Pentest ISO 27001 ist ein SecTepe-Produkt · SecTepe · IT-Dienstleister aus Wülfrath · seit 2023 hello@sectepe.de
SecTepe Pentest ISO 27001 Gespräch
ISO 27001:2022 · A.8.29 · Audit-fähig

Pentest, der direkt in Ihr ISMS einfließt.

ISO/IEC 27001:2022 nennt Pentest in Annex A ausdrücklich. Wir liefern den Test — und gleich auch die Dokumentation, die im internen wie externen Audit als Nachweis funktioniert.

Pentest planen Was ISO verlangt
  • ISO 27001 A.8.29
  • Audit-Bericht inklusive
  • Re-Test inklusive
  • Mapping auf Controls

Auf einen Blick Stand · 27. Mai 2026 · Von SecTepe, Wülfrath (NRW)

Penetrationstests sind in ISO/IEC 27001:2022 explizit als Maßnahme benannt (Control A.8.29 „Sicherheitsprüfung in Entwicklung und Annahme"). Pentest-ISO27001 liefert genau das — methodisch, auditfest dokumentiert und in einer Form, die direkt in Ihr ISMS einfließt.

Leistungen

Penetrationstest im Rahmen von ISO 27001

Pentest als Maßnahme für ISO/IEC 27001:2022.

01

Scoping nach ISMS-Geltungsbereich

Wir richten den Pentest-Scope am Geltungsbereich Ihres ISMS aus — kein Scope-Konflikt im Audit.

02

Methodisch korrekter Pentest

OWASP, OSSTMM, BSI-Praxisleitfaden — sauber dokumentiert für Auditor:innen.

03

Bericht mit Control-Mapping

Jeder Befund wird ISO-Controls (Annex A) zugeordnet — der Auditor sieht direkt, wo was zugehört.

04

Risiko-Bewertung mit ISMS-Methodik

Wir nutzen Ihre Risiko-Bewertungs-Methodik aus dem ISMS, statt eine neue daneben zu stellen.

05

Maßnahmen-Verfolgung

Befunde landen mit Eskalations-Pfad in Ihrem ISMS-Tool (HiScout, Verinice, ISMS-SaaS) — verfolgbar bis zur Behebung.

06

Re-Test mit Audit-Beleg

Re-Test ist im Festpreis enthalten und wird so dokumentiert, dass er als Maßnahmen-Wirksamkeits-Nachweis (ISO 9.1) genügt.

Über Pentest ISO 27001

Pentest, der dem Audit standhält.

Pentest ISO 27001 ist ein Produkt von SecTepe — einem inhabergeführten IT-Dienstleister aus Wülfrath (NRW), gegründet 2023.

Viele Pentest-Berichte sind technisch korrekt, aber für die ISO-27001-Welt unbrauchbar. Sie nutzen eigene Risiko-Skalen, ignorieren den ISMS-Geltungsbereich und benennen keine Annex-A-Controls. Im Audit-Gespräch entsteht so unnötiger Übersetzungsaufwand.

Wir machen das anders, weil wir aus beiden Welten kommen — Pentest und ISMS. Unsere Berichte sind so strukturiert, dass Auditor:innen sie ohne Rückfragen einordnen können.

A.8.29
ISO 27001:2022
100%
Audit-akzeptierte Berichte
ISMS-Ready
direkter Einsatz
Häufige Fragen

Was Sie wahrscheinlich noch wissen wollen.

Antworten auf die Fragen, die in Erstgesprächen am häufigsten aufkommen. Steht Ihre Frage nicht dabei, schreiben Sie uns einfach.

Welcher Pentest-Umfang reicht für ISO 27001?

Control A.8.29 verlangt „Sicherheitsprüfungen" — Häufigkeit und Tiefe leiten sich aus Ihrer Risiko-Bewertung ab. Üblich ist ein Pentest pro Jahr für jede in Annex A relevante Komponente. Wir helfen, einen risikobasierten Plan zu erstellen.

Ist Pentest in ISO 27001 wirklich Pflicht?

Direkt vorgeschrieben ist nichts in Annex A — es gilt das Risk-Based-Approach-Prinzip. In der Praxis akzeptieren Auditor:innen bei nicht-trivialen Anwendungen kaum eine andere Form der Sicherheits-Verifikation als Pentest.

Wie sieht das Mapping auf Controls aus?

Jeder Befund wird mindestens einem Control aus Annex A (organizational, people, physical, technological) zugeordnet — typischerweise zu A.5, A.6, A.8 oder A.14.

Können Sie auch nach dem alten ISO-27001:2013-Standard testen?

Ja, das Mapping wird entsprechend auf den älteren Annex angepasst. Wir empfehlen aber, auf 2022 zu migrieren — der Übergangs-Termin lief Ende 2025 aus.

Wie geht das mit unserem Auditor zusammen?

Wir liefern auf Wunsch eine Vor-Audit-Abstimmung mit Ihrer Zertifizierungsstelle. Das beugt Diskussionen über Scope und Methodik vor.

Kombinierbar mit anderen Pentest-Profilen?

Ja. Wenn Sie zusätzlich TISAX, KRITIS, NIS2 oder PCI-DSS bedienen, mappen wir Befunde auf alle relevanten Rahmenwerke — kein Doppel-Test nötig.

Kerngedanken

Das Wichtigste in fünf Punkten.

  1. 01 ISO 27001:2022 nennt Pentest in A.8.29 ausdrücklich als Maßnahme.
  2. 02 Berichte sind direkt als ISMS-Nachweis verwendbar.
  3. 03 Re-Test nach Behebung ist im Festpreis enthalten.
  4. 04 Methodik OWASP ASVS, OSSTMM, BSI-Praxisleitfaden.
  5. 05 Mapping auf ISO-Controls inklusive — Auditor:in muss nichts übersetzen.
Pentest ISO 27001 · ein Produkt von SecTepe

Pentest und ISMS sollten zusammen denken.

Wir besprechen Ihren ISO-27001-Scope und passen den Pentest so an, dass Sie maximale Audit-Akzeptanz erhalten.

Ihre Nachricht landet direkt bei SecTepe in Wülfrath — an hello@sectepe.de. Wir antworten in der Regel innerhalb eines Werktages.

Scope abstimmen
Anschrift
SecTepe · 42489 Wülfrath · NRW
Servicegebiet
Deutschland · DACH