Wir sind stolz bekannt zu geben, dass Aikido Security kürzlich die ISO 27001:2022-Zertifizierung erhalten hat. Dies ist ein wichtiger Meilenstein für uns und unterstreicht unser Engagement für Informationssicherheit.
Was ist ISO 27001:2022?
ISO 27001 ist ein weltweit anerkannter Standard für die Einrichtung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS). Die Version 2022 dieser Zertifizierung stellt sicher, dass Aikido Security an den aktuellen Best Practices im Informationssicherheitsmanagement ausgerichtet ist. Wir haben uns bewusst für die Version 2022 (gegenüber den Versionen 2013 & 2017) entschieden, da diese neue Version einen stärkeren Fokus auf sicheres Coding, Bedrohungserkennung usw. legt. Dies sind Punkte, die wir für ein Softwareunternehmen als wichtig und relevant erachten.
Die Erreichung der ISO 27001:2022 Compliance ist eine bedeutende Errungenschaft für Aikido Security. Sie unterstreicht unser Engagement, unseren Kunden sichere und zuverlässige Lösungen zu bieten.
Willem Delbare, CEO von Aikido Security
Was motivierte Aikido, die ISO 27001-Zertifizierung anzustreben?
Wir sind ein Challenger im Security-Bereich, und eine der ersten Dinge, die wir von neuen Kunden verlangen, ist, dass sie uns Lesezugriff auf ihre Codebasis gewähren. Das ist eine große Sache. Und wir verstehen – und stimmen zu –, dass das eine große Sache ist.
Damit Kunden uns ihre Codebasis vertrauensvoll anvertrauen können, müssen sie uns als Unternehmen und unserem Produkt vertrauen. Die ISO27001-Konformität ist ein großer Schritt vorwärts beim Aufbau und Nachweis dieses Vertrauens.
Was wir auf dem Weg zur ISO 27001-Compliance gelernt haben
In einem zukünftigen Blogbeitrag werde ich meine wichtigsten Erkenntnisse darlegen, aber ich möchte diese Gelegenheit nutzen, um einige kurze Einblicke in unsere Reise zu teilen.
Unsere ISO 27001:2022 Reise
Wir haben den gesamten Prozess in etwa sechs Monaten durchlaufen. Da wir zuvor SOC 2 implementiert hatten, verfügten wir bereits über viele Richtlinien, Dokumente und Best Practices. Dies ermöglichte es uns, vieles davon für unsere ISO wiederzuverwenden und anzuwenden.
Da wir fest davon überzeugt sind, das richtige Werkzeug für die jeweilige Aufgabe einzusetzen, haben wir die Gelegenheit genutzt, einen modernen Ansatz zu wählen und Vanta eingesetzt, das einen Großteil der für die ISO 27001-Zertifizierung erforderlichen Arbeit automatisiert.
Die Erreichung der ISO 27001:2022 erfordert Geduld und Engagement. Es ist entscheidend, sich mit zuverlässigen Partnern zu umgeben und sich im Vorfeld Wissen anzueignen.
Roeland Delrue, COO & CRO von Aikido Security
Der übergeordnete Prozess
1. Internes Audit (Pre-Audit)
Man kann das interne Audit als eine „Generalprobe“ oder ein „Probe-Audit“ betrachten, um sicherzustellen, dass man für die „echten“ Audits bereit ist. Das interne Audit stellt sicher, dass keine offensichtlichen Dinge übersehen wurden, die in späteren Phasen nicht mehr behoben werden könnten.
Kurzer Tipp: Beauftragen Sie einen guten internen oder externen Pre-Auditor. Dies hilft Ihnen wirklich, sich korrekt aufzustellen. Sofern Sie keine relevante und nachweisliche Erfahrung im Bereich ISO haben, ist es wahrscheinlich am besten, einen externen Pre-Auditor zu beauftragen. Die Nutzung deren Erfahrung wird sich als sehr wertvoll erweisen.
2. Phase-1-Audit
Stage 1 is largely a “tabletop audit” or documentation review
Dieses Audit besteht aus einer umfassenden Dokumentenprüfung. Ein externer ISO 27001-Auditor prüft Richtlinien und Verfahren, um sicherzustellen, dass sie die Anforderungen des ISO-Standards und des eigenen Informationssicherheits-Managementsystems (ISMS) der Organisation erfüllen.
3. Audit der Stufe 2
Stage 2 is a full-on system audit with lots of control testing
Der Auditor führt Tests durch, um zu überprüfen, ob das Informationssicherheits-Managementsystem (ISMS) ordnungsgemäß konzipiert und implementiert wurde und korrekt funktioniert. Der Auditor bewertet außerdem die Angemessenheit und Eignung der Kontrollen der Organisation, um festzustellen, ob die Kontrollen implementiert wurden und effektiv funktionieren, um die Anforderungen des ISO 27001-Standards zu erfüllen.
4. Zertifizierung
Nachdem Sie Ihre Non-Konformitäten behoben oder einen Maßnahmenplan dafür erstellt haben, sind Sie bereit für die Validierung. ISO 27001 Non-Konformitäten werden als geringfügig, schwerwiegend oder als Verbesserungspotenziale (OFIs) kategorisiert. Es ist selbstverständlich entscheidend zu zeigen, dass Sie alle schwerwiegenden Non-Konformitäten behoben haben oder klar auf dem Weg dazu sind.
Und dann... ist es Zeit, Ihr Zertifikat zu erhalten 🎉🥳
Wie lange dauert es, ISO 27001 compliant zu werden?
Sie können es nicht in weniger als zwei Monaten schaffen. Und das setzt voraus, dass Sie alles startklar haben, einschließlich eines Pentests und eines Auditors.
Selbst dann benötigen Sie möglicherweise einige Monate, um sicherzustellen, dass Sie genügend Informationssicherheitsereignisse erleben, da einige Prozesse nur stattfinden können, wenn ein bestimmtes Ereignis eintritt (z. B. das Onboarding oder Offboarding eines Mitarbeitenden).
Sie müssen auch nachweisen, dass Sie Nichtkonformitäten beheben und Beweismittel sammeln können. Dieser Prozess umfasst die Identifizierung des Ereignisses, dessen Protokollierung und Klassifizierung sowie die gründliche Dokumentation des Informationssicherheitsereignisses.
Was kostet es, ISO 27001 compliant zu werden?
Je nachdem, wie detailliert das Pre-Audit und der Pentest ausfallen, kostet der gesamte Prozess typischerweise 20.000–50.000 USD.
Sie müssen für Folgendes aufkommen:
- Pre-Auditor
- Pentest (Sie können dies aus anderen Compliance-Tracks nutzen, z. B. wenn Sie bereits einen für SOC 2 durchführen)
- Compliance-Plattform-Lizenz (wir empfehlen dringend die Nutzung)
- Auditor
- Schwachstellen- und/oder Malware-Scanner-Lizenzen (z. B. Aikido Security)
Die Kosten hängen stark von mehreren Faktoren ab, wobei die wichtigsten sind:
- Die Größe Ihres Unternehmens (Bei vielen Mitarbeitenden, Prozessen, Büros, Entwickelnden steigen die Auditkosten dramatisch an)
- Kosten des Pentests (3-30 Tsd. USD, je nachdem, welche Art von Pentest Sie durchführen und wer ihn ausführt)
- Tiefe der Audits
- Compliance-Plattform (z. B. Vanta)
ISO 27001:2022 technisches Schwachstellenmanagement
Auf Ihrem Weg zur ISO 27001:2022-Zertifizierung? Aikido Security erfüllt alle Anforderungen an das technische Schwachstellenmanagement für ISO 27001:2022-Anwendungen. Wir synchronisieren uns auch mit Compliance-Monitoring-Plattformen (wie Vanta), um sicherzustellen, dass Ihre Schwachstelleninformationen immer aktuell sind. Das bedeutet, dass Sie sich auf eine genaue Risikobewertung und effiziente Behebung verlassen können.
Fordern Sie unseren Bericht an
Fordern Sie gerne unseren ISO 27001:2022 Bericht direkt in unserem Trust Center an.
Sichern Sie Ihre Software jetzt.
.jpg)
.avif)
