2026西湖龙井茶官网DTC发售:茶农直供,政府溯源防伪到农户家
您的 SOC2 审计窗口将在三个月后开启。您的 DMARC 策略为 p=none。您的审计师将会对此标记问题。
这并不是因为 p=none 作为起点是错误的——它是开始部署 DMARC 的标准方式。但是,在 SOC2 审计期开始时处于 p=none 状态,意味着在该策略生效的整个月份期间,您对 CC6.6 明确要求的逻辑访问控制没有任何强制执行措施。您无法追溯修复那些月份的问题。您只能修复后续的情况。
这是最常见的 CC6.6 失败模式:组织拥有技术上正确的配置,但在审计时处于错误的策略值、错误的时间点,且没有连续的证据表明其曾处于正确状态。
本指南详细介绍了 CC6.6 对 DNS 和电子邮件安全的具体要求、审计师寻找的证据类型,以及如何构建能够自动生成审计证据的配置——而不是在审计前一周手动拼凑证据。
CC6.6 实际涵盖的内容
SOC2 围绕信任服务准则(TSC)组织而成。CC6.6 属于 CC6 — 逻辑和物理访问控制 类别,具体涉及:
“实体实施逻辑访问安全措施,以防范来自其系统边界之外来源的威胁。”
在实践中,CC6.6 涵盖防止未经授权的外部访问系统的控制措施。对于大多数软件即服务(SaaS)公司而言,审计师在 CC6.6 下对 DNS 和电子邮件安全的审查重点关注以下三种威胁向量:
电子邮件域名欺骗 — 攻击者发送看似来自您域名的电子邮件。如果您的域名可能被欺骗,网络钓鱼攻击就可以冒充您的公司向您的客户发起攻击。这是对您系统边界的外部威胁,而电子邮件身份验证控制措施直接针对此类威胁。
DNS 记录篡改 — 攻击者修改您的 DNS 记录以重定向流量。未受保护的 DNS 区域是您系统边界上的攻击面。DNSSEC 和注册商级别的控制措施可解决此问题。
证书签发滥用 — 攻击者通过受损或恶意的证书颁发机构获取您域名的有效传输层安全(TLS)证书。证书颁发机构授权(CAA)记录限制了哪些证书颁发机构可以为您的域名签发证书。
CC6.6 还与 CC6.1 — 安全通信 相关联,后者涵盖传输安全。强制模式下的邮件传输代理严格传输安全(MTA-STS)——要求所有入站电子邮件交付必须使用 TLS——是审计师与 CC6.6 一并验证的 CC6.1 电子邮件控制措施。
SOC2 审计师检查的五项控制措施
当您的审计师作为 CC6.6 的一部分审查 DNS 和电子邮件安全时,他们会测试以下具体控制措施。每项控制措施都有通过条件、失败模式和证据要求。
控制措施 1:DMARC 设置为 p=quarantine 或 p=reject
审计师检查内容: 您在 _dmarc.yourdomain.com 处的 DMARC 记录中 p= 的值。
通过条件: p=quarantine 或 p=reject
为何 p=none 会导致失败: p=none 是一种仅监控的策略。它会生成关于身份验证失败的报告,但不采取任何行动——未能通过发件人策略框架(SPF)和域名密钥识别邮件(DKIM)验证的电子邮件仍会正常交付。从 CC6.6 强制执行的角度来看,SOC2 审计师将 p=none 视为与没有 DMARC 记录相同。您虽然能看到问题,但没有控制措施来阻止它。
时机陷阱: SOC2 审计师在审计期的开始而非结束时测试控制措施。如果您的 12 个月审计窗口从 1 月 1 日开始,而您处于 p=none
免责声明:本文内容来自互联网,该文观点不代表本站观点。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请到页面底部单击反馈,一经查实,本站将立刻删除。
