Corríjame si me equivoco, ISO 27001 se centra mucho en los aspectos operativos y organizativos.
Sin embargo, en una organización que entrega software a un cliente como un producto o servicio, ¿cuáles son las partes de una auditoría ISO 27001 que trataría la identificación de vulnerabilidades en estos productos o servicios (implicando análisis de componentes y escáneres de vulnerabilidad en el nivel técnico)?
¿Cómo se combinan estos dos dominios?
¿Los auditores de seguridad hacen preguntas en una auditoría de seguridad como,
- "¿Tiene un análisis de vulnerabilidad como parte de la administración de dependencias de sus componentes?
- ¿Ha revisado su API para detectar violaciones de OWASP?
- ¿Escaneas tus imágenes de Docker y te das cuenta de los riesgos relacionados con las imágenes base? "