Säkerhetskontroll

SOC 2 change management (CC8.1): evidensen finns i er GitHub

SOC 2:s CC8.1 kräver att förändringar i produktion är auktoriserade, granskade och testade. För ett mjukvarubolag bevisas det i GitHub — branch protection, required reviews och gröna CI-gates. Vi visar var ni står.

Kör gratis domänscan Alla kontroller →
Berör: SOC 2 · CC8.1 — change management ISO 27001 · A.8.32 ändringshantering NIS2 · art. 21 — säker utveckling

Vad kontrolleras?

Vi mappar SOC 2:s change management-krav mot konkreta GitHub-kontroller: att ingen kan pusha direkt till produktion utan granskning, att CI måste passera före merge, att admins inte kringgår reglerna och att förändringshistoriken är spårbar per commit.

Varför spelar det roll?

CC8.1 är ofta den kriteriepunkt där tech-bolag fastnar i revisionen — inte för att processen saknas, utan för att den inte kan bevisas tekniskt. Branch protection och required reviews är den evidens en revisor faktiskt godtar.

Hur Security Guru testar det

Vanliga fel

  • Ha en dokumenterad change-process men ingen teknisk spärr i GitHub
  • Admins får kringgå granskning — CC8.1 underkänns
  • Required reviews satt till 0 — regeln finns men kräver ingen
  • Ingen koppling mellan biljett/PR och faktisk merge

Vad du får i rapporten

  • CC8.1-status per repo med teknisk evidens
  • Repos där förändringar kan nå produktion utan granskning
  • Rekommenderad baseline för godkänd revision
  • Färdigt evidensunderlag till er SOC 2-revisor

Vanliga frågor

Ersätter detta vår SOC 2-revision?

Nej — vi levererar den tekniska evidensen för CC8.1 som ni och er revisor använder. Vi utfärdar inte SOC 2-rapporten.

Type I eller Type II?

Evidensen tjänar båda — Type II kräver dessutom att kontrollen bevisas fungera över tid, vilket branch protection-historiken visar.

Måste koden lämna oss?

Nej — kontrollen läser repo-inställningar via API och kan köras utan att koden lämnar miljön.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan