hero-two-bg

ISO/IEC 29147

ISO/IEC 29147 ist eine internationale Norm, die Richtlinien für Prozesse zur Offenlegung von Schwachstellen bietet. Sie gibt Empfehlungen, wie Organisationen potenzielle Schwachstellen in ihren Produkten den Anbietern mitteilen sollten und wie die Anbieter diese Meldungen verarbeiten und verwalten sollten.

Fordern Sie eine Demo der Secureframe Custom Frameworks anangle-right

Definition und Zweck

Der Zweck von ISO/IEC 29147 besteht darin, ein klares Protokoll für die verantwortungsvolle Offenlegung von Schwachstellen zu etablieren. Es soll sicherstellen, dass Sicherheitslücken, wenn sie entdeckt werden, systematisch und standardisiert behoben werden, um potenzielle Schäden zu minimieren und die Effektivität des Behebungsprozesses zu maximieren.

Gremien

Die Norm wird von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) entwickelt und gepflegt.

Letzte Aktualisierung

ISO/IEC 29147 wurde ursprünglich 2014 veröffentlicht. Sie wurde 2018 zurückgezogen und aktualisiert.

Anwendungsbereich

ISO/IEC 29147 gilt für alle Arten von Organisationen, unabhängig von ihrer Größe oder ihrer Geschäftstätigkeit. Sie ist insbesondere für Softwareentwickler, Cybersicherheitsexperten, IT-Abteilungen und alle Organisationen relevant, die Software- und IT-Produkte entwickeln oder verwenden.

Kontrollen und Anforderungen

ISO/IEC 29147 enthält Richtlinien zu verschiedenen wichtigen Aspekten des Prozesses der Offenlegung von Schwachstellen, wie z. B.:

  • Empfang und Bearbeitung von Schwachstellenberichten: Prozesse dafür, wie Organisationen Berichte über Schwachstellen erhalten und bearbeiten sollten.
  • Informationsoffenlegung: Richtlinien dafür, wann und wie Informationen über Schwachstellen der Öffentlichkeit offengelegt werden sollten.
  • Feedback und Kommunikation: Sicherstellung der effektiven Kommunikation mit der Person oder Einheit, die die Schwachstelle meldet.
  • Datenschutzaspekte: Wahrung der Vertraulichkeit der Informationen im Zusammenhang mit Schwachstellen.
  • Zeitplan für die Offenlegung: Zeitpläne für die Bestätigung, Untersuchung und Offenlegung von Schwachstellen.

Bitte beachten Sie die offizielle ISO/IEC 29147:2018-Dokumentation für Details zu den Kontrollen und Anforderungen.

Audittyp, Häufigkeit und Dauer

Audits umfassen in der Regel die Überprüfung der Prozesse und Richtlinien einer Organisation zur Offenlegung von Schwachstellen, um die Einhaltung von ISO/IEC 29147 sicherzustellen. Die Häufigkeit der Audits kann je nach Größe und Komplexität der Organisation sowie der Art ihrer IT-Infrastruktur variieren. Sie kann auch von der Häufigkeit der Entdeckung von Schwachstellen beeinflusst werden.

Die Dauer einer Prüfung hängt von der Größe der Organisation, der Komplexität ihrer IT-Infrastruktur und dem Umfang der Prüfung ab.

Mit Secureframe Custom Frameworks konform werden

Fordern Sie eine Demo anangle-right
cta-bg