Wir sind stolz darauf, bekannt geben zu können, dass Aikido Security kürzlich die Zertifizierung nach ISO 27001:2022 erhalten hat. Dies ist ein großer Meilenstein für uns und unterstreicht unser Engagement für die Informationssicherheit.
Was bedeutet ISO 27001:2022?
ISO 27001 ist ein weltweit anerkannter Standard für die Einrichtung und Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS). Die Version 2022 dieser Zertifizierung stellt sicher, dass Aikido Security mit den aktuellen Best Practices im Informationssicherheitsmanagement übereinstimmt. Wir haben uns bewusst für die Version 2022 entschieden (im Gegensatz zu den Versionen 2013 und 2017), da sich diese neue Version stärker auf sichere Kodierung, Bedrohungserkennung usw. konzentriert. Dies sind Punkte, die wir als wichtig und relevant für ein Softwareunternehmen erachten.
Das Erreichen der ISO 27001:2022-Konformität ist ein bedeutender Erfolg für Aikido Security. Sie unterstreicht unser Engagement für die Bereitstellung sicherer und zuverlässiger Lösungen für unsere Kunden.
Willem Delbare, CEO von Aikido Security
Was hat Aikido dazu bewogen, sich nach ISO 27001 zertifizieren zu lassen?
Wir sind ein Herausforderer im Sicherheitsbereich und eines der ersten Dinge, die wir von neuen Kunden verlangen, ist, dass sie uns Lesezugriff auf ihre Codebasis gewähren. Das ist eine große Sache. Und wir verstehen - und stimmen zu - dass das eine große Sache ist.
Damit Kunden uns ihre Codebasis anvertrauen können, müssen sie uns als Unternehmen und unserem Produkt vertrauen. Die Konformität mit ISO27001 ist ein großer Schritt nach vorn, um dieses Vertrauen aufzubauen und zu beweisen.
Was wir auf dem Weg zur ISO 27001-Konformität gelernt haben
In einem zukünftigen Blogbeitrag werde ich meine wichtigsten Erkenntnisse darlegen, aber ich möchte diese Gelegenheit nutzen, um einige kurze Einblicke in unsere Reise zu geben.
Unser Weg zur ISO 27001:2022
Wir haben den gesamten Prozess in etwa sechs Monaten durchlaufen. Wir hatten zuvor bereits SOC 2 eingeführt und verfügten daher bereits über viele Richtlinien, Dokumente und bewährte Verfahren. So konnten wir vieles davon wiederverwenden und auf unsere ISO anwenden.
Da wir der festen Überzeugung sind, das richtige Werkzeug für die jeweilige Aufgabe zu verwenden, haben wir die Gelegenheit genutzt, einen modernen Ansatz zu wählen und Vanta einzusetzen, das einen Großteil der für die Erlangung der ISO 27001 erforderlichen Arbeit automatisiert.
Das Erreichen der ISO 27001:2022 erfordert Geduld und Engagement. Es ist wichtig, sich mit verlässlichen Partnern zu umgeben und im Vorfeld Wissen zu sammeln.
Roeland Delrue, COO & CRO von Aikido Security
Der Prozess auf hoher Ebene
1. Interne Revision (Voraudit)
Sie können das interne Audit als "Generalprobe" oder "Schein-Audit" betrachten, um sicherzustellen, dass Sie auf die "echten" Audits vorbereitet sind. Die interne Prüfung stellt sicher, dass Sie keine offensichtlichen Dinge übersehen haben, die Sie in den späteren Phasen nicht mehr beheben können.
Kleiner Tipp: Verwenden Sie einen guten internen oder externen Vorprüfer. Das hilft Ihnen wirklich, sich richtig vorzubereiten. Wenn Sie nicht über einschlägige und nachgewiesene Erfahrungen mit ISO verfügen, ist es wahrscheinlich am besten, einen externen Vorauditor zu beauftragen. Deren Erfahrung wird sich als sehr wertvoll erweisen.
2. Prüfung der Stufe 1
Stufe 1 ist größtenteils ein "Tabletop-Audit" oder eine Dokumentationsprüfung
Dieses Audit besteht aus einer umfassenden Überprüfung der Dokumentation. Ein externer ISO 27001-Auditor prüft die Richtlinien und Verfahren, um sicherzustellen, dass sie die Anforderungen der ISO-Norm und des Informationssicherheitsmanagementsystems (ISMS) der Organisation erfüllen.
3. Audit der Stufe 2
Stufe 2 ist ein umfassendes Systemaudit mit zahlreichen Kontrolltests
Der Auditor führt Tests durch, um zu prüfen, ob das Informationssicherheitsmanagementsystem (ISMS) ordnungsgemäß konzipiert und umgesetzt wurde und korrekt funktioniert. Der Auditor bewertet auch die Angemessenheit und Eignung der Kontrollen der Organisation, um festzustellen, ob die Kontrollen implementiert wurden und wirksam funktionieren, um die Anforderungen der Norm ISO 27001 zu erfüllen.
4. Zertifizierung
Nachdem Sie die Mängel beseitigt oder einen Aktionsplan für Ihre Nichtkonformitäten erstellt haben, sind Sie bereit für die Validierung. ISO 27001-Nichtkonformitäten werden in geringfügige, schwerwiegende oder verbesserungswürdige Mängel eingeteilt (OFI). Es ist natürlich von entscheidender Bedeutung, dass Sie nachweisen können, dass Sie die Mängel beseitigt haben, oder dass Sie klar zeigen können, dass Sie auf dem Weg sind, alle schwerwiegenden Nichtkonformitäten zu beseitigen.
Und dann... ist es Zeit, dein Zertifikat zu bekommen 🎉🥳
Wie lange dauert es, bis die ISO 27001-Norm erfüllt ist?
Sie können es nicht in weniger als zwei Monaten schaffen. Und das setzt voraus, dass Sie alles bereit haben, einschließlich eines P-Tests und eines Prüfers.
Selbst dann benötigen Sie möglicherweise einige Monate, um sicherzustellen, dass genügend Informationssicherheitsereignisse auftreten, da einige Prozesse nur dann stattfinden können, wenn ein bestimmtes Ereignis eintritt (z. B. Onboarding oder Offboarding eines Mitarbeiters).
Außerdem müssen Sie nachweisen, dass Sie Nichtkonformitäten beheben können und in der Lage sind, Beweise zu sammeln. Dieser Prozess umfasst die Identifizierung des Ereignisses, die Protokollierung und Klassifizierung sowie die gründliche Dokumentation des Informationssicherheitsvorfalls.
Wie viel kostet es, ISO 27001-konform zu werden?
Je nachdem, wie ausführlich das Voraudit und der Pentest ausfallen, kostet Sie das gesamte Verfahren in der Regel 20.000-50.000 USD.
Sie müssen für Folgendes aufkommen:
- Pre-Auditor
- Pentest (Sie können diesen aus anderen Compliance-Tracks übernehmen, z. B. wenn Sie bereits einen für SOC 2 durchführen)
- Lizenz für die Compliance-Plattform (wir empfehlen diese unbedingt zu verwenden)
- Prüfer
- Lizenzen für Schwachstellen- und/oder Malware-Scanner (z. B. Aikido Security)
Die Kosten hängen stark von verschiedenen Faktoren ab, von denen die wichtigsten sind:
- Die Größe Ihres Unternehmens (wenn Sie viele Mitarbeiter, Prozesse, Büros, Entwickler usw. haben, steigen die Auditkosten drastisch)
- Kosten für den Pentest (USD 3-30k, je nachdem, welche Art von Pentest Sie machen und wer ihn durchführt)
- Intensität der Prüfungen
- Compliance-Plattform (z. B. Vanta)
Technisches Schwachstellenmanagement nach ISO 27001:2022
Sind Sie selbst auf dem Weg zur ISO27001:2022-Zertifizierung? Aikido Security erfüllt alle technischen Anforderungen an das Schwachstellenmanagement für ISO 27001:2022-Anwendungen. Außerdem synchronisieren wir uns mit Compliance Monitoring-Plattformen (wie Vanta), um sicherzustellen, dass Ihre Schwachstelleninformationen immer auf dem neuesten Stand sind. Dies bedeutet, dass Sie sich auf eine genaue Risikobewertung und effiziente Abhilfemaßnahmen verlassen können.
Fordern Sie unseren Bericht an
Sie können unseren eigenen ISO 27001:2022 Bericht direkt in unserem Trust Center anfordern.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)