览 0提问于2018-04-13得票数 1
回答已采纳
我在一家小公司工作,开始探索进行SOC 2(安全性、可用性、保密性)审计。与我们一起工作的审计师相信,我们需要每年进行渗透测试,以满足一些信托服务标准。我们担心每年进行这些测试的成本(除了审计费用)。是否每年都需要进行渗透测试才能满足SOC 2?可以在家里做笔试吗?
浏览 0提问于2016-10-06得票数 4
回答已采纳
我们的客户之一要求我们完成SOC 2第二类审计。我们不可能达到这个标准,而且,考虑到我们只处理公开的数据,他们要求提供一个数据是荒谬的。我们需要有人为审计师管理我们的系统的变更和文档。与我们签约的IT支持公司不想参与其中。我们不能雇用全职IT人员,但我们可以雇佣一名合同雇员来帮助我们完成这一过程。
浏览 0提问于2018-09-24得票数 2
我们正在雇用一名审计师,以成为符合SOC 2,并想知道是否有某种正式的审计师上市,或至少有认证或AICPA的认可,我们应该寻找。
浏览 0提问于2016-11-08得票数 6
在上一次审计期间,审计师问我们为什么没有安装CU。
现在我的问题是,SOC中有什么东西告诉我们安装除了安全修复之外的其他东西吗?CU包含错误/改进等,我不确定SOC 1或2是否定义了这些问题,或者审计人员弄错了。这不像问我们为什么没有安装最新版本的Server吗?
浏览 0提问于2019-07-08得票数 1
我的任务是调查我们应该做什么来获得SOC 2类型2报告(我们的客户之一将来可能会需要它),但很快发现这项任务对我来说可能是无法完成的(我只是一个操作人员,没有认证、合规等方面的经验)。我不知道从哪里开始,以及应该如何设计所有的控制来满足审计人员的要求。我觉得我得从头开始写一整本书,而不是真正了解这个主题。如何从零开始为SOC 2做准备?也许有些公司能帮上忙(不是审计本身,因为现在没有什么可审计的,特别是写控制)?任何帮助都将不胜感激。对不起,如果问题太宽泛,但我真的不知道如何在我的情况下变得更具体。
浏览 0提问于2019-09-19得票数 2
回答已采纳
上面的文档说:“使用Azure部署和审计策略来要求Linux登录Azure,并标记未经批准的本地帐户”,但我完全了解了如何要求登录仅通过AAD凭据。为了符合SOC2,我需要这样做,并且考虑到Azure有文档表明他们的服务是SOC2兼容的,我无法想象这是不可能的。有人知道如何强制Linux服务器只允许添加登录凭据吗?
浏览 7提问于2022-04-20得票数 0
我们所在的IFD CRM实例运行的数据中心没有支付这些审计费用。然而,微软的文献表明,CRM在线(托管在MS服务器上)拥有这些证书,并且随着每次服务更新,认证都在增长。如果我们的CRM内部软件是最新的,那么可以肯定地说,CRM内部软件本身符合这里中概述的标准,但是数据中心还没有得到审计师的“认证”吗?ISO 27001萨班斯-奥克斯ISO 27001数据处理协议(DPA)商业联合协议-使公司符合健康保险可携性和责任法
浏览 0提问于2012-05-15得票数 1
回答已采纳
1回答
我们正在进行SOC2审计。我需要你的帮助来澄清人力资源的因素。问题陈述(S)如下
如果我们想雇用一家公司的前雇员作为顾问,所有的标准都应该遵循,如背景调查,数据共享,资产等。
浏览 0提问于2022-06-16得票数 1
显然,Heroku希望您通过告诉您“Heroku的基础设施提供商是符合PCI级别1的”(AWS)来认为它们是符合PCI的。https://www.heroku.com/policy/security显然,PCI遵从性比托管提供商更多,但另一种方式是,是否可以使用在Heroku环境中处理CC信息的购物车来兼容PCI?
编辑:我知道托管支付页面可以绕过这个问题,所以让我们假设您必须使用与网关直接通信的购物车来传递CC数据。
浏览 0提问于2015-05-12得票数 6
因此,问题的前提是量化通配卡证书相对于普通证书的风险。从我的研究来看,外卡证书最大的根本危险是有可能破坏一个薄弱的系统,获取私钥,然后你就可以伪装成任何系统。为此,您必须危害系统并危及公共DNS服务器(假设这是基于Internet的攻击),并在证书被撤销之前这样做。
我突然意识到,如果认证机构对验证公司有效性的要求发生了变化,其中一些更容易为社会工程师服务,而另一些则更容易,那么它可能会降低持有“外卡”证书的风险。也就是说,对于一个社会工程师来说,CA可能更容易进入一个系统并窃取私钥。此外,命名的Certs可能会产生一种虚假的安全感,因为它们可能被另一个受信任的权威所模仿。这也造成了另一个问题
浏览 0提问于2015-01-26得票数 1
1回答
问题:作为SOX合规性审计的一部分,要求职责分离的审计员要求取消对源代码的贡献访问权限,即使是像Azure DevOps服务中Azure Repos中的项目管理员和集合管理员这样的管理员,或者任何能够通过发布管道部署到生产环境的管理员
浏览 3提问于2020-01-10得票数 3
我想知道如何遵守PCI的要求(11.3),使用AWS无服务器架构中的渗透测试来测试分段控件。我试图阅读有关PCI责任的AWS文档,但没有提到分段控件。此外,在有关云计算的PCI指导中,有人写道,执行分段测试是客户端的责任。
在AWS无服务器体系结构中,是否知道如何遵守这一点?
浏览 0提问于2019-01-15得票数 2
1回答
我是一名IT技术作家,拥有6年的信息安全工作经验。我对软件、数据库和云计算有很好的知识,在系统安全文档方面有一年左右的经验(NIST800-53)。我所缺少的是信息安全方面的任何正规培训或教育。我的大学学位也完全无关紧要。非常感谢!
浏览 0提问于2016-11-24得票数 0
text,user_prof_id text,soc_prof_soc_net_type text,soc_net_user_idtext,
PRIMARY KEY (<em
浏览 11提问于2014-12-18得票数 3
2回答
附加的号码是soc,启动时间为50。soc的值取决于dataframe (df‘’Pred‘)中预测列的值。如果df‘’Pred‘>0和soc < 100,则,则soc += 50并附加到套接字数组;,如果df’‘Pred’> <0和soc >0,则,如果df‘’Pred‘>0,则soc -=50,并附加到socsoc = soc
socarray.append(so
浏览 4提问于2020-09-27得票数 2
2回答
我已经使用复选框创建了表单: {% for soc in socs %} {{soc.name}}">{{ endform() }}$options =
浏览 0提问于2018-02-01得票数 0
1回答
如何引用转换表
、、
我有这两个表:soc1 integer not null,primary key (soc1,soc2),);
soc1 integer not null,primary key(soc1each row
when percent > 0.5 and
浏览 0提问于2012-11-06得票数 0
云服务器
ICP备案
云直播
对象存储
实时音视频
腾讯云开发者
