Get&Stay Audit-Ready For ISO 27001

So bereiten Sie sich auf die Audits der ISO/IEC 27001 Zertifizierung vor

BREAKING NEWS: Runecast Analyzer 4.6 führt eine automatisierte Konformitätsprüfung für die ISO/IEC 27001 Zertifizierung ein und fügt den DISA STIG Viewer-Export sowie eine Aktualisierung des VMware Security Configuration Guide (SCG) für vSphere 7 hinzu.

Ein kurzer Überblick zu ISO/IEC 27001

Was ist ISO/IEC 27001?

Jeder, der in der IT-Branche tätig ist, wird inzwischen zweifellos mit ISO/IEC 27001 in Berührung gekommen sein. Erstmals 2005 gemeinsam von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht, wurde sie seither mehrfach aktualisiert. Die ISO/IEC 27001 ist als internationale Standard-Norm konzipiert, um jegliche Organisationsarten dabei zu unterstützen, wie sie Informationssicherheit am besten aufstellen, umsetzen, überwachen, bewerten, warten und verbessern können.

Warum ist ISO 27001 wichtig?

Die auch als ISO 27001 (ohne „IEC“) bekannten Standards werden international von Sicherheitsexperten vereinbart. Eine solche konsensbasierte Standardisierung bietet einen allgemein verständlicheren Rahmen für die Identifizierung von Sicherheitsrisiken, die zu Informationsmissbrauch oder vollständigen Datenverletzungen führen können. Somit ist ISO 27001 zu einer wesentlichen Formel für das Management der Sicherheit der Informationswerte einer Organisation geworden, einschließlich (aber nicht beschränkt auf) Kundendaten, Finanzdaten oder geistiges Eigentum.

Laut der ISO-Website sind „nicht nur die großen Unternehmen bedroht. Die von PricewaterhouseCoopers (PwC) im Auftrag des britischen Ministeriums für Wirtschaft, Innovation und Fertigkeiten durchgeführte Untersuchung hob hervor, dass es in kleinen Unternehmen zu Vorfällen kam, die zuvor nur in größeren Organisationen zu beobachten waren, wobei 87% der kleinen Organisationen im letzten Jahr einen Sicherheitsverstoß meldeten“.

Was sind die Anforderungen von ISO 27001 (in Kürze)

Die Einhaltung der ISO 27001-Normen erfordert die Konzeption und Umsetzung kohärenter und umfassender Informationssicherheitskontrollen, um allen als inakzeptabel erachteten Risiken zu begegnen. Darüber hinaus bedeutet es, übergreifende Sicherheitsmaßnahmen zu ergreifen, um sicherzustellen, dass diese Kontrollen auch weiterhin den Anforderungen der Organisation entsprechen, auch wenn sie sich im Laufe der Zeit weiterentwickeln. Schließlich erfordert sie eine regelmäßige und systematische Überprüfung der Informationssicherheitsrisiken innerhalb der Organisation, wobei Bedrohungen/Schwachstellen und potenzielle Auswirkungen zu berücksichtigen sind.

Einige ISO 27001-Herausforderungen für IT-Administratoren

Zusätzlich zu den laufenden Problemen, die IT-Administratoren täglich verwalten, stellt die ISO 27001-Norm folgende weitere zu bewältigende Herausforderungen dar:

  • Die Zertifizierung ist ein mehrstufiger Prozess
  • Sie deckt mehrere Bereiche neben der IT ab
  • Die Audits sind zu Beginn häufiger durchzuführen, danach mindestens einmal im Jahr
  • Der Auditor entscheidet, welche Kontrollen getestet werden
  • Organisationen können meist alle benötigten Anforderungen erfüllen, diese jedoch nicht beweisen
Security_Compliance_ISO27001
Runecast Security Compliance ISO 27001
Wie Sie die Einhaltung von ISO 27001 in Ihrer Organisation einfacher machen: Runecast-Analyzer

Runcast bedient sich direkt der online verfügbaren Informationen zur ISO 27001-Norm (z.B. aus dem BSI IT-Grundschutz, knowledge bases, best practices, security compliances uvm.) und wandelt diese in computerlesbare Form um.
Dieser Standard ist zum meistgenutzten Compliance-Standard als Informationssicherheits-Managementsystem (ISMS) in der Runecast-Kundenbasis geworden. Einige Organisationen entscheiden sich für die Implementierung des Standards, um von einem umfassenden Satz „bewährter Praktiken“ zu profitieren, während andere bei der Zertifizierung Vorteile festgestellt haben, um Aktionären und Kunden die Gewissheit zu geben, dass die Organisation den höchsten Grad an Aufmerksamkeit zur Minderung von Informationssicherheitsrisiken erhält.

Häufig liegt die Schwierigkeit darin, die Einhaltung der Standards manuell zu bewerkstelligen. Ein größerer Schmerzpunkt ist die Bestätigung oder Zusicherung, dass die Standards eingehalten wurden und weiterhin eingehalten werden.

Runecast Analyzer 4.6 führt die umfassendsten automatisierten ISO/IEC 27001-Compliance-Checklisten ein, die für VMware- und AWS-Hybrid-Cloud-Infrastrukturen verfügbar sind und bietet darüber hinaus historische Berichte, die ein ganzes Jahr zurückreichen.

Auf diese Weise hilft der Runecast Analyzer IT-Administratoren dabei, Risiken zu minimieren, Wartungskosten zu senken und alle Kosten im Zusammenhang mit unerwarteten Ereignissen (z.B. Sicherheitsverletzungen oder Systemausfällen und deren unvermeidlichen Auswirkungen auf den Ruf des Unternehmens) deutlich zu reduzieren.

Was Sie im neuen Runecast Analyzer 4.6 noch finden können
  • DISA STIG Viewer exportieren
    Runecast Analyzer 4.6 bietet zusätzlich die Möglichkeit, die Ergebnisse des DISA STIG Viewer zu exportieren. STIG Viewer ist das offizielle Audit-Tool für Partner des Verteidigungsministeriums (DoD) und ist Teil ihrer Zugangskriterien.
  • SCG 7.0-Aktualisierung
    Runecast Analyzer 4.6 bietet eine neue Aktualisierung des Sicherheitskonfigurationshandbuchs (SCG), um Unterstützung für vSphere 7 hinzuzufügen. Da diese kürzlich von VMware veröffentlicht wurden, handelt es sich hierbei um ein Standard-Update für Runecast Analyzer.

Quelle: Runecast BLOG