为了方便和安全,我发现密码轮换要求是有害的。我们的 SOC 2 审核员似乎仍然需要它们。SOC 2 是否真的需要在 2020 年轮换密码?我认为(希望)满足 NIST 密码指南和 TOTP MFA 应该绰绰有余。
SOC-2 合规性是否需要密码轮换
信息安全
密码策略
遵守
规定
2021-09-02 01:47:06
1个回答
SOC 2 Type 2 没有具体的技术要求。你要做的就是让你的评估者满意。
如果你的公司不能让你的评估员满意,那么有一种叫做“管理层回应”的机制,公司可以解释评估员的调查结果。
如果您的评估员对该领域最佳实践的理解落后了 4 年,那么您可能需要寻找新的评估员......
其它你可能感兴趣的问题