Die Scoring-Tools erstellen Reports im XML-Format, die dem Anwender Aufschluss über den Sicherheitsstatus der im Unternehmen vorhandenen IT-Systeme geben.

Kaum etwas lässt sich so schwer beschreiben wie der Status der IT-Sicherheit in Unternehmen. Ohne externe Hilfe sind Administratoren häufig überfordert, wenn sie sagen sollen, ob die installierten Systeme dem aktuellen Stand der Technik entsprechen beziehungsweise ob und wo Schwachstellen existieren. Genau aus diesem Grund hat das CIS seine Benchmarking- und Scoring-Tools entwickelt: Sie geben Anwendern Werkzeuge an die Hand, um einen bestimmten Sicherheitslevel im Unternehmen zu definieren, umzusetzen und zu überprüfen.

Mit dem unlängst für Windows XP erschienenen Benchmark beispielsweise können Administratoren zwischen vier möglichen Sicherheitsstufen wählen, deren Bezeichnung den von Microsoft veröffentlichten, offiziellen Security-Konfigurationsrichtlinien entsprechen. Je nachdem, ob IT-Experten sich für den Status "Legacy", "Enterprise Standalone", "Enterprise Laptop" oder "High" entscheiden, wächst die Sicherheit. Je nach Szenario wird dabei etwa berücksichtigt, ob der jeweilige Rechner mobil eingesetzt wird (Enterprise Laptop), mit älteren Systemen im Netz kommunizieren muss (Legacy) oder sich in einer Umgebung befindet, die mindestens mit Windows 2000 oder einer späteren Version arbeiten (Enterprise Standalone). Die für die jeweilige Situation aus Sicht des CIS erforderlichen Einstellungen und Standards, etwa im Hinblick auf vorhandene Hotfixes beziehungsweise Patches, Alter und Komplexität der Passwörter, haben dessen Mitglieder gemeinsam

erarbeitet. Dabei kamen sowohl Anwender als auch Hersteller zu Wort.