Aikido hat gerade den Prozess der ISO 27001:2022- und SOC 2 Typ 2-Konformität durchlaufen. Und eines der Dinge, die wir uns gewünscht hätten, war ein praktischer, unkomplizierter Rat zum Einstieg. Best Practices, Dinge, auf die man achten sollte – im Grunde Tipps von jemandem, der den ISO 27001-Zertifizierungsprozess bereits durchlaufen hat.
Lesen Sie mehr über Aikidos Weg zur ISO 27001:2022-Konformität und die ISO 27001-Anforderungen.
Deshalb haben wir diesen Blogbeitrag geschrieben: um jedem in einem SaaS-Unternehmen zu helfen, das die ISO 27001-Konformität anstrebt.
8 Dinge, die wir während des ISO 27001-Zertifizierungsprozesses gelernt haben
1. Wissen Sie, worauf Sie sich einlassen
Wenn Sie das noch nie gemacht haben, fragen Sie zuerst Ihre Freunde und Geschäftskontakte. Sie werden wahrscheinlich jemanden finden, der den Prozess durchlaufen hat, also sprechen Sie sie an und holen Sie sich Rat.
Wenn Sie wirklich niemanden finden, können Sie Kontakt zu einem Pre-Auditor aufnehmen. Seien Sie sich jedoch bewusst, dass diese verständlicherweise versuchen werden, Ihnen Dienstleistungen zu verkaufen.
So oder so hilft es sehr, ein gutes Gefühl dafür zu bekommen, wie alles funktioniert. Das spart Ihnen letztendlich Zeit und hilft Ihnen, Ihr ISO 27001-Zertifikat schneller zu erhalten.
2. Kommunizieren Sie, dass Sie an der Implementierung von ISO 27001 arbeiten
Die Leute schätzen es, wenn Sie erwähnen, dass Sie dabei sind, ISO 27001 zu implementieren. Sie werden gespannt sein zu erfahren, dass sie sich in naher Zukunft weniger Sorgen machen müssen. Und das wird wiederum Ihre Verkäufe und Conversions fördern. Erwähnen Sie dies also auf Ihrer Website, in Verkaufsgesprächen, auf LinkedIn und anderswo. Informieren Sie Ihre Nutzer darüber, dass Sie Ihr Produkt konformer machen.
3. Entscheiden Sie, welchen ISO 27001-Standard Sie implementieren möchten (2013, 2017 oder 2022)
Die Version 2022 enthält wesentlich mehr Kontrollen bezüglich sicherer Codierung und Softwaresicherheit. (z.B. ist die Erkennung von Malware eine neue Kontrolle). Dies bedeutet, dass die Implementierung mehr Aufwand erfordert als eine ältere Version. Wenn Sie sich für einen der neueren Standards entscheiden, sind mehr Kontrollen erforderlich, aber Sie sind bereits für die Zukunft gerüstet. Es ist also wahrscheinlich besser, die Version 2022 zu wählen.
Kurzer Tipp: Die ISO 27001-Zertifizierung erfordert alle drei Jahre ein vollständiges Audit. Das bedeutet, dass es am besten ist, sich nicht für ISO 27001:2013 zu entscheiden, da diese nur noch zwei Jahre gültig ist.
Jede Version des ISO 27001-Standards gestaltet auch den Risikomanagementprozess anders. Die Version 2022 enthält aktualisierte Zertifizierungsanforderungen, die die sich entwickelnden Cybersicherheitsrisiken widerspiegeln. Dies macht es für Unternehmen wichtig, einen robusten Risikomanagementprozess zu implementieren, um diese Risiken zu identifizieren, zu bewerten und zu mindern.
Beachten Sie, dass, wenn Sie ein großes, etabliertes Unternehmen sind, Sie möglicherweise die Version 2017 bevorzugen, da diese etablierter ist und zu weniger Störungen in Ihren bestehenden Prozessen führen könnte.
4. Nicht alles auslagern
Es ist riskant, den gesamten Prozess auszulagern... Obwohl es möglich ist, den gesamten Prozess an eine Beratungsfirma auszulagern, würde ich davon abraten. Sicher, ein Berater kann definitiv helfen, Vorlagen bereitzustellen und Ähnliches. Aber wenn Sie alles auslagern und auf ein Problem stoßen, müssen Sie wissen, wie Sie damit umgehen. Mein Rat ist, mindestens zwei und bis zu vier Personen aus dem Unternehmen einzubeziehen.
Kurzer Tipp: Denken Sie daran, dass das abschließende Audit von einer akkreditierten Zertifizierungsstelle durchgeführt werden muss!
5. Wählen Sie einen Pentest, der für Ihr Unternehmen sinnvoll ist
Wenn Sie ein Softwareunternehmen sind, sollten Sie einen Pentester wählen, der sich auf Dinge konzentriert, die nicht von automatisierten Tools wie OWASP ZAP abgedeckt werden. Entscheiden Sie sich für Pentester mit Bug-Bounty-Hunter-Erfahrung, anstatt für „Old-School“-Pentester.
6. Compliance-Standards nutzen und beschleunigen
Bereits SOC2-konform zu sein, beschleunigt den Weg zur ISO-Konformität. Und es ist gut zu wissen, dass, wenn Sie ISO-konform sind, NIS2 (eine neue Verordnung, die in der EU anwendbar ist) einfacher umzusetzen sein wird.
Kurzer Tipp: Überprüfen Sie sorgfältig, ob Ihr Auditor auditiert wurde (dies ist eine Anforderung). Geben Sie sich nicht mit jemandem ohne die richtigen Qualifikationen zufrieden, sonst könnten Sie getäuscht werden.
7. Erkennen Sie, dass niemand perfekt ist
Das abschließende Audit wird immer Nichtkonformitäten aufdecken, und es ist in Ordnung, unvollkommen zu sein. Aber Sie müssen diese Unvollkommenheiten kennen und sicherstellen, dass Sie einen formalen Aktionsplan zur Behebung der Probleme haben. Es ist ein kontinuierlicher Verbesserungsprozess, der letztendlich zu einer besseren Sicherheit in Ihrem gesamten Unternehmen führen wird. Sicher, Sie werden vielleicht nie „Perfektion“ erreichen, aber Sie sollten Ihr Bestes tun, um dorthin zu gelangen!
8. Beginnen Sie frühzeitig mit der Implementierung von Tools, die ISO-Kontrollen abdecken
Wenn Sie eine ISO-Compliance anstreben, ist es immer eine gute Idee, die Tools, die Ihnen helfen, bestimmte Kontrollen abzudecken (und auch die benötigten Nachweise zu erbringen), in einem Probelauf zu testen.
Zum Beispiel verlangt ISO die Implementierung bestimmter Prozesse in Bezug auf Personal. Dazu gehören beispielsweise Onboarding, Offboarding, Hintergrundüberprüfungen, Zuweisung und Rückgabe von Unternehmensressourcen. Wenn diese Prozesse in einem Human Resources Information System (HRIS) wie Officient, Personio oder Workday implementiert sind, können Sie sofort loslegen, sobald Sie Ihre Nachweise für ISO erbringen müssen.
Dasselbe gilt für Aikido, das bereits Prüfungen an 22 Kontrollen durchführt und einen umfassenden ISO 27001-Bericht erstellt. Es ist ein weiteres großartiges Beispiel, wie Sie einen Vorsprung bei der Vorbereitung auf Ihre ISO erhalten.
ISO 27001:2022 technisches Schwachstellenmanagement
Auf Ihrem eigenen Weg zur ISO 27001:2022-Zertifizierung? Unsere Plattform, Aikido Security, erfüllt alle technischen Anforderungen an das Schwachstellenmanagement für ISO 27001:2022-Anwendungen. Wir haben uns auch entschieden, mit Compliance Monitoring Platforms (wie Vanta oder Drata) zusammenzuarbeiten, um die Daten einfach zu synchronisieren und sicherzustellen, dass Ihre Schwachstelleninformationen immer aktuell sind. Dies hilft Ihnen, Ihre Sicherheitsposition (Security Posture) stets im Blick zu behalten.
Fordern Sie unseren Bericht an
Fordern Sie gerne unser eigenes ISO 27001:2022 Zertifikat direkt auf unserer Sicherheitsübersichtsseite an. Wir teilen die Früchte unserer harten Arbeit gerne! 😉
Ich hoffe, dieser Blogbeitrag ist hilfreich für Sie. Ich wünschte wirklich, ich hätte all diese Tipps gekannt, als wir den Prozess begonnen haben. Wenn Sie eine ISO-Zertifizierung in Betracht ziehen, vernetzen Sie sich gerne mit mir auf LinkedIn, und ich teile gerne meine Erkenntnisse!
Sichern Sie Ihre Software jetzt.
.jpg)
.avif)
