Je bezoekt momenteel de website in Engels. Informatie van de Nederlands variant wordt nu getoond.

NBN ISO/IEC 27099:2023

Information technology — Public key infrastructure — Practices and policy framework (ISO/IEC 27099:2022)

ACTIEF

Over deze norm

Talen
Engels
Type
NBN
Normcommissie
ISO/IEC JTC 1/SC 27 (Information security, cybersecurity and privacy protection)
Status
ACTIEF
Publicatiedatum
14 februari 2023
ICS-code
35.030 (IT Security)
Ingetrokken datum
Prijs
€ 208,00

Samenvatting

Dit document bevat een raamwerk van vereisten voor het beheer van informatiebeveiliging voor vertrouwensdienstverleners van openbare sleutelinfrastructuur (PKI) door middel van certificaatbeleid, certificaatpraktijkverklaringen en, indien van toepassing, hun interne onderbouwing door een beheersysteem voor informatiebeveiliging (ISMS). . Het raamwerk van eisen omvat de beoordeling en behandeling van informatiebeveiligingsrisico' s, toegesneden op de overeengekomen servicevereisten van haar gebruikers zoals gespecificeerd in het certificaatbeleid. Dit document is ook bedoeld om serviceproviders te helpen om meerdere certificaatbeleidsregels te ondersteunen.


Dit document behandelt de levenscyclus van certificaten met een openbare sleutel die worden gebruikt voor digitale handtekeningen, authenticatie of sleutelvorming voor gegevenscodering. Het behandelt geen authenticatiemethoden, onweerlegbaarheidsvereisten of protocollen voor sleutelbeheer op basis van het gebruik van openbare sleutelcertificaten. Voor de doeleinden van dit document verwijst de term " certificaat" naar openbare sleutelcertificaten. Dit document is niet van toepassing op attribuutcertificaten.


Dit document maakt gebruik van concepten en vereisten van een ISMS zoals gedefinieerd in de ISO/ IEC 27000-standaarden. Het gebruikt de praktijkcode voor informatiebeveiligingscontroles zoals gedefinieerd in ISO/ IEC 27002. Specifieke PKI-vereisten (bijv. certificaatinhoud, identiteitsbewijs, afhandeling van intrekking van certificaten) worden niet rechtstreeks aangepakt door een ISMS zoals gedefinieerd door ISO/ IEC 27001 < sup > [26].


Het gebruik van een ISMS of gelijkwaardig is aangepast aan de toepassing van PKI-servicevereisten gespecificeerd in het certificaatbeleid zoals beschreven in dit document.


Een PKI-vertrouwensserviceprovider is een speciale klasse van vertrouwensservice voor het gebruik van openbare sleutelcertificaten.


Dit document maakt onderscheid tussen PKI-systemen die worden gebruikt in gesloten, open en contractuele omgevingen. Dit document is bedoeld om de implementatie van operationele basiscontroles en -praktijken in een contractuele omgeving te vergemakkelijken. Hoewel de focus van dit document ligt op de contractuele omgeving, wordt de toepassing van dit document op open of gesloten omgevingen niet specifiek uitgesloten.