1. Assess

Bestandsaufnahme und Priorisierung der Systeme. Um die Systemumgebung evaluieren und die Einhaltung von Sicherheitsrichtlinien gewährleisten zu können, müssen Firmen zunächst eruieren, welche Systeme vorhanden und wie wichtig sie für die eigene Organisation sind. Einige Unternehmen nutzen Praktiken wie das Itil-Konfigurations-Management und die dazugehörige Configuration Management Database (CMDB), um ihre IT effektiv zu verwalten. Andere hingegen tun sich mit der Bestandsaufnahme ihrer Systeme und der Festlegung ihrer Bedeutung nach wie vor schwer.

Von der Compliance-Bewertung bis zu Basiskonfigurations-Standards. Ein wichtiges Element in der Assess-Phase von Compliance-Programmen ist die Beurteilung der Systeme auf Grundlage definierter Sicherheitsstandards. Aus diesem Grund nutzen viele Firmen Benchmarks, die auf allgemein akzeptierten Praktiken wie etwa der des Center for Internet Security basieren, die die Mindestanforderungen an die Sicherheitskonfiguration eines Systems definieren. Andere ergänzen ihre Security-Benchmarks durch operative Anforderungen - zum Beispiel Services, die zur Unterstützung einer Applikation laufen müssen, erforderliche Service-Accounts sowie Mindestvorgaben hinsichtlich der freien Speicherkapazität.

Schwachstellen oder manipulierte Systeme aufspüren. Ein weiterer wichtiger Aspekt ist die Identifizierung von Schwachstellen sowie Systemen, die bereits kompromittiert, beeinträchtigt oder infiziert sind. Im Allgemeinen schreiben Richtlinien den Schutz der Systeme vor bekannten Bugs und Bedrohungen vor. In der Regel sind Schwachstellen auf Konfigurationsfehler, fehlende Patches, den Betrieb gefährlicher oder unnötiger Dienste sowie schlecht geschützte Benutzer-Accounts zurückzuführen. Entsprechend muss eine Lösung, die gefährdete Systeme identifizieren soll, all diese Ursachen berücksichtigen.