Framework Glossar

Der Prudential Standard CPS 234 ist ein von der Australian Prudential Regulation Authority (APRA) eingerichteter regulatorischer Rahmen zur Verbesserung der Cybersicherheit in der Finanzdienstleistungsbranche.

Das Datenschutzgesetz fördert und schützt die Privatsphäre von Einzelpersonen in Australien. Es regelt den Umgang mit personenbezogenen Daten durch Organisationen im föderalen öffentlichen Sektor und im privaten Sektor.

Das vom Australian Cyber Security Centre (ACSC) entwickelte und empfohlene Essential Eight Framework bietet eine grundlegende Reihe von Abwehrstrategien, die entwickelt wurden, um Malware-Angriffe, unbefugten Zugriff und Datenexfiltration zu verhindern.

Der BSI IT-Grundschutz bietet einen systematischen Ansatz für das Management der Informationssicherheit, indem er sowohl eine Methodik als auch einen Katalog von Sicherheitsmaßnahmen bereitstellt, die auf verschiedene Aspekte von IT-Umgebungen zugeschnitten sind.

Das Bundesgesetz zur Verwaltung der Informationssicherheit (FISMA) ist ein US-amerikanisches Gesetz, das einen umfassenden Rahmen zum Schutz von Regierungsinformationen, -operationen und -vermögenswerten vor natürlichen oder von Menschen verursachten Bedrohungen definiert.

Der COSO Enterprise Risk Management (ERM) Framework, oft einfach als COSO ERM bezeichnet, ist ein weithin akzeptiertes und genutztes Rahmenwerk für die Gestaltung, Implementierung, Durchführung und Verbesserung des unternehmensweiten Risikomanagements in Organisationen. Es stimmt das Risikomanagement mit der Geschäftsstrategie ab und fördert die Leistung.

Das COSO-Rahmenwerk für interne Kontrollen, oft einfach als COSO bezeichnet, ist ein weithin anerkanntes Rahmenwerk, das darauf abzielt, die Fähigkeit einer Organisation zur Erreichung ihrer Ziele durch die effektive Anwendung interner Kontrollen zu verbessern. Dieses Rahmenwerk bietet Anleitung für Organisationen bei der Gestaltung und Bewertung der Wirksamkeit interner Kontrollsysteme.

Die CIS-Kontrollen (Center for Internet Security) und Benchmarks sind eine Reihe von Best Practices, die darauf abzielen, die Sicherheitslage von Organisationen zu verbessern. Diese Kontrollen, die von einer Gemeinschaft von IT-Experten entwickelt wurden, konzentrieren sich auf eine Reihe priorisierter Maßnahmen, die das Fundament eines guten Cybersicherheitsprogramms bilden und Organisationen helfen, ihre Systeme und Daten vor den häufigsten Cyberbedrohungen zu schützen.

Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation, die sich der Definition und Sensibilisierung für bewährte Verfahren zur Gewährleistung einer sicheren Cloud-Computing-Umgebung widmet. Durch ihre verschiedenen Initiativen, Forschungsprojekte und Arbeitsgruppen bietet die CSA umfassende Richtlinien für Unternehmen und Einzelpersonen, die Cloud-Dienste nutzen.

Die Sicherheitsrichtlinie für Criminal Justice Information Services (CJIS) ist eine Reihe strenger Standards, die die Erstellung, Anzeige, Änderung, Übertragung, Verbreitung, Speicherung und Vernichtung von Criminal Justice Information (CJI) regeln. Diese Standards stellen sicher, dass CJI verfügbar, vertraulich und integral bleibt.

Cyber Essentials ist ein von der britischen Regierung unterstütztes Programm, das Organisationen helfen soll, sich vor häufigen Cyber-Bedrohungen zu schützen. Es bietet eine Reihe grundlegender technischer Kontrollen, die Organisationen implementieren können, um ihre Anfälligkeit für Cyberangriffe deutlich zu reduzieren.

Das Cybersecurity Capability Maturity Model (C2M2) ist ein Framework, das entwickelt wurde, um die Cybersecurity-Fähigkeiten von Organisationen zu bewerten und zu verbessern. Der Fokus liegt auf der Implementierung und Verwaltung von Cybersecurity-Praktiken im Zusammenhang mit Informationstechnologie (IT), Betriebstechnologie (OT) und Informationsressourcen und -umgebungen.

CMMC ist ein vom Verteidigungsministerium der Vereinigten Staaten (DoD) eingeführtes Rahmenwerk. Es handelt sich um einen einheitlichen Standard zur Implementierung von Cybersicherheit in der Defense Industrial Base (DIB), die aus über 300.000 Unternehmen in der Lieferkette des DoD besteht.

Der Transport System Sektor (TSS) stellt ein umfangreiches, vernetztes und komplexes Netzwerk von Systemen und Vermögenswerten dar, die den Transport von Passagieren und Fracht ermöglichen. Angesichts der entscheidenden Bedeutung dieses Sektors für den täglichen Betrieb und die Wirtschaft des Landes hat die Cybersecurity- und Infrastruktursicherheitsagentur (CISA) den TSS als einen der kritischen Infrastruktursektoren des Landes ausgewiesen.

Das Datenschutzgesetz 2018 (DPA) gibt Einzelpersonen Rechte in Bezug auf ihre persönlichen Informationen und legt Anforderungen fest, die die Regierung und Organisationen beim Sammeln und Verarbeiten dieser Daten einhalten müssen.

Die Netz- und Informationssicherheitsrichtlinie, die 2016 in Kraft trat, verpflichtet die EU-Mitgliedstaaten, eine nationale Cybersicherheitsstrategie (NCSS) zu entwickeln und zu verabschieden, um aktuellen und aufkommenden Cybersicherheitsbedrohungen zu begegnen. Zur Unterstützung der Bemühungen dieser Mitgliedstaaten bietet die Agentur der Europäischen Union für Cybersicherheit (ENISA) Leitlinien zur Entwicklung, Implementierung und Aktualisierung einer NCSS.

Die ETSI EN 303 645 ist ein Cybersicherheitsstandard, der eine Sicherheitsgrundlage für internetverbundene Verbraucherprodukte schafft und die Grundlage für zukünftige IoT-Zertifizierungsschemata bildet. Entwickelt vom Europäischen Institut für Telekommunikationsnormen (ETSI), zielt dieser Standard darauf ab, weit verbreitete Bedenken hinsichtlich der Sicherheit von Internet-of-Things (IoT)-Geräten zu adressieren.

Die Industry Specification Group der ETSI zur Sicherung der Künstlichen Intelligenz (ISG SAI) konzentriert sich auf die Sicherung der KI sowohl aus Nutzungs- als auch aus adversarialer Perspektive und zielt darauf ab, eine standardisierte Grundlage für robuste und sichere KI-Bereitstellungen zu schaffen.

Das ETSI MEC (European Telecommunications Standards Institute Mobile Edge Computing) Framework ist ein Standardisierungsrahmen, der IT-Service-Umgebungen an den Rändern von Mobilfunknetzen ermöglicht. Dieses Framework zielt darauf ab, Cloud-Computing-Fähigkeiten in das Funkzugangsnetz (Radio Access Network, RAN) zu bringen und eine effiziente Bereitstellung neuer Anwendungen und Dienste zu ermöglichen.

ETSI NFV (Network Functions Virtualization) ist ein konzeptionelles Rahmenwerk, das vom Europäischen Institut für Telekommunikationsnormen vorgeschlagen wurde. Es zielt darauf ab, die Art und Weise zu transformieren, wie Netzdienste in Telekommunikationsnetzen bereitgestellt werden, indem standardisierte IT-Virtualisierungstechnologie genutzt wird.

ETSI TC Cyber ist ein technisches Komitee innerhalb des Europäischen Instituts für Telekommunikationsnormen (ETSI), das sich auf die Standardisierung im Bereich der Cybersicherheit konzentriert. Seine Arbeit umfasst die Entwicklung von Standards, technischen Spezifikationen und Berichten, um ein hohes Maß an Sicherheit für Informations- und Kommunikationstechnologiedienste, -geräte und -infrastrukturen zu gewährleisten.

ETSI TS 103 645 ist ein europäischer Standard (Telekommunikations-Sektor), der eine Reihe von grundlegenden Sicherheitsanforderungen für Verbrauchergeräte im Internet der Dinge (IoT) bietet. Es ist einer der ersten Standards, der speziell darauf abzielt, ein Mindestmaß an Sicherheit für IoT-Produkte zu gewährleisten, die für den Verbrauchereinsatz bestimmt sind.

Die Arbeit von ETSI im Bereich der quantensicheren Kryptografie umfasst die Erforschung und Entwicklung von Standards, die gegen die potenziellen kryptografischen Bedrohungen durch Quantencomputing resistent sind. Dieses Feld der Kryptografie konzentriert sich auf die Erstellung von Algorithmen und Protokollen, die auch im Zeitalter der Quantencomputer sicher bleiben würden, da diese möglicherweise viele der derzeit verwendeten kryptografischen Systeme brechen könnten.

Das Essentiel 8 ist ein Satz grundlegender Cybersicherheitsstrategien und -kontrollen, entwickelt vom Australian Cyber Security Centre (ACSC). Es soll Organisationen dabei helfen, ihre Systeme durch Priorisierung und Implementierung wesentlicher Migrationsstrategien vor einer Vielzahl von Cyber-Bedrohungen zu schützen.

Die Veröffentlichung der Federal Information Processing Standards (FIPS) 199 ist eine Reihe von Standards zur Kategorisierung von Informationen und Informationssystemen, die von oder im Auftrag von Bundesbehörden gesammelt oder verwaltet werden.

Die Standards der Federal Trade Commission zum Schutz von Kundeninformationen sind ein regulatorisches Rahmenwerk, das darauf abzielt, die Sicherheit und Vertraulichkeit von Kundeninformationen zu gewährleisten, die von Finanzinstituten und anderen Einrichtungen gehalten werden.

FAIR (Faktorenanalyse des Informationsrisikos) ist ein Risikomanagement-Framework, das speziell dafür entwickelt wurde, Informationsrisiken in finanziellen Begriffen zu verstehen, zu analysieren und zu quantifizieren. Es unterscheidet sich von traditionellen qualitativen Risikobewertungsmethoden und konzentriert sich auf die Risikobewertung in Bezug auf die wahrscheinliche Häufigkeit und das wahrscheinliche Ausmaß zukünftiger Verluste.

Das Federal Risk and Authorization Management Program (FedRAMP) wurde entwickelt, um die Einführung sicherer Cloud-Dienste in der gesamten Bundesregierung zu fördern. Es bietet einen standardisierten Ansatz für Sicherheitsbewertungen, Autorisierungen und kontinuierliche Überwachung von Cloud-Technologien.

Das Gesetz zum Schutz persönlicher Informationen und elektronischer Dokumente (PIPEDA) ist ein kanadisches Bundesgesetz zum Datenschutz, das regelt, wie Organisationen des Privatsektors persönliche Informationen im Verlauf von Geschäftstätigkeiten sammeln, verwenden und offenlegen.

HITRUST, das für Health Information Trust Alliance steht, ist ein privat geführtes Unternehmen, das mit Führungskräften aus dem Gesundheitswesen, der Technologie und der Informationssicherheit zusammenarbeitete, um das HITRUST Common Security Framework zu etablieren. Das HITRUST CSF ist ein umfassendes und zertifizierbares Sicherheitsframework, das von Gesundheitsorganisationen genutzt wird, um regulatorische Compliance und Risikomanagement effizient zu verwalten.

Die Best Current Practices (BCP) der Internet Engineering Task Force (IETF) sind eine Reihe von Dokumenten, die den Konsens der IETF zu einer Reihe von technischen und organisatorischen Themen festhalten. Sie sollen Richtlinien, Erklärungen und Empfehlungen für bewährte Verfahren bieten, um einen reibungslosen Betrieb des Internets zu erleichtern und Benutzer und Techniker über bevorzugte Betriebsnormen zu informieren.

ISA/IEC 62443 ist eine Reihe von Standards, die einen flexiblen Rahmen bieten, um aktuelle und zukünftige Sicherheitsanfälligkeiten in industriellen Automatisierungs- und Steuerungssystemen (IACS) zu adressieren und zu mindern. Diese Standards wurden sowohl von der Internationalen Elektrotechnischen Kommission (IEC) als auch von der Internationalen Gesellschaft für Automatisierung (ISA) entwickelt.

ISO 13485 ist eine international anerkannte Norm, die die Anforderungen an ein Qualitätsmanagementsystem für die Medizintechnikindustrie festlegt. Sie ist für Organisationen gedacht, die an der Entwicklung, Produktion, Installation und Wartung von Medizinprodukten und verwandten Dienstleistungen beteiligt sind.

Die ISO 14040 ist eine international anerkannte Norm, die sich auf die Prinzipien und den Rahmen für die Lebenszyklusanalyse (LCA) von Produkten und Dienstleistungen konzentriert. Diese LCA umfasst alle Phasen von der Rohstoffgewinnung über die Verarbeitung, den Vertrieb, die Nutzung, die Reparatur und Wartung bis hin zur endgültigen Entsorgung oder zum Recycling.

ISO 14044 ist ein international anerkannter Standard, der spezifische Anforderungen und Leitlinien für die Lebenszyklusanalyse (LCA) in Bezug auf die Umweltleistung von Produkten erläutert, wobei alle Phasen von der Rohstoffgewinnung bis zur endgültigen Entsorgung oder Wiederverwertung berücksichtigt werden. Er baut auf den in ISO 14040 festgelegten Prinzipien auf.

ISO 20121 ist eine internationale Norm, die Anforderungen an ein Managementsystem für nachhaltige Veranstaltungen festlegt, um die Nachhaltigkeit von Veranstaltungen zu verbessern.

ISO 22000 ist ein internationaler Standard für Lebensmittelsicherheitsmanagementsysteme. Er bietet einen umfassenden Ansatz für Lebensmittelhersteller, um Lebensmittelsicherheitsgefahren zu identifizieren und zu kontrollieren.

ISO/IEC 22301 ist eine internationale Norm, die die Anforderungen an die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines dokumentierten Geschäftsfortführungsmanagementsystems (BCMS) festlegt. Diese Norm soll Organisationen dabei helfen, sich vor störenden Zwischenfällen zu schützen, die Wahrscheinlichkeit solcher Vorfälle zu verringern und sicherzustellen, dass ihr Geschäft sich davon erholt.

ISO 26000 ist ein internationaler Standard, der entwickelt wurde, um Leitlinien zur sozialen Verantwortung bereitzustellen. Er bietet Organisationen einen umfassenden Rahmen, um sozial verantwortliche Praktiken und Prinzipien zu verstehen und umzusetzen, Nachhaltigkeit zu fördern und positiv zur Gesellschaft beizutragen.

ISO 28000 ist eine internationale Norm, die die Anforderungen an ein Sicherheitsmanagementsystem, insbesondere für die Lieferkette, festlegt. Sie soll Organisationen dabei unterstützen, Sicherheitsrisiken, Bedrohungen und Schwachstellen in der Lieferkette, einschließlich der Logistik, zu managen.

ISO 31000 ist eine internationale Norm, die Prinzipien, einen Rahmen und einen Prozess für das Risikomanagement bereitstellt. Sie bietet Richtlinien zu Risikomanagementprinzipien und zur Umsetzung von Risikomanagementstrategien, mit dem Ziel, Organisationen zu helfen, Risiken in verschiedenen Bereichen ihrer Tätigkeiten zu identifizieren, zu bewerten und zu managen.

ISO 37001 ist eine internationale Norm, die die Anforderungen festlegt und Leitlinien für die Einrichtung, Implementierung, Aufrechterhaltung, Überprüfung und Verbesserung eines Anti-Korruptions-Managementsystems bietet. Diese Norm soll Organisationen bei der Prävention, Aufdeckung und Reaktion auf Korruption unterstützen und eine Kultur der Integrität, Transparenz und Compliance fördern.

ISO 50001 ist eine internationale Norm, die Anforderungen für die Etablierung, Implementierung, Aufrechterhaltung und Verbesserung eines Energiemanagementsystems (EnMS) festlegt. Ziel der Norm ist es, Organisationen zu befähigen, einen systematischen Ansatz zur kontinuierlichen Verbesserung der Energieperformance, einschließlich Energieeffizienz, Nutzung und Verbrauch, zu verfolgen.

ISO 8601 ist eine internationale Norm, die das Format zur Darstellung von Daten und Zeiten festlegt. Sie soll eine klare und konsistente Möglichkeit bieten, Daten und Zeiten über verschiedene Länder und Kulturen hinweg auszudrücken, um Mehrdeutigkeit und Fehlinterpretationen zu vermeiden.

ISO 9001 ist ein international anerkanntes Qualitätsmanagementrahmenwerk, das darauf abzielt, Organisationen dabei zu unterstützen, die Bedürfnisse und Erwartungen ihrer Kunden sowie geltende gesetzliche und regulatorische Anforderungen kontinuierlich zu erfüllen und ihre Prozesse und ihre Gesamtleistung kontinuierlich zu verbessern.

ISO/IEC 11179 ist ein internationaler Standard für Metadatenregister. Er bietet einen Rahmen für die Darstellung von Metadaten, um die korrekte und ordnungsgemäße Nutzung und Interpretation von Daten zu erleichtern.

ISO/IEC 11801 ist eine internationale Norm, die universelle Telekommunikationsverkabelungssysteme (strukturierte Verkabelung) definiert, die für eine breite Palette von Anwendungen geeignet sind (analoge und ISDN-Telefonie, verschiedene Datenkommunikationsstandards, Gebäudeleitsysteme, Fabrikautomation). Sie umfasst sowohl symmetrische Kupferverkabelung als auch Glasfaserkabel.

ISO/IEC 15288 ist ein weltweit anerkanntes Standard für System- und Softwaretechnik. Es bietet einen umfassenden Rahmen für die Lebenszyklusprozesse von Systemen, die sowohl Software- als auch Hardwarekomponenten umfassen.

ISO/IEC 15408, allgemein bekannt als Common Criteria (CC), ist ein internationaler Standard, der einen Rahmen für die Bewertung der Sicherheitseigenschaften von Informationstechnologie (IT)-Produkten und -Systemen bietet.

ISO/IEC 15415 ist eine internationale Norm, die die Qualitätsparameter und Methoden zur Bewertung der optischen Eigenschaften von zweidimensionalen (2D) Barcode-Symbolen wie QR-Codes, Data Matrix und PDF417 festlegt.

ISO/IEC 17025 ist ein globaler Standard für Test- und Kalibrierlabore. Er beschreibt die allgemeinen Anforderungen an die Kompetenz, Unparteilichkeit und den konsistenten Betrieb von Laboren.

ISO/IEC 19770 ist eine internationale Norm, die Anforderungen für die Einrichtung, Implementierung, Wartung und Verbesserung eines IT-Asset-Managementsystems festlegt.

ISO/IEC 20000-1 ist eine internationale Norm, die Anforderungen für die Einrichtung, Implementierung, Pflege und kontinuierliche Verbesserung eines Service-Management-Systems festlegt.

ISO/IEC 20243-1, auch bekannt als Open Trusted Technology Provider™ Standard (O-TTPS), ist ein internationaler Standard, der darauf abzielt, das Risiko von verfälschten und gefälschten Produkten in der Lieferkette zu mindern. Er konzentriert sich auf die Integrität von kommerziellen, von der Stange erhältlichen (COTS) Informations- und Kommunikationstechnologie (IKT)-Produkten und bietet eine Reihe von Richtlinien für organisatorische Best Practices in den Bereichen Herstellung, Beschaffung und Produktintegrität.

ISO/IEC 24734 ist eine internationale Norm, die das Verfahren zur Prüfung und Messung der Produktivität digitaler Druckgeräte, einschließlich Single-Function- und Multi-Function-Druckern, unabhängig von der Technologie (z.B. Tintenstrahl, Laser) festlegt. Sie bietet eine Reihe standardisierter Testdokumente, Testaufbauverfahren und Anforderungen an die Berichterstattung der Testergebnisse.

ISO/IEC 24748 ist eine Reihe internationaler Normen, die Leitlinien zum Lebenszyklusmanagement, einschließlich Begriffe und Definitionen, Prozesse und konzeptionelle Modelle, bereitstellt. Sie ist Teil der Normensuite für System- und Software-Engineering und steht in engem Zusammenhang mit den in ISO/IEC/IEEE 15288 und ISO/IEC/IEEE 12207 definierten Prozessen.

ISO/IEC 27003 ist Teil der ISO/IEC 27000-Familie von Standards, die für ihre Empfehlungen zu bewährten Verfahren im Informationssicherheitsmanagement innerhalb einer Organisation bekannt ist. Insbesondere konzentriert sich ISO/IEC 27003 auf die Richtlinien für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO/IEC 27001 und bietet zusätzliche Details zur Unterstützung des Entwurfs- und Implementierungsprozesses.

ISO/IEC 27004 ist ein internationaler Standard, der Richtlinien bereitstellt, die Organisationen dabei unterstützen sollen, die Leistung und Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS), das auf ISO/IEC 27001 basiert, zu bewerten. Er bietet Anleitung zur Messung und Bewertung der Informationssicherheit innerhalb der Organisation.

ISO/IEC 27005 ist ein internationaler Standard für das Management von Informationssicherheitsrisiken. Er bietet Richtlinien für das Management von Informationssicherheitsrisiken in einer Organisation und unterstützt die Anforderungen eines Informationssicherheits-Managementsystems (ISMS), wie es in ISO/IEC 27001 definiert ist.

ISO/IEC 27017 bietet Leitlinien zu den Aspekten der Informationssicherheit beim Cloud Computing und empfiehlt Informationssicherheitskontrollen für Cloud-Dienstanbieter und Kunden. Es baut auf den bestehenden Kontrollen in ISO/IEC 27002 auf und enthält zusätzliche Implementierungshinweise, die speziell auf Cloud-Dienste zugeschnitten sind.

ISO/IEC 27018 bietet Richtlinien und Kontrollen zum Schutz personenbezogener Daten (PII) in der öffentlichen Cloud-Computing-Umgebung.

ISO/IEC 27037 ist ein internationaler Standard, der Leitlinien zur Identifizierung, Sammlung, Erfassung und Bewahrung elektronischer Beweismittel bietet, die Teil des Prozesses der Wiederherstellung digitaler Beweise sind. Dieses Rahmenwerk ist entscheidend, um die Integrität und Authentizität digitaler Beweise zu gewährleisten, die in Gerichtsverfahren verwendet werden können.

ISO/IEC 27400, mit dem Titel "Internet of Things (IoT) - Sicherheit und Datenschutz für das IoT", ist eine internationale Norm, die Richtlinien für die Sicherheit und den Datenschutz im IoT bereitstellt, einschließlich Überlegungen für das Design, die Entwicklung, Implementierung und Nutzung von IoT-Systemen und -Diensten.

ISO/IEC 29147 ist eine internationale Norm, die Richtlinien für Prozesse zur Offenlegung von Schwachstellen bietet. Sie gibt Empfehlungen, wie Organisationen potenzielle Schwachstellen in ihren Produkten den Anbietern mitteilen sollten und wie die Anbieter diese Meldungen verarbeiten und verwalten sollten.

ISO/IEC 30111 ist ein internationaler Standard, der den ordnungsgemäßen Umgang mit potenziellen Schwachstelleninformationen in Produkten umreißt. Er bietet einen Rahmen dafür, wie Organisationen den Prozess des Empfangens, Untersuchens und Behebens von Schwachstellen in einem Produkt oder Online-Dienst verwalten sollten.

ISO/IEC 38500 ist eine internationale Norm, die einen Rahmen für eine effektive Unternehmensführung von Informationstechnologie (IT) bietet. Sie soll Organisationen dabei unterstützen, ihre rechtlichen, regulatorischen und ethischen Verpflichtungen im Zusammenhang mit ihrer IT-Nutzung zu verstehen und zu erfüllen.

ISO/IEC 42001 ist eine bahnbrechende internationale Norm, die entwickelt wurde, um die verantwortungsvolle Entwicklung, Implementierung und Verwaltung von Systemen der künstlichen Intelligenz (KI) zu gewährleisten. Sie bietet Organisationen ein umfassendes Rahmenwerk zur Bewältigung ethischer, rechtlicher und operativer Risiken im Zusammenhang mit KI und fördert das Vertrauen und die Transparenz in KI-Technologien.

Zweck der ISO/IEC/IEEE 29119 ist es, eine international vereinbarte Menge von Standards für Softwaretests zu definieren, die von jeder Organisation verwendet werden kann, die an der Softwareentwicklung beteiligt ist. Sie deckt Aspekte wie Testprozesse, Testdokumentation, Testtechniken und Testmanagement ab und zielt darauf ab, einen umfassenden Leitfaden für effektive und effiziente Softwaretests bereitzustellen.

ISO/SAE 21434, "Straßenfahrzeuge — Cybersicherheitstechnik," ist ein Standard, der Richtlinien und bewährte Praktiken für das Management von Cybersicherheitsrisiken in Bezug auf die Entwicklung von Straßenfahrzeugsystemen festlegt. Er behandelt die zunehmenden Bedenken bezüglich der Cybersicherheit von Fahrzeugen im Kontext der zunehmenden Vernetzung und Automatisierung der Automobiltechnologie.

IT-Allgemeine Kontrollen (ITGC) sind kritische Kontrollen, die die Zuverlässigkeit von Systemen und Informationen innerhalb einer Organisation unterstützen. Sie umfassen typischerweise eine Reihe von Richtlinien und Verfahren, die den effektiven und sicheren Betrieb der IT-Systeme einer Organisation gewährleisten und die Datenintegrität schützen.

Das Sicherheitskonformitätsrahmenwerk der Internet of Things Security Foundation (IoTSF) ist eine Reihe von Richtlinien und Best Practices, die darauf abzielen, eine sichere Gestaltung, Entwicklung und Bereitstellung von IoT (Internet of Things)-Geräten und ihren zugehörigen Ökosystemen sicherzustellen.

Kontrollziele für Information und verwandte Technologien (COBIT) ist ein umfassendes Rahmenwerk für die Entwicklung, Implementierung, Überwachung und Verbesserung von Praktiken der IT-Governance und des IT-Managements. Es bietet eine durchgängige geschäftliche Perspektive für die IT-Governance, die Unternehmensziele mit IT-Zielen verknüpft.

Das MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) Framework ist eine weltweit zugängliche Wissensdatenbank über gegnerische Taktiken und Techniken, die auf realen Beobachtungen basiert. Es dient als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und Methoden im privaten Sektor, in der Regierung und in der Gemeinschaft der Cybersicherheitsprodukte und -dienste.

Das Modell zur Reife von Sicherheit beim Aufbau (BSIMM) ist ein datengestütztes Modell, das einen tiefen Einblick in Sicherheitsinitiativen für Software bietet. BSIMM ist kein Standard oder eine Checkliste, sondern eine Reflexion der derzeit in realen Software-Sicherheitsprogrammen beobachteten Praktiken. Durch die Bewertung der Sicherheitsinitiativen mehrerer Organisationen bietet BSIMM eine Benchmark zum Vergleich und zur Steuerung von Software-Sicherheitspraktiken.

Die NIST-Sonderveröffentlichung 800-115, "Technischer Leitfaden für Tests und Bewertungen der Informationssicherheit", bietet Organisationen Richtlinien zur Durchführung von Sicherheitstests und -bewertungen ihrer Informationssysteme. Sie deckt verschiedene Methoden, Techniken und Prozesse im Zusammenhang mit Sicherheitsbewertungen ab.

Die NIST Special Publication 800-137, "Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations", bietet Richtlinien und bewährte Verfahren für die Einrichtung, Implementierung und Aufrechterhaltung eines kontinuierlichen Überwachungsprogramms für die Informationssicherheit in Bundesbehörden und -organisationen.

NIST Spezialveröffentlichung 800-145, "Die NIST-Definition des Cloud-Computing", bietet einen umfassenden Rahmen zum Verständnis und zur Definition des Cloud-Computing. Sie dient als wertvolle Ressource für Organisationen, die sich in der Cloud-Landschaft zurechtfinden.

NIST 800-172 bietet erweiterte Sicherheitsanforderungen zum Schutz von Controlled Unclassified Information (CUI) in nicht-bundesstaatlichen Systemen und Organisationen. Es beschreibt erweiterte Sicherheitsmaßnahmen zum Schutz sensibler Informationen, die nicht klassifiziert sind, aber dennoch Schutz benötigen.

NIST Special Publication 800-30, "Leitfaden zur Durchführung von Risikobewertungen," bietet Leitlinien für Organisationen zur Durchführung von Risikobewertungen von föderalen Informationssystemen und Organisationen. Sie verstärkt die Leitlinien in der NIST Special Publication 800-39, die den organisatorischen Risikomanagementprozess beschreibt.

Das NIST AI Risk Management Framework (AI RMF) ist eine umfassende Sammlung von Richtlinien und bewährten Praktiken, die Organisationen dabei helfen sollen, die mit KI-Systemen verbundenen Risiken zu managen. Ziel ist es, die Zuverlässigkeit, Fairness, Transparenz und Verantwortlichkeit von KI-Technologien zu verbessern.

Das NIST Cybersecurity-Rahmenwerk (CSF) ist ein umfassender Satz von Richtlinien und Best Practices, die Organisationen dabei helfen sollen, Cyberrisiken zu managen und zu reduzieren. Es bietet eine gemeinsame Sprache, um Cyberrisiken sowohl intern als auch extern zu verstehen, zu managen und auszudrücken.

Das New York Department of Financial Services (NYDFS) NYCRR 500 ist eine Reihe von Richtlinien und Anforderungen, die darauf abzielen, die Cybersicherheit von Finanzinstituten im Bundesstaat New York zu verbessern.

Das OWASP Application Security Verification Standard (ASVS) Projekt bietet ein Framework für die Sicherheit von Webanwendungen und Webservices. Es etabliert eine Basis für Sicherheitskontrollen bei Webanwendungen in ihren Design-, Entwicklungs- und Testphasen und bietet Entwicklern, Testern und Architekten eine klare Anleitung zur Erstellung sicherer Anwendungen.

NIS2 ist eine aktualisierte Version der Richtlinie über Netz- und Informationssicherheit (NIS), ein Schlüsselelement der Gesetzgebung der Europäischen Union (EU) zur Stärkung der Cybersicherheit in der gesamten EU. Sie legt Maßnahmen fest, um ein gemeinsames hohes Maß an Cybersicherheit in den Mitgliedstaaten zu erreichen, um die Widerstandsfähigkeit kritischer Infrastrukturen und wesentlicher Dienste zu verbessern.

SOC 1® ist darauf ausgelegt, bestimmten Nutzern Informationen über die für die interne Kontrolle ihrer Kunden über die Finanzberichterstattung relevanten Kontrollen eines Dienstleistungsunternehmens bereitzustellen. Ein SOC 1-Bericht wird häufig von den Kunden eines Dienstleistungsunternehmens und deren Prüfern angefordert.

SOC 3® wurde entwickelt, um allgemeinen Benutzern einen knappen und hochwertigen Bericht über die Kontrollen einer Dienstleistungsorganisation in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz bereitzustellen.

Der Sarbanes-Oxley Act, oft abgekürzt als SOX, ist ein US-amerikanisches Bundesgesetz, das 2002 als Reaktion auf Unternehmensausfälle und Betrug verabschiedet wurde, die in den frühen 2000er Jahren zu erheblichen finanziellen Verlusten für institutionelle und individuelle Investoren führten. SOX wurde entwickelt, um die Transparenz und Verantwortlichkeit in der Finanzberichterstattung zu verbessern und Investoren und die Öffentlichkeit vor betrügerischen finanziellen Praktiken in börsennotierten Unternehmen zu schützen.

Der Schutz kritischer Informationsinfrastrukturen (CIIP) bezieht sich auf Maßnahmen, Strategien und Aktivitäten, die darauf abzielen, die Sicherheit, Zuverlässigkeit und Widerstandsfähigkeit kritischer Informationsinfrastrukturen zu gewährleisten. Diese Infrastrukturen, die oft als Rückgrat der wesentlichen Dienste und Funktionen von Nationen angesehen werden, erfordern einen besonderen Schutz vor verschiedenen Cyber-Bedrohungen, um das gesellschaftliche und wirtschaftliche Wohl sicherzustellen.

Die Standards zur Barrierefreiheit von Informations- und Kommunikationstechnologien (IKT) nach 508 und die Richtlinien nach 255 sind eine Reihe von Richtlinien und Anforderungen, die eingeführt wurden, um sicherzustellen, dass die Informations- und Kommunikationstechnologien von Bundesbehörden für Personen mit körperlichen, sensorischen oder kognitiven Behinderungen zugänglich sind. Diese Standards sollen Inklusivität und gleichen Zugang zu digitalen Informations- und Kommunikationswerkzeugen fördern, damit alle Personen, unabhängig von ihren Behinderungen, vollständig an der digitalen Welt teilnehmen können.

StateRAMP wurde entwickelt, um staatlichen und lokalen Regierungen sowie öffentlichen Institutionen zu helfen, mit Cloud-Service-Providern zusammenzuarbeiten, die starke Informationssicherheits- und Datenschutzpraktiken implementiert haben.

TX-RAMP wurde vom Texas Department of Information Resources gegründet, um einen standardisierten Ansatz für die Sicherheitsbewertung, -genehmigung und kontinuierliche Überwachung von Cloud-Computing-Diensten bereitzustellen, die die Daten einer staatlichen Behörde verarbeiten, speichern oder übertragen.

Trusted Information Security Assessment Exchange (TISAX) ist ein Rahmenwerk, das speziell für die Automobilindustrie entwickelt wurde, um die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen zu gewährleisten. Es bietet eine standardisierte Methode zur Bewertung und zum Austausch von Informationssicherheit in der Automobil-Lieferkette.

Die UL 2900-Serie von Normen, oft als UL 2900 Framework bezeichnet, wurde von Underwriters Laboratories (UL) entwickelt, um eine Grundlage für die Bewertung und Zertifizierung der Sicherheit vernetzter Produkte zu schaffen. Diese Serie konzentriert sich auf die Bewertung von Software-Schwachstellen und Schwächen in netzwerkfähigen Geräten, wobei sowohl das Produkt als auch das organisatorische Umfeld berücksichtigt werden.