Een pentest uitvoeren voor je ISO 27001 verklaring is een goede manier om te voldoen aan de technische eisen. Buiten dat je voldoet aan de eisen krijg je met een pentest een goed beeld in de veiligheid van je bedrijfsprocessen.
Een pentest uitvoeren voor je ISO 27001 verklaring?
Pentesten voor een ISO 27001 certificering is niet verplicht maar het wordt wel aanbevolen. In de ISO 27001 controle doelstelling A12.6 ook wel “Technical Vulnerability Management” genoemd staat dat gebruikte informatiesystemen tijdig gecontroleerd moeten worden op technische kwetsbaarheden.
Na het uitvoeren van de penetratietest voor de ISO 27001 certificering wordt er geëvalueerd over passende maatregelen voor de organisatie. Dit aan de hand van een pentest rapport. Op deze manier voldoe je aan de opgestelde eisen.
Wat zijn de ISO 27001 eisen voor een pentest?
Volgens de ISO 27001 certificering moet je voldoen aan de controle doelstelling van A12.6. Met een pentest voldoe je aan de eisen door een gap-analyse aan te bieden van een gesimuleerde cyberaanval. De pentest moet worden uitgevoerd door een gecertificeerd professional.
Vraag een ISO27001 pentest aan
Voorbeeld van een pentest voor de ISO 27001 verklaring.
Stel je werkt bij een organisatie die webapplicaties ontwikkeld en zelf ook webapplicaties beheerd. Vanuit de klanten wordt gevraagd om een ISO 27001 certificering. Aangezien je binnen je organisatie gegevens verwerkt met de webapplicaties moet je in kaart brengen wat hier de technische kwetsbaarheden van zijn.
Dit kan je doen door een vulnerability scan maar dan heb je de risico’s in beeld maar weet je niet hoe je ze moet oplossen. Daarom volstaat een pentest in dit geval beter. Hiermee breng je namelijk niet de applicatie met risico’s in kaart maar test je de risico’s ook.
Waarom een pentest uitvoeren voor ISO 27001?
Met een pentest krijg je goed in beeld wat kwetsbaarheden van je organisatie zijn en weet je meteen of je voldoet aan de eisen van de certificering. Met een pentest voldoe je dus niet alleen maar aan de normering maar krijg je ook daadwerkelijk een goed beeld van de systemen binnen je organisatie.
- Inzicht in de technische kwetsbaarheden van je beleidsprocessen
- Voldoe aan de eisen van A12.6
- Gemakkelijk te begrijpen rapport
- Grondig onderzoek naar je IT-omgeving
Hoe vaak moet je een pentest uitvoeren voor ISO 27001?
Om in controle te zijn van je bedrijfsprocessen is het advies om 1x per halfjaar een pentest uit te voeren. Dit advies is echter organisatie afhankelijk, iedere organisatie is natuurlijk anders.
Wat is een pentest?
In het kort: Pentesten is een afkorting van ‘penetratie testen’. Tijdens een pentest nemen pentesters de rol van een hacker op zich. Ze proberen op verschillende manieren en met alle mogelijke middelen toegang te krijgen tot de IT-systemen van de opdrachtgever.
Op die manier geven ze de zwakke plekken van je site, applicatie of IT-systemen weer. Na het uitvoeren van de pentest kun je met gerichte actiepunten deze IT-kwetsbaarheden binnen je bedrijfsprocessen oplossen.
Een pentest adviesgesprek inplannen
Door
security professional
