ISO/IEC 30111

ISO/IEC 30111 ist ein internationaler Standard, der den ordnungsgemäßen Umgang mit potenziellen Schwachstelleninformationen in Produkten umreißt. Er bietet einen Rahmen dafür, wie Organisationen den Prozess des Empfangens, Untersuchens und Behebens von Schwachstellen in einem Produkt oder Online-Dienst verwalten sollten.

Fordern Sie eine Demo der Secureframe Custom Frameworks an

Definition und Zweck

Der Zweck von ISO/IEC 30111 besteht darin, Richtlinien für Prozesse zur Handhabung von Schwachstellen festzulegen. Er unterstützt Organisationen dabei, Schwachstellen auf konsistente und effektive Weise zu verwalten, sicherzustellen, dass sie bewertet, priorisiert und schnell gemindert oder behoben werden, wodurch das Risiko für Nutzer von Produkten oder Dienstleistungen verringert wird.

Verwaltungsgremium

Der Standard wird von der Internationalen Organisation für Normung (ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (IEC) entwickelt und gepflegt.

Zuletzt aktualisiert

ISO/IEC 30111 wurde ursprünglich 2013 veröffentlicht. Es wurde zurückgezogen und durch ISO/IEC 30111:2019 ersetzt.

Gilt für

ISO/IEC 30111 gilt für jede Organisation, die Produkte oder Online-Dienste entwickelt, pflegt oder unterstützt. Dazu gehören Softwareentwickler, IT-Dienstleister und Technologiehersteller in verschiedenen Sektoren.

Kontrollen und Anforderungen

Der Standard bietet Leitlinien zu mehreren Aspekten der Handhabung von Schwachstellen, einschließlich:

Empfang von Berichten: Wie man eingehende Berichte über potenzielle Schwachstellen annimmt und handhabt.
Untersuchung: Schritte zur Überprüfung, Replikation und Bewertung der Auswirkungen gemeldeter Schwachstellen.
Behebung von Problemen: Entwicklung und Implementierung von Lösungen zur Behebung bestätigter Schwachstellen.
Freigabe und Kommunikation: Prozesse zur Veröffentlichung von Patches oder Updates und zur Kommunikation mit Stakeholdern, einschließlich Kunden und der Öffentlichkeit.
Feedback-Schleife: Mechanismen, um aus Schwachstellen zu lernen, um Produkte und Prozesse zu verbessern.

Bitte beachten Sie die offizielle ISO/IEC 39111:2019-Dokumentation für Details zu Kontrollen und Anforderungen.

Audit-Typ, Häufigkeit und Dauer

Audits zur Einhaltung von ISO/IEC 30111 umfassen typischerweise die Überprüfung der Prozesse, Dokumentationen und Aufzeichnungen einer Organisation zur Handhabung von Schwachstellen, um sicherzustellen, dass sie den Anforderungen des Standards entsprechen. Die Häufigkeit dieser Audits kann auf der Risikomanagement-Strategie der Organisation, der Art der angebotenen Produkte oder Dienstleistungen oder im Rahmen regelmäßiger Compliance-Prüfungen basieren.

Die Dauer hängt von der Größe der Organisation, der Komplexität ihrer Produkte oder Dienstleistungen und der Tiefe der Prüfung ab.

Erreichen Sie die Konformität durch Secureframe Custom Frameworks

Fordern Sie eine Demo an

Produkt

Risikomanagement

Sicherheitsbewertungen von Anbietern

Unterstützte Frameworks

Lösungen

Top-Frameworks

Partnertypen

Partnerprogramm

Ressourcen für Sicherheit und Compliance

Framework-Ressourcen

Kundenressourcen

Unternehmen