Ein Compliance-Scanner ist ein Werkzeug, das Systemkonfigurationen automatisiert gegen definierte Sicherheitsbaselines prüft und Abweichungen meldet. Bekannte Vertreter sind OpenSCAP, Nessus Compliance Checks, CIS-CAT und Microsoft Defender for Cloud.
Im ISMS unterstützt ein Compliance-Scanner die Anforderungen von ISO 27001 Annex A Controls A.8.9 (Konfigurationsmanagement) und A.8.8 (Management technischer Schwachstellen). Er prüft automatisiert, ob Systeme den definierten Baselines (CIS Benchmarks, DISA STIGs, BSI-Empfehlungen) entsprechen — etwa Passwortrichtlinien, deaktivierte Standardkonten, aktiviertes Logging und aktuelle Patch-Level. Die Ergebnisse liefern Audit-Nachweise und ermöglichen es, Abweichungen systematisch zu beheben.