Penetration Testing · Preparation Kit

Chuẩn bị Penetration Testing

Bộ tài liệu chuẩn bị penetration testing, từ scope definition, rules of engagement, đến remediation verification. Yêu cầu trong ISO 27001 (A.8.8), SOC 2 (CC7.1), PCI-DSS (Req 11), HIPAA Security Rule.

Nhận hỗ trợ từ pTrackly →

1. Scope & Objectives

  • Xác định scope: IP ranges, domains, applications trong phạm vi test
  • Out of scope: systems không được test (customer data stores, third-party services)
  • Test objectives: external pentest, internal pentest, web app pentest, API pentest, cloud pentest
  • Test type: black-box (no knowledge) vs gray-box (partial) vs white-box (full access)

2. Rules of Engagement (RoE)

  • Testing window: khi nào test (business hours? sau giờ? cuối tuần?)
  • Authorized testers: danh sách IP addresses của pentest team
  • Contact list: ai sẽ nhận thông báo nếu có emergency (system down, data exposure)
  • Escalation path: nếu phát hiện critical finding, báo ngay hay đợi đến cuối test?
  • Social engineering scope: có được phép phishing employees không?

3. Chọn Pentest Provider

  • Certifications: OSCP, GPEN, CREST, CEH (team phải có ít nhất 1 cert)
  • Experience: có làm cho industry tương tự không? (healthtech, fintech, SaaS)
  • Methodology: OWASP Testing Guide, PTES, NIST SP 800-115
  • Report quality: request sample report trước khi ký hợp đồng
  • Compliance familiarity: provider hiểu ISO 27001 / SOC 2 / PCI-DSS requirements không?

4. Pentest Execution

  • Kick-off call: confirm scope, RoE, contact list
  • Testing duration: thường 1-3 tuần tùy scope
  • Daily standups (optional): nếu muốn track progress real-time
  • Mid-test check-in: có phát hiện gì critical cần xử lý ngay không?

5. Report & Remediation

  • Pentest report: executive summary, findings với CVSS score, exploit steps, recommendations
  • Finding prioritization: critical → high → medium → low
  • Remediation plan: ai xử lý finding nào, deadline
  • Retest: sau khi fix, request retest để verify (thường bao gồm trong contract)
  • Attestation letter: một số auditor yêu cầu pentest attestation letter

6. Frequency & Compliance Requirements

  • ISO 27001: penetration testing định kỳ (không quy định cụ thể, thường annually)
  • SOC 2: annual pentest recommended, requirement tùy TSC scope
  • PCI-DSS: annual external pentest + sau mọi significant change (mandatory)
  • HIPAA: không bắt buộc nhưng highly recommended (consider as addressable)

pTrackly giúp bạn triển khai Penetration Testing nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo