Definitionen über BCMS, ISMS, DSMS und AIMS. Vokabular für vier Managementsysteme als eins.
Das Managementsystem, das regelt, wie eine Organisation Informationssicherheitsrisiken erkennt, behandelt und überwacht. Maßgeblich definiert durch ISO/IEC 27001.
Das Managementsystem, das eine Organisation darauf vorbereitet, kritische Abläufe bei Störungen aufrechtzuerhalten und schnell wiederherzustellen. Definiert durch ISO 22301.
Das Managementsystem für die verantwortungsvolle Entwicklung und Nutzung künstlicher Intelligenz. Definiert durch ISO/IEC 42001.
Die internationale Norm, die die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt und die anerkannteste Sicherheitszertifizierung darstellt.
Die EU-Richtlinie, die Cybersicherheitspflichten für wesentliche und wichtige Einrichtungen ausweitet, einschließlich Risikomanagementmaßnahmen und Meldepflichten.
Die EU-Datenschutz-Grundverordnung, das umfassende Gesetz dafür, wie personenbezogene Daten von Personen in der EU verarbeitet werden dürfen.
Der Prozess, Risiken zu erkennen und sie anhand von Eintrittswahrscheinlichkeit und Auswirkung zu analysieren und zu bewerten, um zu entscheiden, welche behandelt werden müssen.
150 Begriffe
Das Managementsystem für die verantwortungsvolle Entwicklung und Nutzung künstlicher Intelligenz. Definiert durch ISO/IEC 42001.
Die formale Anerkennung, dass eine Zertifizierungsstelle kompetent ist, Audits durchzuführen und Zertifikate nach einer bestimmten Norm auszustellen.
Ein förmlicher Beschluss der Europäischen Kommission, dass ein Nicht-EU-Land ein im Wesentlichen gleichwertiges Datenschutzniveau bietet, sodass Datenübermittlungen dorthin frei möglich sind.
Die Summe aller Punkte, an denen ein Angreifer versuchen könnte, in ein System oder eine Organisation einzudringen oder Daten zu entwenden.
Der Maßnahmenkatalog der ISO/IEC 27001, gegliedert in die Themen organisatorisch, personenbezogen, physisch und technologisch.
Die unumkehrbare Verarbeitung von Daten, sodass Personen nicht mehr identifiziert werden können, was sie aus dem Anwendungsbereich der DSGVO herausnimmt.
Das Dokument, das alle Annex-A-Maßnahmen der ISO/IEC 27001 auflistet, ihre Anwendbarkeit angibt und jede Aufnahme oder jeden Ausschluss begründet.
Die Grenzen eines Managementsystems: die Teile der Organisation, Standorte, Assets und Tätigkeiten, die es abdeckt.
Alles, was für eine Organisation von Wert ist und Schutz benötigt, etwa Daten, Systeme, Personen oder Einrichtungen.
Aufzeichnungen, Aussagen und andere überprüfbare Informationen, die ein Auditor nutzt, um die Erfüllung von Anforderungen zu beurteilen.
Die festgelegten Zeiträume, für die Daten aufbewahrt werden, bevor sie gelöscht oder anonymisiert werden, im Ausgleich zwischen Rechtspflichten und Minimierung.
Eine unabhängige öffentliche Stelle, die das Datenschutzrecht durchsetzt, Beschwerden bearbeitet und nach der DSGVO Bußgelder verhängen kann.
Eine Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, gebunden an dessen Weisungen und einen Vertrag.
Der zwischen Verantwortlichem und Auftragsverarbeiter erforderliche Vertrag, der regelt, wie der Auftragsverarbeiter personenbezogene Daten behandeln darf.
Das Ausmaß des Schadens, der entstünde, wenn ein Risikoszenario einträte, gemessen über Dimensionen wie Finanzen, Betrieb und Reputation.
Entscheidungen, die allein durch automatisierte Verarbeitung ohne wesentliches menschliches Zutun getroffen werden und die die DSGVO bei rechtlicher oder ähnlich erheblicher Wirkung beschränkt.
Das Managementsystem, das eine Organisation darauf vorbereitet, kritische Abläufe bei Störungen aufrechtzuerhalten und schnell wiederherzustellen. Definiert durch ISO 22301.
Eine mögliche Ursache eines unerwünschten Vorfalls, der einem Asset schaden könnte, etwa Schadsoftware, menschliches Versagen oder ein Naturereignis.
Eine strukturierte Übung, um potenzielle Bedrohungen für ein System früh zu erkennen, damit sie vermieden oder gemindert werden können.
Eine unabhängige, von einem EU-Land benannte Organisation, die die Konformität bestimmter Hochrisiko-Produkte vor dem Inverkehrbringen bewertet.
Die fortlaufende Pflicht, das Verhalten eines KI-Systems nach der Inbetriebnahme zu verfolgen und auf Probleme im realen Einsatz zu reagieren.
Eine Rechtsgrundlage der DSGVO, die eine Verarbeitung personenbezogener Daten erlaubt, wenn die Interessen der Organisation nicht von den Rechten der Person überwogen werden.
Sensible personenbezogene Daten nach der DSGVO, etwa Gesundheit, Biometrie oder Überzeugungen, die stärkeren Schutz und strengere Verarbeitungsbedingungen genießen.
Die identifizierte oder identifizierbare Person, auf die sich personenbezogene Daten beziehen und der Rechte an diesen Daten zustehen.
Der Cloud Computing Compliance Criteria Catalogue des BSI, ein deutscher Standard zur Bewertung der Sicherheit von Cloud-Dienstleistern.
Eine deutsche Methodik und ein Maßnahmenkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Aufbau und zur Zertifizierung von Informationssicherheit.
Die Analyse, die die kritischen Tätigkeiten einer Organisation und die zeitliche Auswirkung ihrer Unterbrechung ermittelt und so die Grundlage für Wiederherstellungsprioritäten schafft.
Eine vom Hersteller angebrachte Kennzeichnung, die erklärt, dass ein Produkt die EU-Anforderungen erfüllt, durch die KI-Verordnung auf bestimmte Hochrisiko-KI-Systeme ausgeweitet.
Die drei Kernziele der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit.
Ein öffentlicher, standardisierter Bezeichner, der einer bestimmten bekannten Sicherheitsschwachstelle zugewiesen wird.
Ein offenes Rahmenwerk, das den Schweregrad einer Schwachstelle auf einer Skala von 0 bis 10 bewertet.
Eine EU-Verordnung, die Cybersicherheitsanforderungen für Produkte mit digitalen Elementen über ihren gesamten Lebenszyklus festlegt.
Das Kennzeichnen von Informationen nach Schutzbedarf, damit jede Kategorie das passende Schutzniveau erhält.
Der DSGVO-Grundsatz, dass erhobene personenbezogene Daten dem Zweck angemessen, erheblich und auf das notwendige Maß beschränkt sein müssen.
Die DSGVO-Anforderung, Datenschutz von Anfang an in Systeme einzubauen und standardmäßig die datenschutzfreundlichsten Einstellungen anzuwenden.
Eine Bewertung der Datenschutzrisiken einer Verarbeitung, die voraussichtlich ein hohes Risiko für Personen mit sich bringt.
Eine unabhängige Fachperson, die eine Organisation zu Datenschutzpflichten berät und die Einhaltung der DSGVO überwacht.
Eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum Zugriff auf personenbezogene Daten führt.
Eine separat aufbewahrte Kopie von Daten, damit Informationen nach Verlust, Beschädigung oder einem Angriff wiederhergestellt werden können.
Technik und Regeln, die erkennen und verhindern, dass sensible Daten die Organisation über E-Mail, Uploads oder Wechseldatenträger verlassen.
Die Aufzeichnungen und Dokumente, die ein ISO-Managementsystem als Nachweis erstellen, lenken und pflegen muss.
Eine EU-Verordnung mit einheitlichen Anforderungen an die digitale Betriebsstabilität des Finanzsektors, einschließlich IKT-Risikomanagement und Aufsicht über Drittanbieter.
Die EU-Datenschutz-Grundverordnung, das umfassende Gesetz dafür, wie personenbezogene Daten von Personen in der EU verarbeitet werden dürfen.
Das Managementsystem, das regelt, wie eine Organisation Datenschutzpflichten wie die DSGVO erfüllt. Es deckt rechtmäßige Verarbeitung, Betroffenenrechte und Rechenschaftspflicht ab.
Software auf Laptops, Servern und Geräten, die fortlaufend auf schädliche Aktivitäten überwacht und Einsatzteams beim Untersuchen und Eindämmen unterstützt.
Die Chance, dass ein bestimmtes Risikoszenario tatsächlich eintritt, genutzt zusammen mit der Auswirkung zur Bewertung eines Risikos.
Eine freiwillig, für den bestimmten Fall, informiert und unmissverständlich abgegebene Zustimmung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten.
Das Maß, in dem die Begründung hinter den Ausgaben eines KI-Systems verstanden und Menschen erklärt werden kann.
Die EU-Verordnung, die künstliche Intelligenz nach einem risikobasierten Ansatz reguliert, mit den strengsten Pflichten für Hochrisiko-KI-Systeme.
Eine Netzwerksicherheitsmaßnahme, die den Verkehr zwischen Netzen anhand definierter Regeln filtert, legitime Verbindungen zulässt und unerwünschte blockiert.
Die Maßnahme, eine sensible Aufgabe auf mehrere Personen aufzuteilen, sodass keine einzelne Person sie allein abschließen kann.
Zwei oder mehr Verantwortliche, die gemeinsam Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen und nach der DSGVO Verantwortung teilen.
KI-Systeme, die neue Inhalte wie Text, Bilder, Audio oder Code erzeugen, oft auf Basis großer Basismodelle.
Ein integrierter Ansatz, der Governance, Risikomanagement und Compliance verbindet, damit eine Organisation ihre Ziele innerhalb ihres Risikoappetits und im Rahmen der Gesetze verfolgen kann.
Der Rahmen aus Richtlinien und Technik, der digitale Identitäten verwaltet und deren Zugriff auf Ressourcen steuert.
Messbare Ziele, die eine Organisation in Übereinstimmung mit ihrer Sicherheitsrichtlinie zur Verbesserung der Informationssicherheit festlegt.
Das Risikoniveau, das besteht, bevor Maßnahmen oder Minderungen angewendet werden.
Die Eigenschaft, dass Informationen korrekt, vollständig und unverändert bleiben, außer durch berechtigte Mittel.
Die Anspruchsgruppen, deren Anforderungen und Erwartungen ein Managementsystem berücksichtigen muss, etwa Kunden, Behörden, Beschäftigte und Lieferanten.
Die Übermittlung personenbezogener Daten in ein Land außerhalb der EU oder des EWR, die die DSGVO nur unter bestimmten Garantien erlaubt.
Eine geplante, unabhängige Prüfung, die feststellt, ob ein Managementsystem die eigenen Anforderungen und die der Norm erfüllt und ob es wirksam ist.
Das Managementsystem, das regelt, wie eine Organisation Informationssicherheitsrisiken erkennt, behandelt und überwacht. Maßgeblich definiert durch ISO/IEC 27001.
Die internationale Norm für ein Business-Continuity-Managementsystem (BCMS). Sie legt fest, wie man sich auf Störungen vorbereitet, darauf reagiert und sich erholt.
Die internationale Norm, die die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt und die anerkannteste Sicherheitszertifizierung darstellt.
Der Leitfaden zur ISO/IEC 27001, der detailliert erklärt, wie jede Informationssicherheitsmaßnahme umzusetzen ist.
Eine Leitliniennorm, die zusätzlich zur ISO/IEC 27002 cloudspezifische Informationssicherheitsmaßnahmen ergänzt.
Eine Erweiterung der ISO/IEC 27001 und 27002, die Anforderungen an ein Datenschutz-Informationsmanagementsystem (PIMS) ergänzt.
Die erste internationale Managementsystemnorm für künstliche Intelligenz. Sie legt die Anforderungen an ein KI-Managementsystem (AIMS) fest.
Ein KI-Modell, das ein breites Aufgabenspektrum bewältigen und in viele Systeme eingebunden werden kann und unter besondere Bestimmungen der EU-KI-Verordnung fällt.
Die Fähigkeiten und das Verständnis, die es Menschen ermöglichen, KI-Systeme verantwortungsvoll einzusetzen und ihre Chancen und Risiken zu erkennen.
Die für KI-Systeme spezifischen Risiken, darunter Verzerrung, mangelnde Nachvollziehbarkeit, unsichere Ergebnisse und der Verlust menschlicher Kontrolle.
Eine systematische, unfaire Schieflage in den Ausgaben eines KI-Systems, die bestimmte Gruppen oder Personen benachteiligen kann.
Das Verfahren, mit dem nachgewiesen wird, dass ein Produkt oder System, etwa ein Hochrisiko-KI-System, vor dem Inverkehrbringen die rechtlichen Anforderungen erfüllt.
Die internen und externen Themen sowie die Anforderungen interessierter Parteien, die bestimmen, was ein Managementsystem erreichen muss.
Das fortlaufende Bemühen, die Wirksamkeit eines Managementsystems über die Zeit zu steigern. Eine Kernanforderung jeder ISO-Norm.
Eine Maßnahme, die die Grundursache einer Nichtkonformität beseitigt, damit sie nicht erneut auftritt.
Eine Kennzahl, die zeigt, wie gut ein Prozess oder eine Maßnahme im Verhältnis zu seinem Ziel funktioniert.
Eine Kennzahl, die ein Frühsignal für steigende Risikoexposition liefert, bevor daraus ein Vorfall wird.
Die Fähigkeit, bei einem schweren störenden Ereignis, das die normale Reaktion übersteigt, zu führen, zu entscheiden und zu kommunizieren.
Der deutsche Begriff für kritische Infrastrukturen: Sektoren, deren Ausfall die öffentliche Versorgung und Sicherheit ernsthaft gefährden würde.
Der qualifizierte Auditor, der ein Audit plant und leitet, das Auditteam führt und für dessen Schlussfolgerungen verantwortlich ist.
Der Prozess, die Sicherheits- und Kontinuitätsrisiken zu bewerten und zu steuern, die Lieferanten und Dienstleister mit sich bringen.
Ein Angriff, der eine Organisation indirekt kompromittiert, indem er einen vertrauenswürdigen Lieferanten, Anbieter oder eine genutzte Softwarekomponente angreift.
Eine regelmäßige Bewertung durch die oberste Leitung, ob das Managementsystem weiterhin geeignet, angemessen und wirksam ist, mit Entscheidungen über Änderungen und Ressourcen.
Ein strukturierter Satz aus Richtlinien, Prozessen und Maßnahmen, mit dem eine Organisation einen bestimmten Bereich wie Informationssicherheit oder Notfallmanagement steuert und verbessert.
Eine Maßnahme, die Risiko verringert, indem sie eine Bedrohung, eine Schwachstelle oder die Auswirkung eines Vorfalls beeinflusst.
Die längste Zeit, die eine Tätigkeit ausfallen darf, bevor der entstehende Schaden für die Organisation untragbar wird.
Ein Authentifizierungsverfahren, das zwei oder mehr unabhängige Faktoren verlangt, um die Identität eines Nutzers zu bestätigen.
Eine Strategie, mehrere unabhängige Sicherheitsmaßnahmen zu schichten, sodass bei Ausfall einer Maßnahme andere das Asset weiterhin schützen.
Maßnahmen, die sicherstellen, dass Menschen den Betrieb eines KI-Systems überwachen, eingreifen und außer Kraft setzen können.
Der Grundsatz, jedem Nutzer oder Prozess nur die Zugriffsrechte zu gewähren, die für die Aufgabe nötig sind, und nicht mehr.
Ein kurzes, strukturiertes Dokument, das Zweck, Leistung, Grenzen und vorgesehene Nutzung eines KI-Modells beschreibt.
Die Nichterfüllung einer Anforderung, sei es aus der Norm, einer Richtlinie oder einer rechtlichen Pflicht, erkannt durch Audits oder im Betrieb.
Die EU-Richtlinie, die Cybersicherheitspflichten für wesentliche und wichtige Einrichtungen ausweitet, einschließlich Risikomanagementmaßnahmen und Meldepflichten.
Ein freiwilliges US-Rahmenwerk, das Cybersicherheitsaktivitäten in übergeordnete Funktionen gliedert, um Organisationen beim Risikomanagement zu unterstützen.
Die dokumentierten Abläufe, die eine Organisation dabei leiten, auf eine Störung zu reagieren und kritische Tätigkeiten fortzuführen oder wiederherzustellen.
Der technologieorientierte Teil der Kontinuität, der IT-Systeme, Daten und Infrastruktur nach einem störenden Ereignis wiederherstellt.
Der Prozess, Softwareupdates zu beschaffen, zu testen und einzuspielen, um Schwachstellen zu beheben und Systeme aktuell zu halten.
Der Payment Card Industry Data Security Standard, ein verpflichtender Standard für Organisationen, die Karteninhaberdaten speichern, verarbeiten oder übertragen.
Plan, Do, Check, Act: das iterative Vier-Schritt-Modell, das hinter der kontinuierlichen Verbesserung jedes ISO-Managementsystems steht.
Ein autorisierter, simulierter Angriff auf Systeme oder Anwendungen, um ausnutzbare Sicherheitsschwächen zu finden und nachzuweisen.
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, der zentrale Begriff, den die DSGVO schützt.
Ein Social-Engineering-Angriff, der Personen dazu bringt, Zugangsdaten oder sensible Daten preiszugeben, meist über täuschende Nachrichten.
Das Aufzeichnen von System- und Sicherheitsereignissen und deren laufende Auswertung, um Auffälligkeiten zu erkennen und Untersuchungen zu unterstützen.
Die Verarbeitung personenbezogener Daten so, dass sie ohne gesondert aufbewahrte zusätzliche Informationen keiner Person mehr zugeordnet werden können.
Schadsoftware, die Daten verschlüsselt oder den Zugriff darauf blockiert und für die Wiederherstellung eine Zahlung verlangt.
Das DSGVO-Recht von Personen, ihre personenbezogenen Daten in einem strukturierten, gängigen Format zu erhalten und an einen anderen Anbieter zu übermitteln.
Das DSGVO-Recht von Personen, ihre personenbezogenen Daten unter bestimmten Voraussetzungen löschen zu lassen, auch Recht auf Vergessenwerden genannt.
Die maximale Datenmenge, gemessen als Zeit, die eine Organisation bei einer Störung verlieren kann.
Die Zielzeit, innerhalb derer eine gestörte Tätigkeit oder ein System nach einem Vorfall wiederhergestellt sein muss.
Das Risiko, das nach der Umsetzung von Maßnahmen zur Behandlung verbleibt.
Ein vollständiges Audit am Ende eines Zertifikatszyklus, meist alle drei Jahre, um die Zertifizierung für einen weiteren Zeitraum zu erneuern.
Eine Richtlinie, die festlegt, wie Beschäftigte Systeme, Geräte und Daten der Organisation nutzen dürfen und welches Verhalten untersagt ist.
Das Ausmaß und die Art von Risiko, die eine Organisation zur Erreichung ihrer Ziele zu akzeptieren bereit ist.
Der Schritt, in dem eine Organisation entscheidet, wie sie mit jedem bewerteten Risiko umgeht: verringern, akzeptieren, die Tätigkeit vermeiden oder teilen.
Der Prozess, Risiken zu erkennen und sie anhand von Eintrittswahrscheinlichkeit und Auswirkung zu analysieren und zu bewerten, um zu entscheiden, welche behandelt werden müssen.
Die Person, die für ein bestimmtes Risiko und die Entscheidungen über seine Behandlung verantwortlich ist.
Ein Raster, das Risiken nach Eintrittswahrscheinlichkeit und Auswirkung darstellt, um sie zu priorisieren und zu vergleichen.
Das zentrale Verzeichnis erkannter Risiken mit ihrer Bewertung, ihren Eigentümern und ihrem Behandlungsstatus.
Bösartige Software, die darauf ausgelegt ist, Systeme und Daten zu beschädigen, zu stören oder sich unbefugt Zugang zu verschaffen.
Eine Schwäche in einem Asset oder einer Maßnahme, die eine Bedrohung ausnutzen kann, um Schaden zu verursachen.
Ein definierter Prozess, um Meldungen über Sicherheitslücken von Forschenden oder der Öffentlichkeit entgegenzunehmen, zu bewerten und zu bearbeiten.
Eine automatisierte Prüfung von Systemen gegen eine Datenbank bekannter Schwächen, um fehlende Patches und Fehlkonfigurationen zu erkennen.
Ein Team und eine Einrichtung, die Sicherheitsbedrohungen in einer Organisation fortlaufend überwachen, erkennen und darauf reagieren.
Schulung, die Beschäftigten hilft, Sicherheitsrisiken wie Phishing und Social Engineering zu erkennen und richtig darauf zu reagieren.
Ein von der obersten Leitung genehmigtes übergeordnetes Dokument, das die Absichten und die Ausrichtung einer Organisation zum Schutz von Informationen festlegt.
Ein Ereignis oder eine Reihe von Ereignissen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen beeinträchtigen oder bedrohen.
Ein System, das Protokoll- und Ereignisdaten aus der gesamten Organisation sammelt und korreliert, um Sicherheitsvorfälle zu erkennen und zu untersuchen.
Ein US-amerikanischer Prüfbericht über die Kontrollen eines Dienstleisters in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.
Die Manipulation von Menschen, damit sie Informationen preisgeben oder Handlungen ausführen, die die Sicherheit gefährden, statt Technik direkt anzugreifen.
Von der Europäischen Kommission vorab genehmigte Vertragsklauseln, die eine Rechtsgrundlage für die Übermittlung personenbezogener Daten außerhalb des EWR bieten.
Der erste Teil eines Erstzertifizierungsaudits, eine Bereitschaftsprüfung, die feststellt, ob das Managementsystem dokumentiert und für das Hauptaudit bereit ist.
Das Hauptzertifizierungsaudit, bei dem ein Auditor Nachweise sammelt, dass das Managementsystem umgesetzt ist und wirksam funktioniert.
Eine diskussionsbasierte Übung, in der ein Team seine Reaktion auf ein simuliertes Szenario durchspielt, um Pläne und Rollen zu testen.
Ein Prüf- und Austauschmechanismus für Informationssicherheit in der Automobilindustrie, basierend auf dem VDA-ISA-Katalog.
Die Daten, mit denen ein Modell des maschinellen Lernens trainiert wird und deren Qualität und Repräsentativität das Verhalten des Modells stark prägen.
Ein regelmäßiges Audit während der Gültigkeit eines Zertifikats, das bestätigt, dass das Managementsystem weiterhin funktioniert und sich verbessert.
Ein Dritter, den ein Auftragsverarbeiter beauftragt, eine bestimmte Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durchzuführen.
Die Stelle, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und nach der DSGVO die Hauptverantwortung trägt.
Einsatzformen von KI, die die EU-KI-Verordnung vollständig verbietet, weil sie ein unannehmbares Risiko für die Grundrechte darstellen.
Die Eigenschaft, dass Informationen und Systeme zugänglich und nutzbar sind, wenn berechtigte Nutzer sie benötigen.
Der Vorgang, Informationen in eine codierte Form umzuwandeln, sodass nur berechtigte Parteien mit dem Schlüssel sie lesen können.
Die Eigenschaft, dass Informationen nur denjenigen zugänglich sind, die dazu berechtigt sind.
Das dokumentierte Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten einer Organisation, von der DSGVO gefordert.
Der organisierte Ansatz, Sicherheitsvorfälle zu erkennen, einzudämmen, zu beseitigen und sich davon zu erholen sowie daraus zu lernen.
Ein Sicherheitsmodell, das keinem Nutzer und keinem Gerät standardmäßig vertraut und jede Zugriffsanfrage unabhängig vom Netzwerkstandort überprüft.
Eine unabhängige, dafür akkreditierte Organisation, die ein Managementsystem auditiert und bei Normkonformität ein Zertifikat ausstellt.
Die gezielte Einschränkung, wer Ressourcen einsehen oder nutzen darf, durchgesetzt über Identifizierung, Authentifizierung und Autorisierung.
KaitoSec