Normen und Standards: Informationstechnik
ISO/IEC-27000-Reihe
Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme
DIN EN ISO/IEC 29100:2020-09
Informationstechnik – Sicherheitsverfahren – Rahmenwerk für Datenschutz
Einführungsbeitrag:
Die Norm bietet einen Datenschutzrahmen, der eine gemeinsame Terminologie zum Datenschutz festlegt, die Akteure und ihre Rolle bei der Verarbeitung personenbezogener Daten (PII) definiert, Überlegungen zum Datenschutz beschreibt und auf bekannte Datenschutzgrundsätze für die Informationstechnologie verweist.
DIN EN ISO/IEC 29134:2020-09
Informationstechnik – Sicherheitsverfahren – Leitlinien für die Datenschutz-Folgenabschätzung
Einführungsbeitrag:
Dieses Dokument enthält: – Leitlinien für einen Prozess zur Datenschutzfolgeabschätzung und – eine Struktur und Inhalte eines PIA-Berichts. Es gilt für alle Arten und Größen von Unternehmen, einschließlich öffentlicher Unternehmen, privater Unternehmen, Regierungseinrichtungen und gemeinnütziger Organisationen. Dieses Dokument ist für diejenigen relevant, die an der Planung oder Durchführung von Projekten beteiligt sind, einschließlich der Parteien, die Datenverarbeitungssysteme und -dienste betreiben, die PII verarbeiten.
DIN EN ISO/IEC 29147:2020-08
Informationstechnik – Sicherheitstechniken – Offenlegung von Schwachstellen
Einführungsbeitrag:
Dieses Dokument enthält Anforderungen und Empfehlungen für Anbieter zur Offenlegung von Sicherheitslücken in Produkten und Diensten. Die Offenlegung von Sicherheitslücken ermöglicht es Benutzern, ein technisches Sicherheitslücken-Management gemäß ISO/IEC 27002:2013 durchzuführen. Durch die Offenlegung von Sicherheitslücken können Benutzer ihre Systeme und Daten schützen, defensive Investitionen priorisieren und Risiken besser einschätzen. Das Ziel der Offenlegung von Sicherheitslücken besteht darin, das mit der Ausnutzung von Sicherheitslücken verbundene Risiko zu verringern. Eine koordinierte Offenlegung von Sicherheitslücken ist besonders wichtig, wenn mehrere Anbieter betroffen sind.
DIN EN ISO/IEC 30111:2020-07
Informationstechnik – IT-Sicherheitsverfahren – Prozesse für die Behandlung von Schwachstellen
Einführungsbeitrag:
Diese Norm enthält Richtlinien zur Verarbeitung und Behebung potenzieller Schwachstelleninformationen in einem Produkt oder Onlinedienst. Sie gilt für Anbieter, die mit Sicherheitslücken befasst sind. Die Zielgruppe für dieses Dokument umfasst Entwickler, Anbieter, Bewerter und Nutzer von Produkten und Dienstleistungen der Informationstechnologie.
DIN ISO 10008:2015-01
Qualitätsmanagement – Kundenzufriedenheit – Leitfaden für den elektronischen Geschäftsverkehr zwischen Unternehmen und Verbrauchern
Einführungsbeitrag:
Diese Norm bietet eine Anleitung für Organisationen zur Planung, Gestaltung, Entwicklung, Umsetzung, Aufrechterhaltung und Verbesserung eines wirksamen und effizienten Systems für den elektronischen Geschäftsverkehr zwischen Unternehmen und Verbrauchern (en: business-to-consumer electronic commerce transactions, B2C ECT). Ein solches System kann Verbraucher und Organisationen bei allen Aspekten des elektronischen Geschäftsverkehrs unterstützen und dabei eine Grundlage für Verbraucher schaffen, zunehmendes Vertrauen in den elektronischen Geschäftsverkehr zu gewinnen; die Fähigkeit der Organisationen stärken, die Verbraucher zufriedenzustellen und dazu beitragen, Reklamationen und Konflikte zu reduzieren.Elektronischer Geschäftsverkehr zwischen Unternehmen und Verbrauchern beinhaltet Internet-Interaktionen zwischen der Organisation und dem Verbraucher, wenn der Zugriff durch den Verbraucher über jegliches Gerät mit drahtgebundener oder drahtloser Konnektivität erfolgt (zum Beispiel PC, Tablet oder internetfähige Mobiltelefone).
Die Leitlinien in dieser Norm sind für Situationen vorgesehen, in denen ein wesentlicher Teil des Geschäftsverkehrs zwischen Unternehmen und Verbrauchern durch elektronische Verfahren unterstützt wird (zum Beispiel Verarbeitung von Zahlungsaufträgen, Bestätigung der Vereinbarung durch den Verbraucher oder Lieferung eines Produktes).
Diese Norm ist im Einklang mit ISO 9001 und ISO 9004 und unterstützt die Ziele der beiden Normen. ISO 9001 legt Anforderungen an ein Qualitätsmanagementsystem fest, das für interne Anwendungen durch Organisationen oder für Zertifizierungen oder für Vertragszwecke genutzt werden kann. Ein System für den elektronischen Geschäftsverkehr zwischen Unternehmen und Verbrauchern, das gemäß ISO 10008 eingeführt wurde, kann ein Element eines Qualitätsmanagementsystems sein. ISO 9004 liefert eine Anleitung zum Qualitätsmanagement für den nachhaltigen Erfolg von Organisationen. ISO 10008 kann den nachhaltigen Erfolg im Rahmen des elektronischen Geschäftsverkehrs unterstützen.
Diese Norm wurde ferner im Einklang mit ISO 10001, ISO 10002, ISO 10003 und ISO 10004 entwickelt, die jeweils verschiedene Aspekte der Kundenzufriedenheit behandeln, zum Beispiel Verhaltenskodizes für Organisationen, die Behandlung von Reklamationen oder die Überwachung und Messung der Kundenzufriedenheit. Diese fünf Normen können entweder einzeln oder in Kombination miteinander verwendet werden. In Kombination können diese Normen Teil eines breiter angelegten und integrierten Rahmens für höhere Kundenzufriedenheit sein.
Die diesem Dokument zugrunde liegende Internationale Norm ISO 10008 wurde im Technischen Komitee ISO/TC 176 “Quality management and quality assurance”, Unterkomitee SC 3 “Supporting technologies” (Sekretariat NEN, Niederlande), erarbeitet.
Für diese Norm ist das Gremium NA 147-00-01 AA “Qualitätsmanagement” im DIN-Normenausschuss Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ) zuständig.
DIN CEN/TS 419261; DIN SPEC 16586:2015-06
Sicherheitsanforderungen für vertrauenswürdige Systeme zur Verwaltung von Zertifikaten für elektronische Signaturen und Zeitstempel
Einführungsbeitrag:
Diese Technische Spezifikation legt Sicherheitsanforderungen an Produkte und technische Komponenten fest, die von Vertrauensdiensteanbietern (TSP, en: Trust Service Providers) benutzt werden, um Zertifikate und elektronische Zeitstempel im Sinne der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG [Reg.910/2014/EU], auszugeben und zu verwalten. Die Anforderungen wurden zum Teil von den Common Criteria (CC) Teil 2 beeinflusst, allerdings ist die Spezifikation selbst nicht konform zu den Common Criteria. Daher kann diese Spezifikation auch nicht zur Zertifizierung von Produkten hinsichtlich der Common Criteria verwendet werden. Diese Spezifikation wird CWA 14167-1 ersetzen, wohingegen die anderen Teile von CWA 14167 in die Reihe CEN/TS 419221 einfließen werden. Die Spezifikation wurde von CEN/TC 224/WG 17 erarbeitet. Der zuständige deutsche Spiegelausschuss ist der NA 043-01-17-04 UA “Austauschprotokolle bei Chipkarten”.
DIN SPEC 33453:2019-09
Entwicklung digitaler Dienstleistungssysteme
Einführungsbeitrag:
Die DIN SPEC 33453 “Entwicklung digitaler Dienstleistungssysteme” beschreibt ein Vorgehensmodell zur agilen, flexiblen und schnellen Entwicklung von digitalen Dienstleistungssystemen im industriellen Kontext. Ausgehend von der konkreten Entwicklung einer Dienstleistung als Leistungsergebnis betrachtet das Vorgehensmodell die ganzheitliche Gestaltung digitaler Dienstleistungssysteme. Dabei werden aktualisierte Methoden aus dem Service Engineering sowie geeignete Methoden aus angrenzenden Bereichen wie Business Analytics und Softwareentwicklung vorgestellt, um Unternehmen dabei zu helfen, den Entwicklungsprozess für ihre eigenen Bedürfnisse zu strukturieren und ihn kundenorientiert, effizient und erfolgreich durchzuführen. Das Dienstleistungsmanagement ist nicht Gegenstand dieser DIN SPEC. Die auf die Implementierung folgende Vermarktung, Leistungskonfiguration, Erbringung, Überwachung und kontinuierliche Verbesserung des Dienstleistungssystems ist daher gesondert zu betrachten. Das Dienstleistungsmanagement kann so auch Anlass dazu geben, das Dienstleistungssystem im Rahmen eines erneuten Entwicklungszyklus neu zu gestalten beziehungsweise anzupassen.
ISO/IEC 19762:2016
Information technology — Automatic identification and data capture (AIDC) techniques — Harmonized vocabulary
Abstract:
ISO/IEC 19762:2016 provides the general terms and definitions in the field of automatic identification techniques and data entry are based on which other specialized sections in various technical fields, as well as the essential terms that must be employed by non-technical users to communicate with specialists in automatic identification and data capture techniques.
DIN 6789:2013–10
Dokumentationssystematik – Verfälschungssicherheit und Qualitätskriterien für die Freigabe digitaler Produktdaten
Einführungsbeitrag:
Technische Dokumente sind in ein komplexes Umfeld eingebunden. Dieses bezieht sich sowohl auf die Prozesse aus denen sie resultieren als auch auf ihre eigene häufig komplexe Struktur und die Rahmenbedingungen unter denen sie entstehen und genutzt werden. Daraus resultieren erhöhte Anforderungen an die formale Qualität solcher Dokumente, insbesondere auch in Bezug auf ihre Qualität im Sinne bestehender Gesetze, behördlicher und gegebenenfalls vertraglicher Anforderungen sowie Normen. Sind Dokumente, wie es zunehmend der Fall ist, nur noch in digitaler Form vorhanden (zum Beispiel als 3D-Modell aus einem CAD-System), ist die Erfüllung der vorstehend genannten Anforderungen nicht mehr offenkundig und bedarf der weiteren Detaillierung. Diese Norm legt Anforderungen an die Verfälschungssicherheit und die Freigabe von digitalen Produktdaten fest. Diese Anforderungen schaffen die Voraussetzung dafür, dass: – gesetzliche und/oder jeweils spezifische Anforderungen aus den relevanten Verträgen erfüllt werden können; – Anforderungen von zertifizierenden oder zulassenden Instanzen erfüllt werden können; – eine Nachweisführung möglich wird, die in größtmöglichem Umfang eventuell Risiken minimiert, die aus der Qualität der relevanten Dokumente sowie der sie generierenden beziehungsweise freigebenden Prozesse resultieren könnte; – die entsprechenden Dokumente für die Wiederbenutzung im Geschäftsprozess (zum Beispiel bei späteren Produktmodifikationen) gesichert zur Verfügung stehen; – Risiken in Folge von anzweifelbaren Nachweisdokumenten (zum Beispiel in Produzentenhaftungsfällen) reduziert werden. Diese Norm ersetzt die Normen DIN 6789-5:1995-10, DIN 6789-6:1998-05 und DIN 6789-7:2005-06. Diese Norm wurde vom Arbeitsausschuss NA 152-06-01 AA “Dokumentationswesen” im Normenausschuss Technische Grundlagen (NATG) erarbeitet.
DIN EN 16570:2014-09
Informationstechnik – Notifizierung von RFID – Das Informationszeichen und zusätzliche Informationen, die von den Betreibern von RFID-Anwendungssystemen bereitgestellt werden müssen
Einführungsbeitrag:
DIN EN 16570 definiert die Anforderungen an ein Beschilderungssystem für eine europaweit einheitliche Notifizierung zur vorgeschriebenen Nutzung durch Betreiber von RFID-Anwendungssystemen innerhalb der EU- Mitgliedstaaten. Diese Anforderungen müssen bei der Datenerfassung mittels RFID von den Betreibern entsprechender Anwendungen erfüllt werden, um anzuzeigen, dass in einem bestimmten Bereich RFID-Lesegeräte zum Einsatz kommen. Darüber hinaus definiert diese Europäische Norm für den Fall, dass RFID-Einrichtungen an anderen Gegenständen, welche in der Europäischen Union erworben werden können oder im Gebrauch sind, befestigt sind oder in diese eingebettet sind, die anzuwendende Verfahrensweise für die Sichtbarmachung dieser RFID-Einrichtungen. Üblicherweise ist die Erfordernis, solch ein europaweit einheitliches RFID-Notifizierungskennzeichen vorzuweisen, für die Betreiber von RFID-Anwendungen eine Konsequenz der RFID-Datenschutzfolgeabschätzung (RFID Privacy Impact Assessment, PIA), die der Betreiber zur Bewertung der potentiellen Risiken für den Schutz der Privatsphäre vornehmen muss. Solch ein Notifizierungskennzeichen ist ein wesentliches Mittel zur Entschärfung potentieller identifizierbarer Risiken. Diese Europäische Norm definiert im Einzelnen: a) die Einzelheiten der Daten und Grafiken, die in der Beschilderung enthalten sein müssen; b) die Darstellungsanforderungen für die Beschilderung; c) Mittel, um die Zugänglichkeit zu unterstützen; d) die Struktur und den Inhalt einer Informationspolitik zum Erfüllen von Informationsbedürfnissen einzelner Personen mit Bezug auf die RFID-Privatsphäre. Das europaweit einheitliche RFID-Notifizierungskennzeichen enthält drei Elemente: a) das europaweit einheitliche RFID-Notifizierungsemblem; b) den Anwendungsbereich und den Zweck der RFID-Anwendung; c) die Kontaktstelle, bei der weitere Informationen über die Anwendung erhalten werden können. Die vorliegende EN dient der Bereitstellung von einheitlichen und verfügbaren Rahmenbedingungen für die Entwicklung und Anzeige von RFID-Notifizierungskennzeichen durch große und kleine Unternehmen. Die Europäische Kommission hat im März 2009 im Rahmen des Mandates M/436 die europäischen Normungsorganisationen CEN, CENELEC und ETSI beauftragt, ein Standardisierungsprogramm für Sektor-spezifische Implementierungen von RFID-Anwendungen zu entwickeln. Die Schwerpunkte des Mandats sind der Datenschutz, der Schutz der Privatsphäre und die Datensicherung. Diese Europäische Norm ist eines der elf im Rahmen des Mandates identifizierten Normungsprojekte. DIN EN 16570:2014 wurde vom Europäischen Technischen Komitee CEN/TC 225 “AIDC Technologien” erarbeitet, dessen Sekretariat vom NEN (Niederlande) gehalten wird. Im DIN ist der Arbeitsausschuss NA 043-01-31 AA “Automatische Identifikation und Datenerfassungsverfahren” im Normenausschuss Informationstechnik und Anwendungen (NIA) zuständig.
DIN EN 16571:2014-10
Informationstechnik – Verfahren zur Datenschutzfolgenabschätzung (PIA) von RFID
Einführungsbeitrag:
DIN EN 16571 definiert einzelne Aspekte des Rahmenwerks für die RFID-Datenschutzfolgenabschätzung (en: Privacy Impact Assessment (PIA) Framework for RFID) als normative oder informative Verfahrensweisen, um so die Anwendung eines einheitlichen europäischen Verfahrens bei der Durchführung einer RFID-Datenschutzfolgenabschätzung zu ermöglichen. Dieses Rahmenwerk wurde von den europäischen Datenschutzbehörden in der “Article 29 Data Protection Working Party” gebilligt und 2011 von der Europäischen Kommission sowie Vertretern aller interessierten Akteure unterzeichnet. Die Europäische Kommission hat im März 2009 im Rahmen des Mandates M/436 die europäischen Normungsorganisationen CEN, CENELEC und ETSI beauftragt, ein Standardisierungsprogramm für sektorspezifische Implementierungen von RFID-Anwendungen zu entwickeln. Die Schwerpunkte des Mandats sind der Datenschutz-, der Schutz der Privatsphäre und die Datensicherung. Die Durchführung des Mandates erfolgt in zwei Phasen. In Phase 1 wurde eine “Roadmap” entwickelt, die die gegenwärtige Situation in Europa analysiert, bestehende Lücken in der Normung aufzeigt und ein entsprechendes Standardisierungsprogramm beinhaltet. Diese Phase wurde 2011 abgeschlossen. In Phase 2 werden die in Phase 1 identifizierten Lücken geschlossen. Diese Europäische Norm ist eine der elf als durchzuführend im Rahmen der Phase 2 identifizierten Normungsaktivitäten. Diese Europäische Norm stellt einen genormten Satz von Verfahrensweisen zur Entwicklung von PIA-Vorlagen zur Verfügung und beinhaltet dabei auch mit der RFID PIA-Methodik kompatible Instrumente. Darüber hinaus identifiziert sie die Umstände, die es erforderlich machen können, eine existierende PIA zu revidieren, zu korrigieren oder durch einen neuen Bewertungsprozess zu ersetzen. DIN EN 16571:2014 wurde vom Europäischen Technischen Komitee CEN/TC 225 “AIDC Technologien” erarbeitet, dessen Sekretariat vom NEN (Niederlande) gehalten wird. Im DIN ist der Arbeitsausschuss Automatische Identifikation und Datenerfassungsverfahren im Normenausschuss Informationstechnik und Anwendungen (NIA) zuständig.
DIN EN 16656:2014-10
Informationstechnik – Identifizierung von Waren mittels Hochfrequenz (RFID) für das Management des Warenflusses – RFID-Emblem
Einführungsbeitrag:
DIN EN 16656 spezifiziert das Design und den Einsatz des RFID-Emblems, eines leicht zu identifizierenden visuellen Hinweises auf die Präsenz von RFID. DIN EN 16656:2014 ist Resultat der modifizierten Übernahme der Internationalen Norm ISO/IEC 29160:2012 in das europäische Normenwerk. Der Norm-Entwurf befasst sich nicht mit der Lokalisierung des RFID-Emblems auf einem Hinweisschild. Die Europäische Kommission hat im März 2009 im Rahmen des Mandates M/436 die europäischen Normungsorganisationen CEN, CENELEC und ETSI beauftragt, ein Standardisierungsprogramm für Sektor-spezifische Implementierungen von RFID-Anwendungen zu entwickeln. Die Schwerpunkte des Mandats sind der Datenschutz, der Schutz der Privatsphäre und die Datensicherung. Die Durchführung des Mandates erfolgt in zwei Phasen. In Phase 1 wurde eine “Roadmap” entwickelt, die die gegenwärtige Situation in Europa analysiert, bestehende Lücken in der Normung aufzeigt und ein entsprechendes Standardisierungsprogramm beinhaltet. Diese Phase wurde 2011 abgeschlossen. In Phase 2 werden die in Phase 1 identifizierten Lücken geschlossen. Diese Europäische Norm ist eine der elf als durchzuführend im Rahmen der Phase 2 identifizierten Normungsprojekte. RFID ist eine Technologie mit Berührungspunkten zu allen Aspekten der Versorgungskette, von der Herstellung bis zum Endverbraucher. Es ist von großem Interesse für Industrie, Handel und Endverbraucher zu wissen, wann und wo RFID im Einsatz ist. DIN EN 16656 stellt allen Interessierten eine Möglichkeit zur Verfügung, Anwender auf einfache und eingängige Weise über die Präsenz von RFID zu informieren Das RFID-Emblem ermöglicht die visuelle Identifikation von RFID-Transpondern, Lesergeräten und mit Transpondern versehenen Gegenständen. Mit dieser Norm wird somit für den Verbraucher ein wesentliches Element für den Schutz der Privatsphäre erfüllt. DIN EN 16656:2014 wurde vom internationalen Komitee ISO/IEC JTC 1/SC 31 “Automatic identification and data capture techniques” erarbeitet und vom Europäischen Technischen Komitee CEN/TC 225 “AIDC Technologien” übernommen, dessen Sekretariat vom NEN (Niederlande) gehalten wird. Im DIN ist der Arbeitsausschuss “Automatische Identifikation und Datenerfassungsverfahren” im Normenausschuss Informationstechnik und Anwendungen (NIA) zuständig.
DIN EN 16931-1:2020-05
Elektronische Rechnungsstellung – Teil 1: Semantisches Datenmodell der Kernelemente einer elektronischen Rechnung
DIN EN 17529:2020-07
Datenschutz by Design und als Grundeinstellung
Einführungsbeitrag:
Diese Europäische Norm führt ein semantisches Datenmodell der Kernelemente einer elektronischen Rechnung ein. Das semantische Modell umfasst nur die wesentlichen Informationselemente, die eine elektronische Rechnung enthalten muss, um die rechtliche (einschließlich steuerrechtliche) Richtigkeit sicherzustellen und die Interoperabilität für den grenzüberschreitenden Handel, den branchenübergreifenden Handel und den Binnenhandel zu ermöglichen. Das semantische Modell darf von Organisationen des privaten und öffentlichen Sektors bei der Rechnungsstellung für öffentliche Aufträge angewendet werden. Es darf auch bei der Rechnungsstellung zwischen Unternehmen des Privatsektors angewendet werden. Es ist nicht speziell für die Rechnungsstellung an Konsumenten ausgelegt. Diese Europäische Norm erfüllt mindestens die folgenden Kriterien: sie ist technologieneutral; sie ist mit den einschlägigen internationalen Normen für die elektronische Rechnungsstellung vereinbar; die Anwendung dieser Norm sollte die Anforderungen an den Schutz von personenbezogenen Daten nach Richtlinie 95/46/EG erfüllen, unter Berücksichtigung der Grundsätze für Privatsphäre und Datenschutz durch Technik (“data protection by design”), Zweckbegrenzung, Notwendigkeit und Verhältnismäßigkeit; sie steht mit den einschlägigen Bestimmungen der Richtlinie 2006/112/EG in Einklang; sie ermöglicht die Einrichtung zweckmäßiger, benutzerfreundlicher, flexibler und kosteneffizienter Systeme zur elektronischen Rechnungsstellung; sie berücksichtigt die speziellen Bedürfnisse von kleinen und mittleren Unternehmen sowie von subzentralen öffentlichen Auftraggebern und anderen Auftraggebern; sie eignet sich für die Verwendung bei kaufmännischen Transaktionen zwischen Unternehmen.
DIN EN ISO/IEC 15408-1 & -2 & -3
Informationstechnik – IT-Sicherheitsverfahren – Evaluationskriterien für IT-Sicherheit
Die 15408-Reihe definiert ein Konzept für die Sicherheitsevaluierung von IT-Produkten und IT-Systemen.
DIN EN ISO 19299:2019-12
Elektronische Gebührenerhebung – Sicherheitsgrundstruktur
Einführungsbeitrag:
Dieser Norm-Entwurf dient Entwicklern von Systemen zur elektronischen Gebührenerhebung (EFC) zur Prüfung sicherheitsrelevanter Funktionen und Anforderungen. Dabei werden Angriffsmodelle sowie dazugehörige Messmethoden festgelegt. Nutzer von EFC-Schemata, die die Sicherheitsgrundstruktur verwenden wollen, müssen dabei die folgenden Aspekte beachten: 1) Identifizierung der notwendigen Prozesse, des Systems sowie der Schnittstellen für die Sicherheitsgrundstruktur, 2) Ableitung der entsprechenden Sicherheitsanforderungen nach dieser Sicherheitsstrategie, 3) Beweisführung, dass die entsprechenden Systeme, Prozesse und Schnittstellen konform zu den gestellten Anforderungen dieser Norm sind.
DIN EN ISO/IEC 19790:2020-08
Informationstechnik – Sicherheitstechniken – Sicherheitsanforderungen für kryptografische Module
Einführungsbeitrag:
Diese Internationale Norm definiert vier Sicherheitsstufen für kryptografische Module, um ein breites Spektrum an Datenempfindlichkeit zu gewährleisten (zum Beispiel geringwertige Verwaltungsdaten, Überweisungen in Millionenhöhe, lebensschützende Daten, personenbezogene Daten und von der Regierung verwendete vertrauliche Informationen) Anwendungsumgebungen (zum Beispiel eine geschützte Einrichtung, ein Büro, Wechselmedien und ein vollständig ungeschützter Ort). Diese Internationale Norm legt vier Sicherheitsstufen für jeden der 11 Anforderungsbereiche fest, wobei jede Sicherheitsstufe die Sicherheit gegenüber der vorhergehenden Stufe erhöht. Dieses Dokument legt Sicherheitsanforderungen fest, die speziell zur Aufrechterhaltung der Sicherheit eines kryptografischen Moduls bestimmt sind. Die Einhaltung dieser Internationalen Norm reicht nicht aus, um sicherzustellen, dass ein bestimmtes Modul sicher ist oder dass die vom Modul bereitgestellte Sicherheit ausreichend und akzeptabel ist.
Personenbezogene Daten
DIN 66398:2016-05
Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten
Einführungsbeitrag:
DIN 66398 gibt Empfehlungen für die Inhalte, den Aufbau und die Zuordnung von Verantwortung in einem Löschkonzept für personenbezogene Daten. Das Dokument beschreibt insbesondere Vorgehensweisen, mit denen auf effiziente Weise Löschfristen und Löschregeln für verschiedene Datenarten bestimmt werden können.