Sie besuchen gerade die Website in Englisch. Es werden nun Informationen der Variante Deutsch angezeigt.

NBN ISO/IEC 27099:2023

Information technology — Public key infrastructure — Practices and policy framework (ISO/IEC 27099:2022)

AKTIV

Über diese Norm

Sprachen
Englisch
Verlag
NBN
Normenausschuss
ISO/IEC JTC 1/SC 27 (Information security, cybersecurity and privacy protection)
Status
AKTIV
Veröffentlichungsdatum
14 Februar 2023
Code-ICS
35.030 (IT Security)
Zurückgezogenes Datum
Preis
€ 208,00

Zusammenfassung

Dieses Dokument legt einen Rahmen von Anforderungen zur Verwaltung der Informationssicherheit für PKI-Vertrauensdienstanbieter (Public Key Infrastructure) durch Zertifikatsrichtlinien, Zertifikatspraxiserklärungen und gegebenenfalls deren interne Untermauerung durch ein Informationssicherheits-Managementsystem (ISMS) fest. . Der Anforderungsrahmen umfasst die Bewertung und Behandlung von Informationssicherheitsrisiken, die auf die in der Zertifikatsrichtlinie festgelegten vereinbarten Serviceanforderungen seiner Benutzer zugeschnitten sind. Dieses Dokument soll auch Vertrauensdienstanbietern dabei helfen, mehrere Zertifikatsrichtlinien zu unterstützen.


Dieses Dokument befasst sich mit dem Lebenszyklus von Public-Key-Zertifikaten, die für digitale Signaturen, Authentifizierung oder Schlüsselerstellung zur Datenverschlüsselung verwendet werden. Es geht nicht um Authentifizierungsmethoden, Nichtabstreitbarkeitsanforderungen oder Schlüsselverwaltungsprotokolle, die auf der Verwendung von Public-Key-Zertifikaten basieren. Für die Zwecke dieses Dokuments bezieht sich der Begriff „Zertifikat“ auf Public-Key-Zertifikate. Dieses Dokument gilt nicht für Attributzertifikate.


Dieses Dokument verwendet Konzepte und Anforderungen eines ISMS, wie sie in der ISO/ IEC 27000-Standardfamilie definiert sind. Es verwendet den Verhaltenskodex für Informationssicherheitskontrollen gemäß ISO/ IEC 27002. Spezifische PKI-Anforderungen (z. B. Zertifikatsinhalt, Identitätsprüfung, Zertifikatswiderrufsbehandlung) werden von einem ISMS, wie in ISO/ IEC 27001 < sup. definiert, nicht direkt berücksichtigt > [26].


Die Verwendung eines ISMS oder eines Äquivalents ist an die Anwendung der PKI-Dienstanforderungen angepasst, die in der Zertifikatsrichtlinie festgelegt sind, wie in diesem Dokument beschrieben.


Ein PKI-Vertrauensdienstanbieter ist eine spezielle Klasse von Vertrauensdiensten für die Verwendung von Public-Key-Zertifikaten.


Dieses Dokument unterscheidet zwischen PKI-Systemen, die in geschlossenen, offenen und vertraglichen Umgebungen verwendet werden. Dieses Dokument soll die Implementierung betrieblicher, grundlegender Kontrollen und Praktiken in einem Vertragsumfeld erleichtern. Während der Schwerpunkt dieses Dokuments auf der vertraglichen Umgebung liegt, ist die Anwendung dieses Dokuments auf offene oder geschlossene Umgebungen nicht ausdrücklich ausgeschlossen.