Windows安全更新是否经过审核？

Question

一位IT人员说，在他的公司，Windows更新(由Windows自动下载的小型安全更新)由审计师检查。ie:审计师检查公司的每个系统是否都安装了这些更新。我不敢相信审计人员真的会检查这些细节。他们有吗？

Answer 1

确实有一些规定要求对此进行检查。

例如，PCI需要(请求？)还没有审查过v2 .)在一定时间内安装的所有安全修补程序。是的，QSA也需要对此进行验证。

Answer 2

据我所知(我不是律师，我也不是合规官，所以请相信我所说的话)，对于SOX合规有一些解释，要求公司有适当的机制来确保所有的机器都能更新补丁。所以如果他们被审计了，我一点也不惊讶。

Answer 3

从我过去从IT审计的角度来看，“审计”一词通常意味着“根据发布的列表检查安装的更新列表”，而不是深入了解每一个更新包含的内容。如果这是一个“关键”的供应商，审计会引起关注，如果它没有及时实施-或失败，有一个很好的例外理由。