SC 27
ISO/IEC JTC 1 Information Technology/SC 27 IT Security Techniques ist ein Normungskomitee im gemeinsamen Technischen Komitee 1 (englisch: Joint Technical Committee ISO/IEC JTC 1) der ISO und der IEC. Der deutsche Anteil an dieser internationalen Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren als dem zuständigen deutschen Spiegelgremium zum Subkomitee SC 27 (englisch: Subcommittee SC 27) betreut.
Arbeitsgebiet des SC 27 in ISO/IEC
Das Arbeitsgebiet des ISO/IEC JTC 1/SC 27 ist die Erarbeitung von Normen für allgemeingültige Methoden und Techniken im Bereich der IT-Sicherheit, d. h. der Sicherheit in der Informationstechnik.
Die Internationale Organisation für Normung (ISO) und die Internationale elektrotechnische Kommission (IEC) haben das Gemeinschaftskomitee JTC 1 für die Zusammenarbeit im Bereich der Informationstechnik geschaffen. Arbeitsentwürfe zu internationalen Normen werden zur Bewertung an die beteiligten nationalen Vertretungen in der Normung verschickt. Für die Veröffentlichung als ISO/IEC-Standard bzw. Internationale Norm (IS) ist ein positives Votum von 75 % der an der Abstimmung beteiligten Nationen erforderlich.[1]
Struktur und Arbeitsgruppen
Das internationale Sekretariat des ISO/IEC JTC 1/SC 27 befindet sich am Deutschen Institut für Normung e.V. (DIN) in Deutschland. Die Aufteilung der internationalen Arbeitsgruppen als Untergremien von SC 27, deren einzelne Arbeitsgebiete und die jeweiligen Sekretariate (mit der zuständigen, nationalen Normungsorganisation) sind aus der nachstehenden Tabelle zu entnehmen.[2]
Gremium | Arbeitsgebiet | Sekretariat |
---|---|---|
ISO/IEC JTC 1/SC 27 | IT-Sicherheitsverfahren | DIN |
ISO/IEC JTC 1/SC 27/WG 1 | Informationssicherheits-Managementsysteme | BSi |
ISO/IEC JTC 1/SC 27/WG 2 | Kryptographie und IT-Sicherheitstechniken | JISC |
ISO/IEC JTC 1/SC 27/WG 3 | Evaluationskriterien | SIS |
ISO/IEC JTC 1/SC 27/WG 4 | IT-Sicherheitsmaßnahmen und Dienste | SPRING |
ISO/IEC JTC 1/SC 27/WG 5 | Identitätsmanagement und Schutz der Privatsphäre | DIN |
Normen zu IT-Sicherheitsverfahren
ISO/IEC JTC 1/SC 27 bearbeitet eine ganze Reihe von Normen zu IT-Sicherheitsverfahren, darunter die Normenreihe ISO/IEC 2700x für Informationssicherheits-Managementsysteme (ISMS) und die drei Teile von ISO/IEC 15408 für Gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria). Eine Gesamtaufstellung der im Arbeitsgebiet des ISO/IEC JTC 1/SC 27 bzw. der vom DIN NIA-01-27 IT-Sicherheitsverfahren betreuten Normen ist als sogenanntes Standing Document No 7 - SC27 Projects & Standards (SD7) als ZIP-Datei im Web frei verfügbar.[3]