虽然它可能不是您习惯的核心技术渗透测试，但它肯定会帮助您了解公司内的流程和安全控制。这可以帮助您以易于理解的方式将您的发现带到业务和 IT 管理中。

显然，这也意味着您可以做的不仅仅是渗透测试，因为您还可以编写标准或基线 (27001)。

不要害怕不时尝试新事物:)。

我很少发现更多的知识是有害的。它可能不是超级有用，但在一些罕见的情况下可能会有所帮助。

没有太大的好处。我是一名拥有 ITIL 和 ISO 27k 认证的 PenTester。虽然 ITIL 几乎不直接与信息安全做任何事情，而且非常通用，但可以有效地建立一个流程以加快事件响应和变更控制。ISO 27k 是任何认真对待信息安全的组织都应遵循的标准和非常广泛的流程指南。该标准还规定审计以衡量信息安全流程和控制的有效性。该审计可以包括源代码分析和渗透测试。如果组织获得 ISO 27k 认证，渗透测试人员可以找到一些用途的唯一方法是期望存在某种级别的安全性。参加这些培训时，您不会学到一个命令。

如果您想在大型组织中担任管理职务，则需要 ITIL 和 ISO 27k 知识。他们喜欢衡量一切，并拥有几乎所有流程结果的指标。ITIL 和 ISO 27k 更多地是关于具有持续改进的范围和机制的流程。