EURUSD
Your shopping cart is empty.
ISO

ISO/IEC 19896-3:2018

(Main)

IT security techniques — Competence requirements for information security testers and evaluators — Part 3: Knowledge, skills and effectiveness requirements for ISO/IEC 15408 evaluators

IT security techniques — Competence requirements for information security testers and evaluators — Part 3: Knowledge, skills and effectiveness requirements for ISO/IEC 15408 evaluators

This document provides the specialized requirements to demonstrate competence of individuals in performing IT product security evaluations in accordance with ISO/IEC 15408 (all parts) and ISO/IEC 18045.

Techniques de sécurité IT — Exigences de compétence pour les testeurs et les évaluateurs en matière de sécurité de l'information — Partie 3: Exigences en matière de connaissances, compétences et efficacité des spécialistes en évaluations ISO/IEC 15408

Le présent document fournit les exigences spécifiques permettant de démontrer la compétence des personnes pour effectuer des évaluations de la sécurité des produits IT conformément à l'ISO/IEC 15408 (toutes les parties) et à l'ISO/IEC 18045.

General Information

Status
Published
Publication Date
23-Aug-2018
ICS
35.030 - IT Security
Technical Committee
ISO/IEC JTC 1/SC 27 - Information security, cybersecurity and privacy protection
Drafting Committee
ISO/IEC JTC 1/SC 27/WG 3 - Security evaluation, testing and specification
Current Stage
9599 - Withdrawal of International Standard
Start Date
19-Nov-2025
Completion Date
22-Nov-2025
Ref Project

Relations

Revised
ISO/IEC 19896-3:2025 - Information security, cybersecurity and privacy protection — Requirements for the competence of IT security conformance assessment body personnel — Part 3: Knowledge and skills requirements for evaluators and reviewers according to the ISO/IEC 15408 series and ISO/IEC 18045
Effective Date
06-Jun-2022
ISO/IEC 19896-3:2018 - Techniques de sécurité IT — Exigences de compétence pour les testeurs et les évaluateurs en matière de sécurité de l'information — Partie 3: Exigences en matière de connaissances, compétences et efficacité des spécialistes en évaluations ISO/IEC 15408 Released:15. 02. 2023ISO/IEC 19896-3:2018 - Techniques de sécurité IT — Exigences de compétence pour les testeurs et les évaluateurs en matière de sécurité de l'information — Partie 3: Exigences en matière de connaissances, compétences et efficacité des spécialistes en évaluations ISO/IEC 15408 Released:15. 02. 2023
PreviousNext
Standard
ISO/IEC 19896-3:2018 - Techniques de sécurité IT — Exigences de compétence pour les testeurs et les évaluateurs en matière de sécurité de l'information — Partie 3: Exigences en matière de connaissances, compétences et efficacité des spécialistes en évaluations ISO/IEC 15408 Released:15. 02. 2023
French language
36 pages
sale 15% off
Preview
sale 15% off
Preview
REDLINE ISO/IEC 19896-3:2018 - Techniques de sécurité IT — Exigences de compétence pour les testeurs et les évaluateurs en matière de sécurité de l'information — Partie 3: Exigences en matière de connaissances, compétences et efficacité des spécialistes en évaluations ISO/IEC 15408 Released:15. 02. 2023REDLINE ISO/IEC 19896-3:2018 - Techniques de sécurité IT — Exigences de compétence pour les testeurs et les évaluateurs en matière de sécurité de l'information — Partie 3: Exigences en matière de connaissances, compétences et efficacité des spécialistes en évaluations ISO/IEC 15408 Released:15. 02. 2023
PreviousNext
Standard
REDLINE ISO/IEC 19896-3:2018 - Techniques de sécurité IT — Exigences de compétence pour les testeurs et les évaluateurs en matière de sécurité de l'information — Partie 3: Exigences en matière de connaissances, compétences et efficacité des spécialistes en évaluations ISO/IEC 15408 Released:15. 02. 2023
French language
36 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)


NORME ISO/IEC
INTERNATIONALE 19896-3
Première édition
2018-08
Techniques de sécurité IT — Exigences
de compétence pour les testeurs et les
évaluateurs en matière de sécurité de
l'information —
Partie 3:
Exigences en matière de
connaissances, compétences
et efficacité des spécialistes en
évaluations ISO/IEC 15408
IT security techniques — Competence requirements for information
security testers and evaluators —
Part 3: Knowledge, skills and effectiveness requirements for ISO/IEC
15408 evaluators
Numéro de référence
© ISO/IEC 2018
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO/IEC 2018 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Connaissances . . 2
4.1 Généralités . 2
4.2 Connaissance de l'ISO/IEC 15408 et de l'ISO/IEC 18045 . 2
4.2.1 ISO/IEC 15408-1 . 2
4.2.2 ISO/IEC 15408-2 . 2
4.2.3 ISO/IEC 15408-3 . 3
4.2.4 ISO/IEC 18045 . 3
4.3 Connaissance du paradigme de l'assurance . 3
4.3.1 Connaissance de l'autorité d'évaluation . 3
4.3.2 Connaissance du schéma d'évaluation . 4
4.3.3 Connaissance du laboratoire et de son système de management . 4
4.4 Connaissance de la sécurité de l'information . 4
4.5 Connaissance de la technologie évaluée . 5
4.5.1 Connaissance de la technologie évaluée. 5
4.5.2 Profils de protection, paquets et documents connexes . 5
4.6 Connaissances requises pour des classes d'assurance spécifiques. 6
4.7 Connaissances requises lors de l'évaluation d'exigences fonctionnelles de sécurité
spécifiques . 6
4.8 Connaissances nécessaires lors de l'évaluation de technologies spécifiques . 6
5 Savoir-faire . 6
5.1 Savoir-faire d'évaluation de base . 6
5.1.1 Méthodes d'évaluation . 6
5.1.2 Outils d'évaluation . 6
5.2 Savoir-faire d'évaluation de base spécifiés dans l'ISO/IEC 15408-3 et l'ISO/
IEC 18045 . 7
5.2.1 Principes de l'évaluation . 7
5.2.2 Méthodes et activités d'évaluation . 7
5.3 Savoir-faire requis lors de l'évaluation de classes d'assurance de sécurité
spécifiques . 8
5.3.1 Généralités . 8
5.3.2 Classe ADV (Développement) . 8
5.3.3 Classe AGD (Manuels utilisateur) . 9
5.3.4 Classe ALC (Prise en charge du cycle de vie) . 9
5.3.5 Classes ASE et APE (évaluation ST et PP) . 10
5.3.6 Classe ATE (Essais) . 11
5.3.7 Classe AVA (Évaluation de la vulnérabilité) . 11
5.3.8 Classe ACO (Composition) .12
5.4 Savoir-faire requis lors de l'évaluation de classes d'exigences fonctionnelles de
sécurité spécifiques .13
5.4.1 Généralités .13
5.4.2 Savoir-faire requis lors de l'évaluation de la classe FCS (Support
cryptographique) .13
5.5 Savoir-faire nécessaires lors de l'évaluation de technologies spécifiques .13
6 Expérience .13
7 Instruction .13
8 Efficacité .14
iii
© ISO/IEC 2018 – Tous droits réservés

8.1 Généralités . 14
8.2 Efficacité de l'évaluation . 14
8.3 Responsabilités des schémas d'évaluation concernant l'efficacité des évaluateurs . 14
8.4 Efficacité pour la réalisation d'évaluations en temps opportun . 14
8.5 Efficacité pour la réalisation d'évaluations exactes . 14
8.6 Efficacité concernant le rapportage des résultats . 15
Annexe A (informative) Types de technologie: Connaissances et savoir-faire .16
Annexe B (informative) Exemples de connaissances requises pour l'évaluation des classes
d'exigences d'assurance de la sécurité .21
Annexe C (informative) Exemples de connaissances requises pour l'évaluation des classes
d'exigences fonctionnelles de sécurité .29
Bibliographie .33
iv
© ISO/IEC 2018 – Tous droits réservés

Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux. Dans le domaine
des technologies de l'information, l'ISO et l’IEC ont créé un comité technique mixte, l'ISO/IEC JTC 1.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/iso/fr/avant-propos.html.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Une liste de toutes les parties de la série ISO/IEC 19896 se trouve sur le site web de l'ISO.
Il convient que l'utilisateur adr
...


ISO/IEC JTC 1/SC 27
Date : 2023-01-23: 2018-08
ISO/IEC JTC 1/SC 27
Secrétariat : DIN
Techniques de sécurité IT — Exigences de compétence pour les testeurs et les
évaluateurs en matière de sécurité de l’information — Partie 3 : Exigences en
matière de connaissances, compétences et efficacité des spécialistes en
évaluations ISO/IEC 15408
IT security techniques — Competence requirements for information security
testers and evaluators — Part 3: Knowledge, skills and effectiveness
requirements for ISO/IEC 15408 evaluators
ICS : 35.030
Type de document :  Error! Reference source not found.
Sous-type de document :
Stade du document :  Error! Reference source not found.
Langue du document :  Error! Reference source not found.

Formatted
DOCUMENT PROTÉGÉ PAR COPYRIGHT
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en
œuvre, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme
que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l'affichage
sur l'internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d'autorisation
peuvent être adressées à l'ISO à l'adresse ci-après ou au comité membre de l'ISO dans le pays du
demandeur.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél. :.: + 41 22 749 01 11
Fax : + 41 22 749 09 47
E-mail : copyright@iso.org
Web : www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos . v
Introduction. vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Connaissances . 2
4.1 Généralités . 2
4.2 Connaissance de l'ISO/IEC 15408 et de l'ISO/IEC 18045 . 2
4.2.1 ISO/IEC 15408-1 . 2
4.2.2 ISO/IEC 15408-2 . 2
4.2.3 ISO/IEC 15408-3 . 3
4.2.4 ISO/IEC 18045 . 3
4.3 Connaissance du paradigme de l'assurance . 3
4.3.1 Connaissance de l'autorité d'évaluation . 3
4.3.2 Connaissance du schéma d'évaluation . 4
4.3.3 Connaissance du laboratoire et de son système de management . 5
4.4 Connaissance de la sécurité de l'information . 5
4.5 Connaissance de la technologie évaluée . 5
4.5.1 Connaissance de la technologie évaluée . 5
4.5.2 Profils de protection, paquets et documents connexes . 6
4.6 Connaissances requises pour des classes d'assurance spécifiques . 6
4.7 Connaissances requises lors de l'évaluation d'exigences fonctionnelles de sécurité
spécifiques . 7
4.8 Connaissances nécessaires lors de l'évaluation de technologies spécifiques . 7
5 Savoir-faire . 7
5.1 Savoir-faire d'évaluation de base . 7
5.1.1 Méthodes d'évaluation . 7
5.1.2 Outils d'évaluation . 8
5.2 Savoir-faire d'évaluation de base spécifiés dans l'ISO/IEC 15408-3 et
l'ISO/IEC 18045 . 8
5.2.1 Principes de l'évaluation . 8
5.2.2 Méthodes et activités d'évaluation . 8
5.3 Savoir-faire requis lors de l'évaluation de classes d'assurance de sécurité
spécifiques . 9
5.3.1 Généralités . 9
5.3.2 Classe ADV (Développement) . 9
5.3.3 Classe AGD (Manuels utilisateur) . 11
5.3.4 Classe ALC (Prise en charge du cycle de vie) . 11
5.3.5 Classes ASE et APE (évaluation ST et PP) . 12
5.3.6 Classe ATE (Essais) . 13
5.3.7 Classe AVA (Évaluation de la vulnérabilité) . 14
iii
5.3.8 Classe ACO (Composition) . 15
5.4 Savoir-faire requis lors de l'évaluation de classes d'exigences fonctionnelles de
sécurité spécifiques . 15
5.4.1 Généralités . 15
5.4.2 Savoir-faire requis lors de l'évaluation de la classe FCS (Support cryptographique) . 15
5.5 Savoir-faire nécessaires lors de l'évaluation de technologies spécifiques . 16
6 Expérience . 16
7 Instruction . 16
8 Efficacité . 17
8.1 Généralités . 17
8.2 Efficacité de l'évaluation . 17
8.3 Responsabilités des schémas d'évaluation concernant l'efficacité des évaluateurs . 18
8.4 Efficacité pour la réalisation d'évaluations en temps opportun . 18
8.5 Efficacité pour la réalisation d'évaluations exactes . 18
8.6 Efficacité concernant le rapportage des résultats . 18
Annexe A (informative) Types de technologie : Connaissances et savoir-faire . 19
Annexe B (informative) Exemples de connaissances requises pour l'évaluation des classes
d'exigences d'assurance de la sécurité . 25
Annexe C (informative) Exemples de connaissances requises pour l'évaluation des classes
d'exigences fonctionnelles de sécurité . 35
Bibliographie . 39
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l'ISO ou de l’IEC participent au développement de Normes internationales par
l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des domaines
particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent dans des
domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux. Dans le domaine des
technologies de l'information, l'ISO et l’IEC ont créé un comité technique mixte, l'ISO/IEC JTC 1. Formatted: Pattern: Clear
Formatted: Pattern: Clear
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors
de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/fr/avant-propos.html.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information, Formatted: Pattern: Clear
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Formatted: Pattern: Clear
Une liste de toutes les parties de la série ISO/IEC 19896 se trouve sur le site web de l'ISO.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www.iso.org/fr/members.html. Formatted: Pattern: Clear
v
Introduction
La série ISO/IEC 15408 permet la comparaison entre des résultats d'évaluations de sécurité
Formatted: Pattern: Clear
indépendantes. À cet effet, elle propose un ensemble commun d'exigences applicables aux fonctionnalités
Formatted: Pattern: Clear
de sécurité des produits de technologies de l'information (IT) et aux mesures d'assurance appliquées à
ces produits IT au cours d'une évaluation de sécurité. De nombreux schémas de certification et
d'évaluation ainsi que des autorités d'évaluation ont été élaborés en utilisant la série ISO/IEC 15408 et
Formatted: Pattern: Clear
l'ISO/IEC 18045 comme base, ce qui permet de comparer les résultats des pro
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You

ISO
ISO/IEC 19896-3:2025(Main)
Information security, cybersecurity and privacy protection — Requirements for the competence of IT security conformance assessment body personnel — Part 3: Knowledge and skills requirements for evaluators and reviewers according to the ISO/IEC 15408 series and ISO/IEC 18045

This document provides the specialized requirements for individuals to demonstrate competence in performing IT product security evaluations and reviews according to the ISO/IEC 15408 series and ISO/IEC 18045. NOTE It is possible that evaluators and testers belong to bodies operating under ISO/IEC 17025 and reviewers belong to bodies operating under ISO/IEC 17065.

  • Standard
    46 pages
    English language
    sale 15% off
  • Standard
    48 pages
    French language
    sale 15% off
ISO
ISO/IEC 19896-1:2025(Main)
Information security, cybersecurity and privacy protection — Requirements for the competence of IT security conformance assessment body personnel — Part 1: Overview and concepts

This document establishes an organized set of concepts and relationships to understand the competency requirements for information security conformance-testing and evaluation specialists, thereby establishing a basis for shared understanding of the concepts and principles central to the ISO/IEC 19896 series across its user communities.

  • Standard
    12 pages
    English language
    sale 15% off
  • Standard
    13 pages
    French language
    sale 15% off
ISO
ISO/IEC 27404:2025(Main)
Cybersecurity — IoT security and privacy — Cybersecurity labelling framework for consumer IoT

This document defines a cybersecurity labelling framework for the development and implementation of cybersecurity labelling programmes for consumer Internet of things (IoT) products. It provides requirements and guidance on the following topics: — risks and threats associated with consumer IoT products; — stakeholders, roles and responsibilities; — relevant standards and guidance documents; — conformity assessment; — labelling issuance and maintenance; — mutual recognition. This document is limited to consumer IoT products, such as: — IoT gateways, base stations and hubs to which multiple devices connect; smart cameras, televisions, and speakers; — wearable devices; — connected smoke detectors, door locks and window sensors; — connected home automation and alarm systems; — connected appliances, such as washing machines and fridges; — smart home assistants; and — connected children’s toys and baby monitors. Products that are not intended for consumer use are excluded from this document. Examples of excluded devices are those that are primarily intended for manufacturing, healthcare and other industrial purposes. This document is applicable to consumers, developers, issuing bodies of cybersecurity labels and conformity assessment bodies.

  • Standard
    63 pages
    English language
    sale 15% off
ISO
ISO/IEC 27706:2025(Main)
Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of privacy information management systems

This document specifies requirements and provides guidance for bodies providing audit and certification of a privacy information management system (PIMS) according to ISO/IEC 27701, in addition to the requirements contained within ISO/IEC 17021-1. The requirements contained in this document are demonstrated in terms of competence and reliability by bodies providing PIMS certification. The guidance contained in this document provides additional interpretation of these requirements for bodies providing PIMS certification. NOTE This document can be used as a criteria document for accreditation, peer assessment or other audit processes.

  • Standard
    24 pages
    English language
    sale 15% off
  • Standard
    25 pages
    French language
    sale 15% off
ISO
ISO/IEC 27701:2025(Main)
Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance

This document specifies requirements for establishing, implementing, maintaining and continually improving a privacy information management system (PIMS). Guidance is also provided to assist in the implementation of the requirements in this document. This document is intended for personally identifiable information (PII) controllers and PII processors holding responsibility and accountability for PII processing. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations.

  • Standard
    64 pages
    English language
    sale 15% off
  • Standard
    71 pages
    French language
    sale 15% off
ISO
ISO/IEC TS 27564:2025(Main)
Privacy protection — Guidance on the use of models for privacy engineering

This document provides guidance on how to use modelling in privacy engineering. It describes categories of models that can be used, the use of modelling to support engineering, and the relationships with other references, including International Standards on privacy engineering and on modelling. It provides high-level use cases describing how models are used.

  • Technical specification
    32 pages
    English language
    sale 15% off
ISO
ISO/IEC 24760-2:2025(Main)
Information security, cybersecurity and privacy protection — A framework for identity management — Part 2: Reference architecture and requirements

This document: — provides guidelines for the implementation of systems for the management of identity information; — specifies requirements for the implementation and operation of a framework for identity management; — is applicable to any information system where information relating to identity is processed or stored; — is considered to be a horizontal document for the following reasons: ¾ it applies concepts such as distinguishing the term “identity” from the term “identifier” on the implementation of systems for the management of identity information and on the requirements for the implementation and operation of a framework for identity management, ¾ it provides an important contribution to assess identity management systems with regard to their privacy-friendliness and their ability to assure the relevant attributes of an identity, and consequently it provides a foundation and a common understanding for any other standard addressing identity, identity information, and identity management.

  • Standard
    46 pages
    English language
    sale 15% off
ISO
ISO/IEC 24760-1:2025(Main)
Information security, cybersecurity and privacy protection — A framework for identity management — Part 1: Core concepts and terminology

This document: — defines terms for identity management and specifies core concepts of identity and identity management, and their relationships; — is applicable to any information system where information relating to identity is processed or stored; — is considered to be a horizontal document for the following reasons: ¾ it applies concepts such as distinguishing the term “identity” from the term “identifier” on the implementation of systems for the management of identity information and on the requirements for the implementation and operation of a framework for identity management, ¾ it provides an important contribution to assess identity management systems with regard to their privacy-friendliness and their ability to assure the relevant attributes of an identity, and consequently it provides a foundation and a common understanding for any other standard addressing identity, identity information, and identity management.

  • Standard
    23 pages
    English language
    sale 15% off
ISO
ISO/IEC 24760-3:2025(Main)
Information security, cybersecurity and privacy protection — A framework for identity management — Part 3: Practice

This document: — provides requirements and guidance for the management of identity information and for ensuring that an identity management system conforms to ISO/IEC 24760-1 and ISO/IEC 24760-2; — is applicable to any information system where information relating to identity is processed or stored; — is considered to be a horizontal document for the following reasons: — it applies concepts such as distinguishing the term “identity” from the term “identifier” on the implementation of systems for the management of identity information and on the requirements for the implementation and operation of a framework for identity management, — it provides an important contribution to assess identity management systems with regard to their privacy-friendliness and their ability to assure the relevant attributes of an identity, and consequently it provides a foundation and a common understanding for any other standard addressing identity, identity information, and identity management.

  • Standard
    31 pages
    English language
    sale 15% off
ISO
ISO/IEC 27018:2025(Main)
Information security, cybersecurity and privacy protection — Guidelines for protection of personally identifiable information (PII) in public clouds acting as PII processors

This document establishes commonly accepted control objectives, controls and guidelines for implementing measures to protect personally identifiable information (PII) in line with the privacy principles in ISO/IEC 29100 for the public cloud computing environment. In particular, this document specifies guidelines based on ISO/IEC 27002:2022, taking into consideration the regulatory requirements for the protection of PII which can be applicable within the context of the information security risk environment(s) of a provider of public cloud services. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations, which provide information processing services as PII processors via cloud computing under contract to other organizations. The guidelines in this document can also be relevant to organizations acting as PII controllers.

  • Standard
    35 pages
    English language
    sale 15% off