iTeh StandardsiTeh Standards
EURUSD
Your shopping cart is empty.
ISO

ISO/IEC 24760-3:2016

(Main)

Information technology — Security techniques — A framework for identity management — Part 3: Practice

Information technology — Security techniques — A framework for identity management — Part 3: Practice

ISO/IEC 24760-3:2016 provides guidance for the management of identity information and for ensuring that an identity management system conforms to ISO/IEC 24760-1 and ISO/IEC 24760-2. ISO/IEC 24760-3:2016 is applicable to an identity management system where identifiers or PII relating to entities are acquired, processed, stored, transferred or used for the purposes of identifying or authenticating entities and/or for the purpose of decision making using attributes of entities. Practices for identity management can also be addressed in other standards.

Technologies de l'information — Techniques de sécurité — Cadre pour la gestion de l'identité — Partie 3: Mise en oeuvre

La présente partie de l'ISO/IEC 24760 fournit des recommandations pour la gestion des informations d'identité et pour s'assurer qu'un système de gestion de l'identité est conforme à l'ISO/IEC 24760-1 et à l'ISO/IEC 24760-2. La présente partie de l'ISO/IEC 24760 est applicable à un système de gestion de l'identité dans lequel des identificateurs ou des DCP relatifs à des entités sont acquis, traités, stockés, transférés ou utilisés à des fins d'identification ou d'authentification d'entités et/ou à des fins de prise de décision à l'aide d'attributs d'entités. Les pratiques relatives à la gestion de l'identité peuvent également être traitées dans d'autres normes.

General Information

Status
Published
Publication Date
20-Jul-2016
ICS
35.030 - IT Security
35.040 - Information coding
Technical Committee
ISO/IEC JTC 1/SC 27 - Information security, cybersecurity and privacy protection
Drafting Committee
ISO/IEC JTC 1/SC 27/WG 5 - Identity management and privacy technologies
Current Stage
9599 - Withdrawal of International Standard
Start Date
16-Sep-2025
Completion Date
20-Sep-2025
Ref Project

Relations

Amended By
ISO/IEC 24760-3:2016/Amd 1:2023 - Information technology — Security techniques — A framework for identity management — Part 3: Practice — Amendment 1: Identity Information Lifecycle processes
Effective Date
06-Jun-2022
Revised
ISO/IEC 24760-3:2025 - Information security, cybersecurity and privacy protection — A framework for identity management — Part 3: Practice
Effective Date
22-Jul-2023
ISO/IEC 24760-3:2016 - Information technology — Security techniques — A framework for identity management — Part 3: Practice Released:2. 11. 2022ISO/IEC 24760-3:2016 - Information technology — Security techniques — A framework for identity management — Part 3: Practice Released:2. 11. 2022
PreviousNext
Standard
ISO/IEC 24760-3:2016 - Information technology — Security techniques — A framework for identity management — Part 3: Practice Released:2. 11. 2022
French language
33 pages
sale 15% off
Preview
sale 15% off
Preview
REDLINE ISO/IEC 24760-3:2016 - Information technology — Security techniques — A framework for identity management — Part 3: Practice Released:2. 11. 2022REDLINE ISO/IEC 24760-3:2016 - Information technology — Security techniques — A framework for identity management — Part 3: Practice Released:2. 11. 2022
PreviousNext
Standard
REDLINE ISO/IEC 24760-3:2016 - Information technology — Security techniques — A framework for identity management — Part 3: Practice Released:2. 11. 2022
French language
33 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)


NORME ISO/IEC
INTERNATIONALE 24760-3
Première édition
2016-08-01
Technologies de l'information —
Techniques de sécurité — Cadre pour
la gestion de l'identité —
Partie 3:
Mise en oeuvre
Information technology — Security techniques — A framework for
identity management —
Part 3: Practice
Numéro de référence
© ISO/IEC 2016
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2016
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO/IEC 2016 – Tous droits réservés

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Symboles et abréviations .2
5 Atténuation des risques liés à l'identité dans la gestion des informations d'identité .2
5.1 Vue d'ensemble . 2
5.2 Appréciation du risque . 2
5.3 Assurance en matière d'informations d'identité . 3
5.3.1 Généralités . 3
5.3.2 Vérification de l'identité . . 3
5.3.3 Justificatifs d'identité . 3
5.3.4 Profil d'identité . 3
6 Informations d'identité et identificateurs . 4
6.1 Vue d'ensemble . 4
6.2 Politique d'accès aux informations d'identité . 4
6.3 Identificateurs . 5
6.3.1 Généralités . 5
6.3.2 Catégorisation de l'identificateur par type d'entité à laquelle l'identificateur
est lié . 5
6.3.3 Catégorisation de l'identificateur à partir de la nature du lien . 5
6.3.4 Catégorisation de l'identificateur à partir du regroupement des entités . 6
6.3.5 Gestion des identificateurs . 6
7 Audit de l'utilisation des informations d'identité . 7
8 Objectifs de sécurité et mesures de sécurité . 7
8.1 Généralités . 7
8.2 Composants contextuels pour le contrôle . 7
8.2.1 Établissement d'un système de gestion de l'identité . 7
8.2.2 Établissement des informations d'identité . 9
8.2.3 Gestion des informations d'identité . 11
8.3 Composants architecturaux pour le contrôle .12
8.3.1 Établissement d'un système de gestion de l'identité .12
8.3.2 Contrôle d'un système de gestion de l'identité .13
Annexe A (normative) Mise en œuvre de la gestion des informations d'identité dans une
fédération de systèmes de gestion de l'identité .15
Annexe B (normative) Mise en œuvre de la gestion de l'identité utilisant des justificatifs
d'identité basés sur des attributs pour améliorer la protection de la vie privée .25
Bibliographie .33
iii
© ISO/IEC 2016 – Tous droits réservés

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/fr/avant-propos.
Le comité chargé de l'élaboration du présent document est l'ISO/IEC JTC 1, Technologies de l'information,
SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
L'ISO/IEC 24760 comprend les parties suivantes, présentées sous le titre général Technologies de
l'information — Techniques de sécurité — Cadre pour la gestion de l'identité:
— Partie 1: Terminologie et concepts ;
— Partie 2: Architecture de référence et exigences ;
— Partie 3: Mise en œuvre.
iv
© ISO/IEC 2016 – Tous droits réservés

Introduction
Les systèmes de traitement des données collectent généralement un éventail d'informations relatives
à leurs utilisateurs, qu'il s'agisse d'une personne, d'un matériel ou d'un logiciel qui y sont connectés,
et prennent des décisions sur la base des informations recueillies. Ces décisions basées sur l'identité
peuvent concerner l'accès aux applications ou à d'autres ressources.
Afin de répondre au besoin de mise en œuvre efficace et effective des systèmes qui prennent des
décisions basées sur l'identité, l'ISO/IEC 24760 spécifie un cadre pour la délivrance, l'administration
et l'utilisation des données qui sert à caractériser les personnes physiques, les organisations ou les
composants des technologies de l'information qui interviennent au nom de personnes physiques ou
d'organisations.
Pour de nombreuses organisations, la gestion adéquate des informations d'identité est essentielle au
maintien de la sécurité des processus organisationnels. Pour les personnes physiques, une gestion
adéquate de l'identité est importante pour la protection de la vie privée.
La présente partie de l'ISO/IEC 24760 spécifie les concepts fondamentaux et les structures
opérationnelles de la gestion de l'identité dans le but de mettre en œuvre la gestion du système
d'information de sorte que les systèmes d'information puissent satisfaire aux obligations contractuelles,
réglementaires, légales et métier.
La présente partie de l'ISO/IEC 24760 présente les pratiques en matière de gestion de l'identité. Ces
pratiques couvrent l'assurance du contrôle de l'utilisation des informations d'identité, du contrôle de
l'accès aux informations d'identité et aux autres ressources basées sur les informations d'identité, et
du contrôle des objectifs qu'il convient de mettre en œuvre lors de l'établissement et de la maintenance
d'un système de gestion de l'identité.
La présente partie de l'ISO/IEC 24760 se compose des parties suivantes:
— ISO/IEC 24760-1: Terminologie et concepts ;
— ISO/IEC 24760-2: Architecture de référence et exigences ;
— ISO/IEC 24760-3: Mise en œuvre.
L'ISO/IEC 24760 est destinée à fournir une base pour d'autres Normes internationales liées à la gestion
de l'identité, y compris les suivantes:
— ISO/IEC 29100, Cadre privé ;
— ISO/IEC 29101, Architecture de référence pour la protection de la vie privée ;
— ISO/IEC 29115, Cadre d'assurance de l'authentification d'entité ;
— ISO/IEC 29146, Cadre pour gestion d'accès.
v
© ISO/IEC 2016 – Tous droits réservés

NORME INTERNATIONALE ISO/IEC 24760-3:2016(F)
Technologies de l'information — Techniques de sécurité —
Cadre pour la gestion de l'identité —
Partie 3:
Mise en oeuvre
1 Domaine d'application
La présente partie de l'ISO/IEC 24760 fournit des recommandations pour la gestion des informations
d'identité et pour s'assurer qu'un système de gestion de l'identité est conforme à l'ISO/IEC 24760-1 et à
l'ISO/IEC 24760-2.
La présente partie de l'ISO/IEC 24760 est applicable à un système de gestion de l'identité dans lequel
des identificateurs ou des DCP relatifs à des entités sont acquis, traités, stockés, transférés ou utilisés
à des fins d'identification ou d'authentification d'entités et/ou à des fins de prise de décision à l'aide
d'attributs d'entités. Les pratiques relatives à la gestion de l'identité peuvent également être traitées
dans d'autres normes.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO/IEC 24760-1, Sécurité IT et confidentialité — Cadre pour la gestion de l'identité — Partie 1:
Terminologie et concepts
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO/IEC 24760-1 ainsi que les
suivants, s'appliquent.
3.1
système de gestion de l'identité
...


Style Definition: Heading 1: Indent: Left: 0 pt, First line:
ISO/IEC JTC 1/SC 27
0 pt
Style Definition: Heading 2: Font: Bold, Tab stops: Not at
Date : 2016-10-1208
18 pt
Style Definition: Heading 3: Font: Bold
Style Definition: Heading 4: Font: Bold
ISO/IEC JTC 1/SC 27
Style Definition: Heading 5: Font: Bold
Style Definition: Heading 6: Font: Bold
Secrétariat : DIN
Style Definition: ANNEX
Style Definition: RefNorm
Technologies de l'information — Techniques de sécurité — Cadre pour la
gestion de l'identité — Partie 3: Mise en œuvre Style Definition: List Continue 1
Style Definition: Body Text_Center
Information technology — Security techniques — A framework for identity
Style Definition: Dimension_100
management — Part 3: Practice
Style Definition: Figure Graphic
Style Definition: Figure subtitle
ICS : 35.040
Style Definition: List Number 1
Style Definition: AMEND Terms Heading: Font: Bold
Style Definition: AMEND Heading 1 Unnumbered: Font:
Bold
Formatted: Pattern: Clear
Formatted: English (United States)
Formatted: English (United States)
Formatted: English (United States)
Formatted: English (United States)
Type de document : Error! Reference source not found.
Sous-type de document : Error! Reference source not found.
Stade du document : Error! Reference source not found.
Langue du document : Error! Reference source not found.

DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2016
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en
œuvre, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme
que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage
sur l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation
peuvent être adressées à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du
demandeur.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél. : + 41 22 749 01 11
Fax : + 41 22 749 09 47
E-mail : copyright@iso.org
Web : www.iso.org
Publié en Suisse
Formatted: French (Switzerland)
Formatted: French (Switzerland)
Formatted: French (Switzerland)
© ISO/IEC 2016 – Tous droits réservés
Sommaire Page
Avant-propos . iv
Introduction. v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Symboles et abréviations . 2
5 Atténuation des risques liés à l'identité dans la gestion des informations d'identité . 2
5.1 Vue d'ensemble . 2
5.2 Appréciation du risque . 3
5.3 Assurance en matière d'informations d'identité . 3
5.3.1 Généralités . 3
5.3.2 Vérification de l'identité . 3
5.3.3 Justificatifs d'identité . 4
5.3.4 Profil d'identité . 4
6 Informations d'identité et identificateurs . 5
6.1 Vue d'ensemble . 5
6.2 Politique d'accès aux informations d'identité . 5
6.3 Identificateurs . 5
6.3.1 Généralités . 5
6.3.2 Catégorisation de l'identificateur par type d'entité à laquelle l'identificateur est lié . 5
6.3.3 Catégorisation de l'identificateur à partir de la nature du lien . 6
6.3.4 Catégorisation de l'identificateur à partir du regroupement des entités . 7
6.3.5 Gestion des identificateurs . 7
7 Audit de l'utilisation des informations d'identité . 8
8 Objectifs de sécurité et mesures de sécurité . 8
8.1 Généralités . 8
8.2 Composants contextuels pour le contrôle . 8
8.2.1 Établissement d'un système de gestion de l'identité . 8
8.2.2 Établissement des informations d'identité . 11
8.2.3 Gestion des informations d'identité . 12
8.3 Composants architecturaux pour le contrôle . 14
8.3.1 Établissement d'un système de gestion de l'identité . 14
8.3.2 Contrôle d'un système de gestion de l'identité . 15
Annexe A (normative) Mise en œuvre de la gestion des informations d'identité dans une
fédération de systèmes de gestion de l'identité . 17
Annexe B (normative) Mise en œuvre de la gestion de l'identité utilisant des justificatifs
d'identité basés sur des attributs pour améliorer la protection de la vie privée . 29
© ISO/IEC 2016 – Tous droits réservés
Bibliographie . 37
Formatted: French (Switzerland)
Formatted: French (Switzerland)
Formatted: French (Switzerland)
© ISO/IEC 2016 – Tous droits réservés
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en
général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit
de faire partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales
et non gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore
étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne la
normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de
ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les
références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l'élaboration
du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de brevets reçues par
l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant : www.iso.org/iso/fr/avant-propos.
Le comité chargé de l'élaboration du présent document est l'ISO/IEC JTC 1, Technologies de l'information, Commented [eXtyles1]: Invalid reference:
"ISO/IEC JTC 1"
SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Formatted: Pattern: Clear
L'ISO/IEC 24760 comprend les parties suivantes, présentées sous le titre général Technologies de
Formatted: Pattern: Clear
l'information — Techniques de sécurité — Cadre pour la gestion de l'identité :
Formatted: Pattern: Clear
Formatted: Pattern: Clear
— Partie 1 : Terminologie et concepts ;
— Partie 2 : Architecture de référence et exigences ;
— Partie 3 : Mise en œuvre.
© ISO/IEC 2016 – Tous droits réservés
Introduction
Les systèmes de traitement des données collectent généralement un éventail d'informations relatives à
leurs utilisateurs, qu'il s'agisse d'une personne, d'un matériel ou d'un logiciel qui y sont connectés, et
prennent des décisions sur la base des informations recueillies. Ces décisions basées sur l'identité
peuvent concerner l'accès aux applications ou à d'autres ressources.
Afin de répondre au besoin de mise en œuvre efficace et effective des systèmes qui prennent des décisions
basées sur l'identité, l'ISO/IEC 24760 spécifie un cadre pour la délivrance, l'administration et l'utilisation Formatted: Pattern: Clear
des données qui sert à caractériser les personnes physiques, les organisations ou les composants des
Formatted: Pattern: Clear
technologies de l'information qui interviennent au nom de personnes physiques ou d'organisations.
Pour de nombreuses organisations, la gestion adéquate des informations d'identité est essentielle au
maintien de la sécurité des processus organisationnels. Pour les personnes physiques, une gestion
adéquate de l'identité est importante pour la protection de la vie privée.
La présente partie de l'ISO/IEC 24760 spécifie les concepts fondamentaux et les structures
Formatted: Pattern: Clear
opérationnelles de la gestion de l'identité dans le but de mettre en œuvre la gestion du système
Formatted: Pattern: Clear
d'information de sorte que les systèmes d'information puissent satisfaire aux obligations contractuelles,
réglementaires, légales et métier.
La présente partie de l'ISO/IEC 24760 présente les pratiques en matière de gestion de l'identité. Ces
Formatted: Pattern: Clear
pratiques couvrent l'assurance du contrôle de l'utilisation des informations d'identité, du contrôle de
Formatted: Pattern: Clear
l'accès aux informations d'identité et aux autres ressources basées sur les informations d'identité, et du
contrôle des objectifs qu'il convient de mettre en œuvre lors de l'établissement et de la maintenance d'un
système de gestion de l'identité.
La présente partie de l'ISO/IEC 24760 se compose des parties suivantes : Formatted: Pattern: Clear
Formatted: Pattern: Clear
— ISO/IEC 24760-1 : Terminologie et concepts ;
— ISO/IEC 24760-2 : Architecture de référence et exigences ;
— ISO/IEC 24760-3 : Mise en œuvre.
L'ISO/IEC 24760 est destinée à fournir une base pour d'autres Normes internationales liées à la gestion Formatted: Pattern: Clear
de l'identité, y compris les suivantes :
Formatted: Pattern: Clear
— ISO/IEC 29100, Cadre privé ;
— ISO/IEC 29101, Architecture de référence pour la protection de la vie privée ;
— ISO/IEC 29115, Cadre d'assurance de l'authentification d'entité ;
— ISO/IEC 29146, Cadre pour gestion d'accès.
Formatted: French (Switzerland)
Formatted: French (Switzerland)
Formatted: French (Switzerland)
© ISO/IEC 2016 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
Technologies de l'information — Techniques de
sécurité — Cadre pour la gestion de l'identité — Partie 3: Mise
en œuvre
1 Domaine d'application
La présente partie de l'ISO/IEC 24760 fournit des recommandations pour la gestion des informations
Formatted: Pattern: Clear
d'identité et pour s'assurer qu'un système de gestion de l'identité est conforme à l'ISO/IEC 24760-1 et à
Formatted: Pattern: Clear
l'ISO/IEC 24760-2.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
La présente partie de l'ISO/IEC 24760 est applicable à un système de gestion de l'identi
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You

ISO
ISO/IEC TS 19608:2018(Main)
Guidance for developing security and privacy functional requirements based on ISO/IEC 15408

This document provides guidance for: — selecting and specifying security functional requirements (SFRs) from ISO/IEC 15408-2 to protect Personally Identifiable Information (PII); — the procedure to define both privacy and security functional requirements in a coordinated manner; and — developing privacy functional requirements as extended components based on the privacy principles defined in ISO/IEC 29100 through the paradigm described in ISO/IEC 15408-2. The intended audience for this document are: — developers who implement products or systems that deal with PII and want to undergo a security evaluation of those products using ISO/IEC 15408. They will get guidance how to select security functional requirements for the Security Target of their product or system that map to the privacy principles defined in ISO/IEC 29100; — authors of Protection Profiles that address the protection of PII; and — evaluators that use ISO/IEC 15408 and ISO/IEC 18045 for a security evaluation. This document is intended to be fully consistent with ISO/IEC 15408; however, in the event of any inconsistency between this document and ISO/IEC 15408, the latter, as a normative standard, takes precedence.

  • Technical specification
    48 pages
    English language
    sale 15% off
ISO
ISO/IEC 27034-7:2018(Main)
Information technology — Application security — Part 7: Assurance prediction framework

This document describes the minimum requirements when the required activities specified by an Application Security Control (ASC) are replaced with a Prediction Application Security Rationale (PASR). The ASC mapped to a PASR define the Expected Level of Trust for a subsequent application. In the context of an Expected Level of Trust, there is always an original application where the project team performed the activities of the indicated ASC to achieve an Actual Level of Trust. The use of Prediction Application Security Rationales (PASRs), defined by this document, is applicable to project teams which have a defined Application Normative Framework (ANF) and an original application with an Actual Level of Trust. Predictions relative to aggregation of multiple components or the history of the developer in relation to other applications is outside the scope of this document.

  • Standard
    29 pages
    English language
    sale 15% off
ISO
ISO/IEC 27034-3:2018(Main)
Information technology — Application security — Part 3: Application security management process

This document provides a detailed description and implementation guidance for the Application Security Management Process.

  • Standard
    47 pages
    English language
    sale 15% off
ISO
ISO/IEC TS 27034-5-1:2018(Main)
Information technology — Application security — Part 5-1: Protocols and application security controls data structure, XML schemas

ISO/IEC TS 27034-5-1:2018 defines XML Schemas that implement the minimal set of information requirements and essential attributes of ASCs and the activities and roles of the Application Security Life Cycle Reference Model (ASLCRM) from ISO/IEC 27034-5.

  • Technical specification
    77 pages
    English language
    sale 15% off
ISO
ISO/IEC TS 29003:2018(Main)
Information technology — Security techniques — Identity proofing

ISO/IEC TS 29003:2018: ? gives guidelines for the identity proofing of a person; ? specifies levels of identity proofing, and requirements to achieve these levels. ISO/IEC TS 29003:2018 is applicable to identity management systems.

  • Technical specification
    21 pages
    English language
    sale 15% off
ISO
ISO/IEC 11770-4:2017(Main)
Information technology — Security techniques — Key management — Part 4: Mechanisms based on weak secrets

ISO/IEC 11770-4:2017 defines key establishment mechanisms based on weak secrets, i.e. secrets that can be readily memorized by a human, and hence, secrets that will be chosen from a relatively small set of possibilities. It specifies cryptographic techniques specifically designed to establish one or more secret keys based on a weak secret derived from a memorized password, while preventing offline brute-force attacks associated with the weak secret. ISO/IEC 11770-4:2017 is not applicable to the following aspects of key management: - life-cycle management of weak secrets, strong secrets, and established secret keys; - mechanisms to store, archive, delete, destroy, etc. weak secrets, strong secrets, and established secret keys.

  • Standard
    48 pages
    English language
    sale 15% off
ISO
ISO/IEC 27019:2017(Main)
Information technology — Security techniques — Information security controls for the energy utility industry

ISO/IEC 27019:2017 provides guidance based on ISO/IEC 27002:2013 applied to process control systems used by the energy utility industry for controlling and monitoring the production or generation, transmission, storage and distribution of electric power, gas, oil and heat, and for the control of associated supporting processes. This includes in particular the following: - central and distributed process control, monitoring and automation technology as well as information systems used for their operation, such as programming and parameterization devices; - digital controllers and automation components such as control and field devices or Programmable Logic Controllers (PLCs), including digital sensor and actuator elements; - all further supporting information systems used in the process control domain, e.g. for supplementary data visualization tasks and for controlling, monitoring, data archiving, historian logging, reporting and documentation purposes; - communication technology used in the process control domain, e.g. networks, telemetry, telecontrol applications and remote control technology; - Advanced Metering Infrastructure (AMI) components, e.g. smart meters; - measurement devices, e.g. for emission values; - digital protection and safety systems, e.g. protection relays, safety PLCs, emergency governor mechanisms; - energy management systems, e.g. of Distributed Energy Resources (DER), electric charging infrastructures, in private households, residential buildings or industrial customer installations; - distributed components of smart grid environments, e.g. in energy grids, in private households, residential buildings or industrial customer installations; - all software, firmware and applications installed on above-mentioned systems, e.g. DMS (Distribution Management System) applications or OMS (Outage Management System); - any premises housing the above-mentioned equipment and systems; - remote maintenance systems for above-mentioned systems. ISO/IEC 27019:2017 does not apply to the process control domain of nuclear facilities. This domain is covered by IEC 62645. ISO/IEC 27019:2017 also includes a requirement to adapt the risk assessment and treatment processes described in ISO/IEC 27001:2013 to the energy utility industry-sector?specific guidance provided in this document.

  • Standard
    33 pages
    English language
    sale 15% off
  • Standard
    37 pages
    French language
    sale 15% off
ISO
ISO/IEC 27021:2017(Main)
Information technology — Security techniques — Competence requirements for information security management systems professionals

ISO/IEC 27021:2017 specifies the requirements of competence for ISMS professionals leading or involved in establishing, implementing, maintaining and continually improving one or more information security management system processes that conforms to ISO/IEC 27001.

  • Standard
    21 pages
    English language
    sale 15% off
ISO
ISO/IEC 19592-2:2017(Main)
Information technology — Security techniques — Secret sharing — Part 2: Fundamental mechanisms

ISO/IEC 19592-2:2017 specifies cryptographic secret sharing schemes.

  • Standard
    22 pages
    English language
    sale 15% off
  • Standard
    22 pages
    English language
    sale 15% off
ISO
ISO/IEC TR 15446:2017(Main)
Information technology — Security techniques — Guidance for the production of protection profiles and security targets

ISO/IEC TR 15446 provides guidance relating to the construction of Protection Profiles (PPs) and Security Targets (STs) that are intended to be compliant with the third edition of ISO/IEC 15408 (all parts). It is also applicable to PPs and STs compliant with Common Criteria Version 3.1 Revision 4[6], a technically identical standard published by the Common Criteria Management Board, a consortium of governmental organizations involved in IT security evaluation and certification. NOTE ISO/IEC TR 15446 is not intended as an introduction to evaluation using ISO/IEC 15408 (all parts). Readers who seek such an introduction can read ISO/IEC 15408‑1. ISO/IEC TR 15446 does not deal with associated tasks beyond PP and ST specification such as PP registration and the handling of protected intellectual property.

  • Technical report
    79 pages
    English language
    sale 15% off