Pentesten voor een ISO 27001 certificering is niet verplicht maar het wordt wel aanbevolen. In de ISO 27001 controle doelstelling A12.6 ook wel “Technical Vulnerability Management” genoemd staat dat gebruikte informatiesystemen tijdig gecontroleerd moeten worden op technische kwetsbaarheden.
Na het uitvoeren van de penetratietest voor de ISO 27001 certificering wordt er geëvalueerd over passende maatregelen voor de organisatie. Dit aan de hand van een pentest rapport. Op deze manier voldoe je aan de opgestelde eisen.
Volgens de ISO 27001 certificering moet je voldoen aan de controle doelstelling van A12.6. Met een pentest voldoe je aan de eisen door een gap-analyse aan te bieden van een gesimuleerde cyberaanval. De pentest moet worden uitgevoerd door een gecertificeerd professional.
Vraag een ISO27001 pentest aanStel je werkt bij een organisatie die webapplicaties ontwikkeld en zelf ook webapplicaties beheerd. Vanuit de klanten wordt gevraagd om een ISO 27001 certificering. Aangezien je binnen je organisatie gegevens verwerkt met de webapplicaties moet je in kaart brengen wat hier de technische kwetsbaarheden van zijn.
Dit kan je doen door een vulnerability scan maar dan heb je de risico’s in beeld maar weet je niet hoe je ze moet oplossen. Daarom volstaat een pentest in dit geval beter. Hiermee breng je namelijk niet de applicatie met risico’s in kaart maar test je de risico’s ook.
Met een pentest krijg je goed in beeld wat kwetsbaarheden van je organisatie zijn en weet je meteen of je voldoet aan de eisen van de certificering. Met een pentest voldoe je dus niet alleen maar aan de normering maar krijg je ook daadwerkelijk een goed beeld van de systemen binnen je organisatie.
Om in controle te zijn van je bedrijfsprocessen is het advies om 1x per halfjaar een pentest uit te voeren. Dit advies is echter organisatie afhankelijk, iedere organisatie is natuurlijk anders.
In het kort: Pentesten is een afkorting van ‘penetratie testen’. Tijdens een pentest nemen pentesters de rol van een hacker op zich. Ze proberen op verschillende manieren en met alle mogelijke middelen toegang te krijgen tot de IT-systemen van de opdrachtgever.
Op die manier geven ze de zwakke plekken van je site, applicatie of IT-systemen weer. Na het uitvoeren van de pentest kun je met gerichte actiepunten deze IT-kwetsbaarheden binnen je bedrijfsprocessen oplossen.
Een pentest adviesgesprek inplannen