OSCP · OSWE · OSEP gecertificeerd | Joost voert elke test zelf uit — geen juniors | Reactie binnen 1 werkdag | Gevestigd in Haarlem

Penetratietest voor ISO 27001 certificering

ISO 27001 verplicht organisaties tot het toetsen van technische kwetsbaarheden als onderdeel van het Information Security Management System (ISMS). Een professionele penetratietest is een aantoonbaar bewijs van compliance.

Waarom een pentest voor ISO 27001?

ISO 27001 Annex A bevat meerdere controls die betrekking hebben op technische beveiliging:

  • A.8.8 — Management van technische kwetsbaarheden
  • A.8.25 — Beveiligd ontwikkelen
  • A.5.29 — Informatiebeveiliging tijdens verstoring

Een jaarlijkse penetratietest is de meest directe manier om aan te tonen dat je kwetsbaarheden actief identificeert en beheert — een eis die vrijwel elke ISO 27001-auditor verwacht.

Wat testen wij?

  • Webapplicaties en portalen in scope van het ISMS
  • Externe infrastructuur (internet-facing systemen)
  • Interne netwerksegmentatie en toegangsbeheer
  • API-beveiliging en integraties met derden
  • Cloudconfiguraties (Azure, AWS, GCP)

Rapportage geschikt voor auditor

Ons rapport bevat een risicooverzicht dat direct bruikbaar is als input voor je ISMS-risicoregister en Statement of Applicability. We leveren ook een management-samenvatting die je auditor of certificeringsinstantie kan inzien.

FAQ

Hoe vaak moet ik een pentest uitvoeren voor ISO 27001?

ISO 27001 schrijft geen vaste frequentie voor, maar een jaarlijkse pentest is de norm die auditeurs verwachten. Bij significante wijzigingen in de omgeving wordt een tussentijdse test aanbevolen.

Telt een kwetsbaarheidsscan ook als bewijs voor ISO 27001?

Een kwetsbaarheidsscan is een nuttige aanvulling maar vervangt een penetratietest niet. Auditeurs verwachten bewijs van actief en handmatig getoetste kwetsbaarheden, niet alleen geautomatiseerde scans.

Kunnen jullie ook ondersteunen bij de ISO 27001-implementatie?

We adviseren over technische controls en kwetsbaarheidsmanagement als onderdeel van je ISMS, maar een volledige ISO 27001-implementatie valt buiten onze scope. Wij focussen op de technische testcomponent.

Bekijk ook: penetratietest | kwetsbaarheidsscan | NIS2 pentest | offerte aanvragen

Scroll naar boven