L'ISO 27001 structure votre système de management de la sécurité, l'ISO 27002 en détaille les mesures. La gestion des vulnérabilités techniques y a un numéro : la mesure 8.8. Le VOC est fait pour l'opérationnaliser.
Détecter, prioriser et corriger les vulnérabilités, ce que fait le VOC au quotidien.
Le renseignement sur les menaces, alimenté par la veille illicium.
La sécurité du cycle de développement, éprouvée par le pentest et l'audit de code.
Une norme décrit ce qu'il faut faire. Le VOC le fait, et en garde la trace pour votre audit.
Dans l'ISO/IEC 27002:2022, la gestion des vulnérabilités techniques est la mesure 8.8. La veille sur les menaces relève de la mesure 5.7, et le développement sécurisé de la mesure 8.25.
L'ISO 27001 n'impose pas nommément le pentest, mais il constitue un moyen reconnu d'éprouver l'efficacité des mesures et d'alimenter la gestion des vulnérabilités techniques attendue par la mesure 8.8.