肯定有一些法规要求对此进行检查。
例如，PCI-DSS 要求（需要？尚未审查 v2..）在一定时间内安装所有安全补丁。是的，QSA 也需要验证这一点。

据我了解（我不是律师，我也不是合规官，所以我说的话持保留态度），对 SOX 合规性的解释要求公司有适当的机制来确保所有机器都是最新的补丁。因此，如果他们被审计，我一点也不感到惊讶。

从我过去从 IT 审计的角度看的一系列组织中，这里的“审计”一词通常意味着“根据已发布的列表检查安装的更新列表”，而不是深入了解每个更新包含的内容。即，如果它是来自供应商的“关键”，如果它没有及时实施，审计就会受到关注——或者如果没有及时实施，有一个很好的例外理由。