Aikido hat gerade den Prozess durchlaufen, um ISO 27001:2022 und SOC 2 Typ 2 konform zu werden. Was wir uns gewünscht hätten, wären praktische, unmissverständliche Ratschläge für die ersten Schritte gewesen. Bewährte Verfahren, Dinge, auf die man achten sollte - im Grunde Tipps von jemandem, der den ISO 27001-Zertifizierungsprozess bereits durchlaufen hat.
Lesen Sie mehr über Aikidos Weg zur zur Konformität mit ISO 27001:2022 und die Anforderungen der ISO 27001.
Aus diesem Grund haben wir diesen Blogbeitrag verfasst: um allen SaaS-Unternehmen zu helfen, die sich mit der ISO:27001-Konformität befassen.
8 Dinge, die wir während des ISO 27001-Zertifizierungsprozesses gelernt haben
1. Wissen, worauf man sich einlässt
Wenn Sie das noch nie gemacht haben, fragen Sie als Erstes Ihre Freunde und Geschäftspartner. Wahrscheinlich finden Sie jemanden, der diesen Prozess bereits durchlaufen hat, also sprechen Sie ihn an und holen Sie sich Rat.
Wenn Sie wirklich niemanden finden, können Sie Kontakt zu einem Vorprüfer aufnehmen. Seien Sie sich nur bewusst, dass diese verständlicherweise versuchen werden, Ihnen Dienstleistungen zu verkaufen.
In jedem Fall ist es hilfreich, ein gutes Gefühl dafür zu bekommen, wie das Ganze funktioniert. Das spart Ihnen letztendlich Zeit und hilft Ihnen, Ihr ISO 27001-Zertifikat schneller zu erhalten.
2. Kommunizieren Sie, dass Sie an der Umsetzung von ISO 27001 arbeiten
Die Leute wissen es zu schätzen, wenn Sie erwähnen, dass Sie gerade dabei sind, ISO 27001 einzuführen. Sie werden gerne wissen, dass sie sich in naher Zukunft weniger Sorgen machen müssen. Und das wird sich wiederum positiv auf Ihre Verkäufe und Umsätze auswirken. Erwähnen Sie dies also auf Ihrer Website, in Verkaufsgesprächen, auf LinkedIn und mehr. Lassen Sie Ihre Nutzer wissen, dass Sie Ihr Produkt vorschriftsmäßiger machen.
3. Entscheiden Sie, welche ISO 27001-Norm implementiert werden soll (2013, 2017 oder 2022)
2022 gibt es viel mehr Kontrollen in Bezug auf sichere Kodierung und Softwaresicherheit. (z. B. ist die Erkennung von Malware eine neue Kontrolle). Das bedeutet, dass die Implementierung mehr Arbeit erfordert als bei einer älteren Version. Wenn Sie sich für einen der neueren Standards entscheiden, sind zwar mehr Kontrollen erforderlich, aber Sie sind dann bereits auf die Zukunft vorbereitet. Daher ist es wahrscheinlich besser, sich für die Version 2022 zu entscheiden.
Schneller Tipp: Die ISO 27001-Zertifizierung muss alle drei Jahre einem vollständigen Audit unterzogen werden. Das bedeutet, dass es am besten ist, sich nicht für ISO 27001:2013 zu entscheiden, da diese nur noch zwei Jahre lang gültig ist.
In jeder Version der ISO 27001-Norm wird auch der Risikomanagementprozess anders gestaltet. Die Version 2022 enthält aktualisierte Zertifizierungsanforderungen, die den sich entwickelnden Cybersicherheitsrisiken Rechnung tragen. Daher ist es für Unternehmen wichtig, über ein solides Risikomanagementverfahren zu verfügen, um diese Risiken zu ermitteln, zu bewerten und zu mindern.
Wenn Sie ein großes, ausgereiftes Unternehmen sind, sollten Sie sich für die Version 2017 entscheiden, da diese besser etabliert ist und weniger Störungen in Ihren bestehenden Prozessen verursachen kann.
4. Nicht alles auslagern
Es ist riskant, den gesamten Prozess auszulagern... Auch wenn es möglich ist, den gesamten Prozess an ein Beratungsunternehmen auszulagern, würde ich davon abraten. Sicherlich kann ein Berater helfen, Vorlagen zur Verfügung stellen und dergleichen mehr. Aber wenn Sie alles auslagern und auf ein Problem stoßen, müssen Sie wissen, wie Sie damit umgehen. Ich rate dazu, dass mindestens zwei, maximal vier Personen aus dem Unternehmen beteiligt sind.
Kleiner Tipp: Denken Sie daran, dass das Abschlussaudit von einer akkreditierten Zertifizierungsstelle durchgeführt werden muss!
5. Besorgen Sie sich einen Pentest, der für Ihr Unternehmen sinnvoll ist
Wenn Sie ein Softwareunternehmen sind, sollten Sie einen Pentester auswählen, der sich auf Dinge konzentriert, die nicht von automatisierten Werkzeugen wie OWASP ZAP abgedeckt werden. Entscheiden Sie sich für Pentester mit Bug-Bounty-Jäger-Erfahrung und nicht für Pentester der "alten Schule".
6. Nutzung von Konformitätsstandards und Beschleunigung
Wenn Sie bereits SOC2-konform sind, können Sie schneller ISO-konform werden. Und es ist gut zu wissen, dass, wenn Sie ISO-konform sind, NIS2 (eine neue Verordnung, die in der EU gilt) einfacher sein wird.
Kleiner Tipp: Vergewissern Sie sich, dass Ihr Prüfer auditiert wurde (das ist vorgeschrieben). Geben Sie sich nicht mit jemandem zufrieden, der nicht über die richtigen Qualifikationen verfügt, sonst könnten Sie überlistet werden.
7. Erkennen, dass niemand perfekt ist
Bei einem eventuellen Audit werden immer Nichtkonformitäten gefunden, und es ist in Ordnung, unvollkommen zu sein. Aber Sie müssen über diese Unzulänglichkeiten Bescheid wissen und sicherstellen, dass Sie einen formellen Aktionsplan haben, um die Probleme zu beheben. Es handelt sich um einen kontinuierlichen Verbesserungsprozess, der letztendlich zu einer besseren Sicherheit in Ihrem Unternehmen führen wird. Sicherlich werden Sie nie die "Perfektion" erreichen, aber Sie sollten Ihr Bestes tun, um dorthin zu gelangen!
8. Beginnen Sie frühzeitig mit der Implementierung von Tools, die ISO-Kontrollen abdecken
Wenn Sie erwägen, die ISO-Norm zu erfüllen, ist es immer eine gute Idee, einen Probelauf mit den Werkzeugen durchzuführen, die Ihnen helfen, bestimmte Kontrollen abzudecken (und auch den erforderlichen Nachweis zu erbringen).
Die ISO verlangt zum Beispiel, dass Sie einige Prozesse in Bezug auf Mitarbeiter implementieren, z. B. Onboarding, Offboarding, Background Checks, Zuweisung und Abruf von Unternehmensressourcen. Wenn Sie diese Prozesse in einem Personalinformationssystem (HRIS) wie Officient, Personio oder Workday implementiert haben, können Sie sofort loslegen, wenn Sie Ihre Nachweise für ISO erbringen müssen.
Das Gleiche gilt für Aikido, das bereits 22 Kontrollen durchführt und einen umfassenden ISO 27001-Bericht erstellt. Dies ist ein weiteres gutes Beispiel dafür, wie man sich auf die ISO vorbereiten kann.
Technisches Schwachstellenmanagement nach ISO 27001:2022
Sind Sie selbst auf dem Weg zur ISO 27001:2022-Zertifizierung? Unsere Plattform Aikido Security erfüllt alle technischen Anforderungen an das Schwachstellenmanagement für ISO 27001:2022-Anwendungen. Wir haben uns außerdem entschlossen, eine Partnerschaft mit Compliance Monitoring-Plattformen (wie Vanta oder Drata) einzugehen, um die Daten einfach zu synchronisieren und sicherzustellen, dass Ihre Schwachstelleninformationen immer auf dem neuesten Stand sind. Auf diese Weise behalten Sie stets den Überblick über Ihre Sicherheitslage.
Fordern Sie unseren Bericht an
Sie können unser eigenes ISO 27001:2022-Zertifikat direkt auf unserer Sicherheitsübersichtsseite anfordern. Wir freuen uns, die Früchte unserer harten Arbeit mit Ihnen zu teilen 😉 .
Ich hoffe, dieser Blogbeitrag ist hilfreich für Sie. Ich wünschte, ich hätte all diese Tipps gewusst, als wir mit dem Prozess begannen. Wenn Sie eine ISO-Zertifizierung anstreben, können Sie sich mit mir auf LinkedIn in Verbindung setzen, und ich werde Ihnen gerne meine Erkenntnisse mitteilen!
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)