{"id":3856029,"date":"2020-12-01T09:00:00","date_gmt":"2020-12-01T08:00:00","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=3856029"},"modified":"2024-05-24T12:50:06","modified_gmt":"2024-05-24T10:50:06","slug":"iso-27034","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/","title":{"rendered":"ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?"},"content":{"rendered":"\n<p>Die ISO 27034 tr\u00e4gt den Titel <em>Informationstechnik&nbsp;&#8211; IT Sicherheitsverfahren&nbsp;&#8211; Sicherheit von Anwendungen<\/em>. Sie wird u.a. im Leitfaden des BSI referenziert.<\/p>\n\n\n\n<p>Doch mancher Hersteller fragt sich: Muss ich auch noch diese Norm lesen? Muss ich damit rechnen, dass mein Auditor diese Norm (mit Verweis auf den Stand der Technik) einfordert?<\/p>\n\n\n\n<p>Lesen Sie diesen Artikel, bevor Sie diese Norm f\u00fcr teures Geld kaufen und Zeit f\u00fcr deren Studium aufwenden (es sind Hunderte von Seiten), und entscheiden Sie dann.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">1. ISO 27034: Weshalb Sie diese Norm \u00fcberhaupt in Betracht ziehen sollten<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Weil mangelnde IT-Sicherheit Sch\u00e4den verursacht und Patienten gef\u00e4hrdet<\/h3>\n\n\n\n<p>J\u00e4hrlich traurige Rekorde zu Angriffen, neuer Schad-Software, gesch\u00e4digten Firmen und Patienten machen klar: Wir haben die IT-Sicherheit der meisten Anwendungen nicht im Griff.<\/p>\n\n\n\n<p>Eine Norm wie die ISO 27034 kann dabei helfen, Best Practices kennenzulernen und schlie\u00dflich auch anzuwenden, um die IT-Sicherheit der eigenen Produkte und Systeme zu verbessern.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Weil IT-Sicherheit eine regulatorische Anforderung ist<\/h3>\n\n\n\n<p>Die Anzahl der regulatorischen Anforderungen mit Bezug zur IT-Sicherheit und zum Datenschutz explodiert geradezu. Zu diesen Anforderungen z\u00e4hlen zum einen branchenunabh\u00e4ngige Vorschriften, z.B. die <a href=\"https:\/\/ec.europa.eu\/digital-single-market\/en\/network-and-information-security-nis-directive\">NIS Richtlinie (Directive on security of network and information systems)<\/a> und die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/eu-datenschutzgrundverordnung-dsgvo\/\" target=\"_blank\" rel=\"noreferrer noopener\">Datenschutzgrundverordnung (DSGVO)<\/a>, zum anderen branchenspezifische Regulierungen.<\/p>\n\n\n\n<p>Bei Medizinprodukten stellen die EU-Medizinprodukteverordnungen (<a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/medical-device-regulation-mdr-medizinprodukteverordnung\/\">MDR<\/a>, <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/ivdr-in-vitro-diagnostic-device-regulation\/\">IVDR<\/a>) ebenso Anforderungen an die IT-Sicherheit wie die deutsche <a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/digitale-gesundheitsanwendungen-verordnung-digav\/\" target=\"_blank\" rel=\"noreferrer noopener\">Verordnung f\u00fcr digitale Gesundheitsanwendungen (DiGAV)<\/a>.<\/p>\n\n\n\n<div class=\"defbox\">\n    <div class=\"definition\">\n        <i class=\"fa fa-external-link\"><\/i> Weiterf\u00fchrende Informationen\n    <\/div>\n    <p>Sie finden hier eine \u00dcbersicht \u00fcber die <a href=\"https:\/\/www.johner-institut.de\/blog\/medizinische-informatik\/it-sicherheit-im-gesundheitswesen\/\">regulatorischen Anforderungen an die IT-Sicherheit von Medizinprodukten bzw. f\u00fcr das Gesundheitswesen<\/a>.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">c) Weil Sie den Stand der Technik nicht nur im Audit kennen m\u00fcssen<\/h3>\n\n\n\n<p>Allerdings sind diese Gesetze und Verordnungen nicht in der Lage, dem technologischen Fortschritt in der Geschwindigkeit zu folgen, die notwendig w\u00e4re, um konkrete Vorgaben machen zu k\u00f6nnen. Daher fordern die Regularien, dass die Hersteller die IT Security ihrer Produkte nach Stand der Technik gew\u00e4hrleisten m\u00fcssen.<\/p>\n\n\n\n<p>Diesen <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/stand-der-technik\/\" target=\"_blank\" rel=\"noreferrer noopener\">Stand der Technik<\/a> beschreiben Normen. Dass die IEC 27034 dazu z\u00e4hlt, best\u00e4tigt auch das <a href=\"https:\/\/www.bsi.bund.de\/DE\/Service-Navi\/Presse\/Pressemitteilungen\/Presse2019\/Leitfaden_Med-Produkte_231019.html\" target=\"_blank\" rel=\"noreferrer noopener\">BSI in seinem Leitfaden zur Sicherheit von Medizinprodukten<\/a>.<\/p>\n\n\n\n<p>Als Hersteller oder Betreiber von Medizinprodukten sollten Sie im <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/audit\/\" target=\"_blank\" rel=\"noreferrer noopener\">Audit<\/a> zumindest von der ISO 27034 geh\u00f6rt haben und es begr\u00fcnden k\u00f6nnen, wenn Sie diese Normenfamilie nicht angewendet haben.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. \u00dcbersicht \u00fcber die ISO 27034<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) An wen sich die ISO 27034 wendet<\/h3>\n\n\n\n<p>Die Normenfamilie wendet sich an eine sehr breite Leserschaft:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Manager<\/strong> inklusive Projektmanager, IT Security Manager, Verantwortliche f\u00fcr Software-Anwendungen<\/li><li><strong>Technische Teams <\/strong>wie Software-Architekten, Software-Entwickler und -Tester, Systemadministratoren und anderes technisches Personal<\/li><li><strong>Eink\u00e4ufer<\/strong> von Software<\/li><li><strong>Dienstleister<\/strong>, die Software entwickeln oder\/und bereitstellen und die Sicherheit dieser Software gew\u00e4hrleisten m\u00fcssen<\/li><li><strong>Auditoren<\/strong><\/li><li><strong>Anwender<\/strong>, die Software installieren und nutzen<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">b) Ziele und Nicht-Ziele der ISO 27034<\/h3>\n\n\n\n<p>Die ISO 27034 verfolgt die Ziele,<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Konzepte, Prinzipien und Prozesse zu vermitteln,<\/li><li>Hersteller dabei zu unterst\u00fctzen, IT-sicherheitsbezogene Anforderungen risikobasiert festzulegen,<\/li><li>Hilfestellungen zu geben f\u00fcr den Nachweis der IT-Sicherheit von Anwendungen und<\/li><li>die Anforderungen der ISO 27001-Familie umsetzbar zu machen.<\/li><\/ul>\n\n\n\n<p>Leider m\u00f6chte die ISO 27034 keine konkreten Ma\u00dfnahmen festlegen, auch keine Kodierregeln. Sie erhebt auch nicht den Anspruch, selbst ein Standard zu sein f\u00fcr Software-Lebenszyklus-Prozesse, f\u00fcr das Projektmanagement und f\u00fcr die Entwicklung.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) \u00dcbersicht \u00fcber die ISO 27034-Familie<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>\n<p><strong>Bezeichnung<\/strong><\/p>\n<\/td><td>\n<p><strong>Name<\/strong><\/p>\n<\/td><td>\n<p><strong>Ver\u00f6ffentlichung<\/strong><\/p>\n<\/td><\/tr><tr><td>\n<p>ISO\/IEC 27034-1<\/p>\n<\/td><td>\n<p>\u00dcberblick und Konzept<\/p>\n<\/td><td>\n<p>2011 (Best\u00e4tigung 2017)<\/p>\n<\/td><\/tr><tr><td>\n<p>ISO\/IEC 27034-2<\/p>\n<\/td><td>\n<p>Organisation des normativen Rahmens<\/p>\n<\/td><td>\n<p>2015<\/p>\n<\/td><\/tr><tr><td>\n<p>ISO\/IEC 27034-3<\/p>\n<\/td><td>\n<p>Managementprozess f\u00fcr die Sicherheit von Anwendungen<\/p>\n<\/td><td>\n<p>2018<\/p>\n<\/td><\/tr><tr><td> <p>ISO\/IEC 27034-4<\/p> <\/td><td>\n<p>Validierung und Verifizierung<\/p>\n<\/td><td> <p>2020 (DIS-Status)<\/p> <\/td><\/tr><tr><td>\n<p>ISO\/IEC 27034-5<\/p>\n<\/td><td>\n<p>Protokolle und Datenstruktur zur Kontrolle der Anwendungssicherheit<\/p>\n<\/td><td>\n<p>2017<\/p>\n<\/td><\/tr><tr><td>\n<p>ISO\/IEC TS 27034-5-1<\/p>\n<\/td><td>\n<p>Protokolle und Datenstruktur zur Kontrolle der Anwendungssicherheit, XML-Schema<\/p>\n<\/td><td>\n<p>2018<\/p>\n<\/td><\/tr><tr><td>\n<p>ISO\/IEC 27034-6<\/p>\n<\/td><td>\n<p>Fallstudien<\/p>\n<\/td><td>\n<p>2016<\/p>\n<\/td><\/tr><tr><td>\n<p>ISO\/IEC 27034-7<\/p>\n<\/td><td> <p>Modell zur Voraussage der Zusicherung von Sicherheitsanwendungen<\/p> <\/td><td>\n<p>2018<\/p>\n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">3. Die ISO 27034-1<\/h2>\n\n\n\n<p>Die ISO 27034-1 ist die einf\u00fchrende Norm. In Kapitel 5 beschreibt sie das Zusammenspiel mit den anderen Mitgliedern dieser Normenfamilie. In den Kapiteln 6 und 7.1. stellt sie allgemeine Konzepte vor.<\/p>\n\n\n\n<figure class=\"wp-block-image size-medium is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1.png\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-300x146.png\" alt=\"Mindmap mit \u00dcbersicht \u00fcber die Kapitelstruktur der ISO 27034-1\" class=\"wp-image-3856060\" width=\"300\" height=\"146\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-300x146.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-1024x499.png 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-768x374.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-1536x748.png 1536w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-2048x997.png 2048w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-200x97.png 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-400x195.png 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-600x292.png 600w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-800x390.png 800w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-1200x584.png 1200w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption>Abb. 1: \u00dcbersicht \u00fcber die Kapitelstruktur der ISO 27034-1 (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<p>Die Norm verfolgt einen ebenso ganzheitlichen wie akademischen Ansatz. Sie unterscheidet zwischen dem Framework auf organisatorischer Ebene (Organizational Normative Framework ONF, Kapitel 7.2 und 8.1) und dem Framework spezifisch f\u00fcr die jeweilige Applikation (Application Normative Framework ANF, Kapitel 7.3 und 8.3).<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-ONF-ANF-V2.jpg\" data-rel=\"lightbox-image-1\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"978\" height=\"545\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-ONF-ANF-V2.jpg\" alt=\"Skizze zeigt, wie die ISO 27041 Anforderungen und Best-Practices unterscheidet , die die Firma insgesamt betreffen, und solche, die sich auf eine spezifische Anwendung beziehen.\" class=\"wp-image-3856159\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-ONF-ANF-V2.jpg 978w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-ONF-ANF-V2-300x167.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-ONF-ANF-V2-768x428.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-ONF-ANF-V2-200x111.jpg 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-ONF-ANF-V2-400x223.jpg 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-ONF-ANF-V2-600x334.jpg 600w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-ONF-ANF-V2-800x446.jpg 800w\" sizes=\"auto, (max-width: 978px) 100vw, 978px\" \/><\/a><figcaption>Abb. 2. Die ISO 27041 unterscheidet Anforderungen und Best Practices, die eine Firma insgesamt betreffen, und solche, die sich auf eine spezifische Anwendung beziehen.<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">a) Organization Normative Framework (ONF)<\/h3>\n\n\n\n<p>Auf der Ebene des ONF sollten Hersteller festlegen:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Die Prozesse mit Bezug zur IT-Sicherheit<\/li><li>Die damit verkn\u00fcpften Rollen und Verantwortlichkeiten<\/li><li>Allgemeine Best Practices<\/li><li>Ma\u00dfnahmenbibliothek (Application Security Control Library \u2013 ASC Library)<\/li><\/ul>\n\n\n\n<p>Die ISO 27034 fordert, diese Festlegungen spezifisch f\u00fcr den Business-, den regulatorischen und den technologischen Kontext der Firma zu bestimmen (s. Abb. 3).<\/p>\n\n\n\n<p>Bei Herstellern von Medizinprodukten z\u00e4hlen zum regulatorischen Kontext die o.g. Verordnungen und Gesetze. Der Business-Kontext k\u00f6nnte z.B. umfassen, dass der Hersteller Produkte mit einer bestimmten Zweckbestimmung entwickelt und als Software as a Service betreibt, wie das beispielsweise viele <a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/digitale-versorgung-gesetz-dvg\/\" target=\"_blank\" rel=\"noreferrer noopener\">DIGA<\/a>-Hersteller tun.<\/p>\n\n\n\n<p>Auch wiederkehrende Anforderungsspezifikationen der Anwendungen k\u00f6nnen bereits auf Ebene des ONF in einem Repository gesammelt werden.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2.jpg\" data-rel=\"lightbox-image-2\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"706\" height=\"444\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2.jpg\" alt=\"Das \u201eOrganization Normative Framework\u201c der ISO 27034 bestimmt allgemeine Festlegungen wie Prozesse und die Bibliothek der \u201eApplication Security Controls\u201c (ASC). Diese Festlegungen sollen die Firmen spezifisch f\u00fcr ihre jeweilige Kontexte treffen.\" class=\"wp-image-3859669\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2.jpg 706w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2-300x189.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2-320x202.jpg 320w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2-700x441.jpg 700w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2-200x126.jpg 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2-400x252.jpg 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2-600x377.jpg 600w\" sizes=\"auto, (max-width: 706px) 100vw, 706px\" \/><\/a><figcaption>Abb. 3: Das <em>Organization Normative Framework<\/em> bestimmt allgemeine Festlegungen wie Prozesse und die Bibliothek der <em>Application Security Controls<\/em> (ASC). Diese Festlegungen sollen die Firmen spezifisch f\u00fcr den jeweiligen Kontext treffen.<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">b) Application Security Control (ASC)<\/h3>\n\n\n\n<p>Die <em>Application Security Controls <\/em>sind ein zentrales Konzept der ISO 27034, das sowohl auf Ebene der Organisation als auch auf Ebene der spezifischen Anwendung zum Einsatz kommt.<\/p>\n\n\n\n<p>Die Norm definiert diese ASC wie folgt:<\/p>\n\n\n\n<div class=\"defbox\">\n<div class=\"definition\"><i class=\"fa fa-exclamation-circle\"><\/i> Definition: <dfn>Application Security Control<\/dfn><\/div>\n\u201e<em>data structure containing a precise enumeration and description of a security activity and its associated verification measurement to be performed at a specific point in an application&#8217;s life cycle<\/em>\u201c\n<div class=\"defsource\">Quelle: ISO 27034-1<\/div>\n<\/div>\n\n\n\n<p>Die ISO 27034-5 beschreibt die Datenstruktur in Form von XML-Schema-Dateien.<\/p>\n\n\n\n<p>Ein ASC umfasst folgende Informationen:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>\n<p><strong>Element <\/strong><\/p>\n<\/td><td>\n<p><strong>Zugeh\u00f6rige Attribute <\/strong><\/p>\n<\/td><td>\n<p><strong>Beispiele<\/strong><\/p>\n<\/td><\/tr><tr><td>\n<p>Identifikation des ASC<\/p>\n<\/td><td> <p>Name; ID; Autor; Datum; Verweise auf andere ASC und auf zugeh\u00f6rige Elemente des Kontexts<\/p> <\/td><td>\n<p>&nbsp;<\/p>\n<\/td><\/tr><tr><td>\n<p>Ziel des ASC<\/p>\n<\/td><td>\n<p>Grund f\u00fcr das ASC; Level of Trust, das erreicht werden soll (s.u.); Bedrohung, die damit beherrscht werden soll; Element der Spezifikation, das damit in Verbindung steht<\/p>\n<\/td><td> <p>Ein ASC kann sich z.B. auf die Anforderung beziehen, dass ein Anwender korrekt authentifiziert wird.<\/p> <p>Target Level of Trust = hoch<\/p> <\/td><\/tr><tr><td>\n<p>Aktivit\u00e4t<\/p>\n<\/td><td>\n<p>Beschreibung der <strong>Aktivit\u00e4t<\/strong>; zu erzielende <strong>Outputs<\/strong>; <strong>Methode<\/strong>, die anzuwenden ist; <strong>Gegenstand<\/strong> der Aktivit\u00e4t; <strong>Zeitpunkt<\/strong> der Aktivit\u00e4t; verantwortliche <strong>Rolle<\/strong> (mit notwendiger Qualifikation); damit verbundene Kosten<\/p>\n<\/td><td> <p>Entwickler soll freigegebene Java-Bibliothek verwenden, um die Session-Verwaltung zu implementieren. Das soll er w\u00e4hrend der Entwicklungsphase tun. Als Ergebniss wird erwartet, dass das Login im Audit-Log gespeichert wird und dass ein Unit-Test diese Funktion \u00fcberpr\u00fcft. Der Aufwand betr\u00e4gt daf\u00fcr 10 Tage.<\/p> <\/td><\/tr><tr><td>\n<p>Verifizierung der ASC<\/p>\n<\/td><td> <p>Auch hier muss angegeben werden, wer, was, wann, mit welchem Objekt, wie (mit welcher Methode) und zu welchen Kosten tut.<\/p> <\/td><td> <p>Die \u00dcberpr\u00fcfung durch einen anderen Entwickler erfolgt anhand der Reviews des Audit-Logs und der dokumentierten Ergebnisse des Unit-Tests . Der Aufwand f\u00fcr die \u00dcberpr\u00fcfung betr\u00e4gt 1 Tag.<\/p> <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Die ISO 15408-3 und die <a href=\"https:\/\/nvlpubs.nist.gov\/nistpubs\/SpecialPublications\/NIST.SP.800-53r4.pdf\">NIST-Special Publication 800-53<\/a> enthalten Tausende dieser ASC. Bereits auf Ebene der Organisation sollen die ASC mit den zuvor genannten Kontexten und mit sogenannten Targeted Level of Trust arbeiten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Targeted Level of Trust<\/h3>\n\n\n\n<p>Die ISO 27034 definiert den <em>Targeted Level of Trust <\/em>wie folgt:<\/p>\n\n\n\n<div class=\"defbox\">\n<div class=\"definition\"><i class=\"fa fa-exclamation-circle\"><\/i> Definition: <dfn>Targeted Level of Trust<\/dfn><\/div>\n\u201e<em>name or label of a set of Application Security Controls deemed necessary by the application owner to lower the risk associated with a specific application to an acceptable (or tolerable) level, following an application security risk analysis<\/em>\u201c\n<div class=\"defsource\">Quelle<\/div>\n<\/div>\n\n\n\n<p>Letztlich darf die Organisation diese Labels selbst festlegen, z.B. \u201e1 bis 5\u201c oder \u201eniedrig\u201c, \u201emittel\u201c und \u201ehoch\u201c. Sie gruppieren ASC, die gemeinsam f\u00fcr ein Trust-Level die notwendigen Aktivit\u00e4ten festlegen.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>\n<p><strong>Kontext<\/strong><\/p>\n<\/td><td>\n<p><strong>Spezifikationen, Einschr\u00e4nkungen<\/strong><\/p>\n<\/td><td>\n<p><strong>Target Level niedrig<\/strong><\/p>\n<\/td><td> <p><strong>Target Level mittel<\/strong><\/p> <\/td><td>\n<p><strong>Target Level hoch<\/strong><\/p>\n<\/td><\/tr><tr><td>\n<p>Business-Kontext<\/p>\n<\/td><td>\n<p>Programmierung Defibrillator<\/p>\n<\/td><td>\n<p>&nbsp;<\/p>\n<\/td><td>\n<p>ASC9<\/p>\n<\/td><td>\n<p>ASC12<\/p>\n<\/td><\/tr><tr><td>\n<p>Regulatorischer Kontext<\/p>\n<\/td><td>\n<p>IEC 60601-1<\/p>\n<\/td><td>\n<p>&nbsp;<\/p>\n<\/td><td>\n<p>ASC22<\/p>\n<\/td><td>\n<p>ASC3<\/p>\n<\/td><\/tr><tr><td>\n<p>Regulatorischer Kontext<\/p>\n<\/td><td>\n<p>DSGVO<\/p>\n<\/td><td>\n<p>ASC11<\/p>\n<\/td><td>\n<p>&nbsp;<\/p>\n<\/td><td>\n<p>ASC3<\/p>\n<\/td><\/tr><tr><td>\n<p>Technischer Kontext<\/p>\n<\/td><td>\n<p>Windows Betriebssystem<\/p>\n<\/td><td>\n<p>&nbsp;<\/p>\n<\/td><td>\n<p>ASC22, ASC23<\/p>\n<\/td><td>\n<p>&nbsp;<\/p>\n<\/td><\/tr><tr><td>\n<p>Applikationen<\/p>\n<\/td><td>\n<p>Login<\/p>\n<\/td><td>\n<p>ASC31<\/p>\n<\/td><td>\n<p>ASC12<\/p>\n<\/td><td>\n<p>&nbsp;<\/p>\n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">d) Referenzmodell f\u00fcr den Application Security Life Cycle<\/h3>\n\n\n\n<p>\u00c4hnlich wie bei einer SOP sollen Hersteller f\u00fcr ihren jeweiligen Kontext, aber noch unabh\u00e4ngig von der konkreten Anwendung, ein Referenzmodell f\u00fcr Prozesse mit Bezug zur IT-Sicherheit festlegen. Diese Prozesse m\u00fcssen alle Phasen des Lebenszyklus der Anwendung umfassen:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Bereitstellung\n<ul>\n<li>Vorbereitung inklusive Erheben der Anforderungen<\/li>\n<li>Outsourcing<\/li>\n<li>Entwicklung<\/li>\n<li>Kauf<\/li>\n<li>\u00dcberf\u00fchrung in den Betrieb<\/li>\n<\/ul>\n<\/li><li>Betrieb\n<ul>\n<li>Nutzung<\/li>\n<li>Archivierung<\/li>\n<li>Au\u00dferbetriebnahme<\/li>\n<\/ul>\n<\/li><\/ul>\n\n\n\n<p>F\u00fcr beide Phasen m\u00fcssen auch die Prozesse beschrieben werden, um die zugeh\u00f6rige Infrastruktur zu \u201emanagen\u201c und alles zu auditieren.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Prozesse.jpg\" data-rel=\"lightbox-image-3\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"835\" height=\"539\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Prozesse.jpg\" alt=\"Abb. 4: Die Prozesse des Referenzmodells m\u00fcssen den ganzen Lebenszyklus abbilden\" class=\"wp-image-3856085\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Prozesse.jpg 835w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Prozesse-300x194.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Prozesse-768x496.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Prozesse-200x129.jpg 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Prozesse-400x258.jpg 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Prozesse-600x387.jpg 600w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Prozesse-800x516.jpg 800w\" sizes=\"auto, (max-width: 835px) 100vw, 835px\" \/><\/a><figcaption>Abb. 4: Die Prozesse des Referenzmodells m\u00fcssen den ganzen Lebenszyklus abbilden<\/figcaption><\/figure>\n\n\n\n<p>Das <em>Organization Normative Framework <\/em>einschlie\u00dflich seiner Prozesse muss selbst einem \u201eMeta-Prozess\u201c unterworfen werden. Dieser hat \u00e4hnlich wie die Managementbewertung in einem ISO-13485-konformen QM-System das Ziel, das System (hier das ONF) kontinuierlich zu verbessern und an ge\u00e4nderte Kontexte anzupassen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">e) Application Normative Framework (ANF)<\/h3>\n\n\n\n<p>Mit dem <em>Application Normative Framework<\/em> (ANF) erzeugen die Organisationen eine applikationsspezifische Instanz des <em>Organization Normative Frameworks<\/em> (ONF). Dazu m\u00fcssen Sie die spezifischen Anforderungen und Umgebungen bzw. Kontexte beschreiben und die Risiken absch\u00e4tzen (s. Abb. 2).<\/p>\n\n\n\n<p>Als Teil des ANF z\u00e4hlen vergleichbar dem ONF:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Kontexte<\/li><li>Prozesse<\/li><li>Akteure, Rollen, Verantwortlichkeiten<\/li><li>ASC mit zugeh\u00f6rigen Targeted Levels of Trust<\/li><\/ul>\n\n\n\n<p>Im Rahmen der Auditierung (Verifizierung, Validierung) nutzen die Auditoren\/Pr\u00fcfer die ASC, die das ANF benennt, und \u00fcberpr\u00fcfen damit sowohl das Projekt als auch das Produkt (s. Abb. 2).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Zusammenfassung &amp; Empfehlungen<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Die St\u00e4rke: ein pr\u00e4zises (Daten-)Modell<\/h3>\n\n\n\n<p>Die Familie der ISO 27034-Normen folgt einem holistischen und logischen Top-down-Ansatz. Beginnend mit pr\u00e4zisen Definitionen betrachtet die Norm den kompletten Kontext.<\/p>\n\n\n\n<p>Davon ausgehend legt sie einen Prozess fest, der zuerst die allgemeinen Spielregeln auf Unternehmensebene, das <em>Organization Normative Framework<\/em> (ONF), bestimmt. Zu diesem Framework z\u00e4hlen <em>Application Security Controls<\/em> (ASC).<\/p>\n\n\n\n<p>Dank einer spezifizierten Datenstruktur lassen sich diese ASC nicht nur wiederverwenden, sondern in einen firmen- und produktspezifischen Zusammenhang stellen.<\/p>\n\n\n\n<p>\u00c4hnlich wie bei QM-Systemen werden aus den allgemeinen Festlegungen spezifische Vorgaben abgeleitet. Bei QM-Systemen w\u00e4ren dies beispielsweise Entwicklungspl\u00e4ne; hier ist es das <em>Application Normative Framework<\/em> (ANF).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Die Schw\u00e4che: zu abstrakt f\u00fcr viele Organisationen<\/h3>\n\n\n\n<p>Doch genau in diesem ebenso systematischen wie komplexen Ansatz liegt auch die Schw\u00e4che: Die ISO 27034 alleine ist den Herstellern nur bedingt n\u00fctzlich. Sie m\u00fcssen den Weg von einer Meta-Ebene hin zum konkreten Produkt gehen. Dabei d\u00fcrfen Sie die Risiken gem\u00e4\u00df ISO 27034 nicht mit den Risiken gem\u00e4\u00df ISO 14971 verwechseln.<\/p>\n\n\n\n<p>Dieser mehrstufige Prozess zur Konkretisierung und zum Mapping auf die spezifische Situation d\u00fcrfte die meisten Firmen, insbesondere die kleineren, \u00fcberfordern. Sie ben\u00f6tigen konkrete und spezifische Anleitungen, was zu tun ist. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Alternativen nutzen<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Leitf\u00e4den des Johner Instituts bzw. der Benannten Stellen<\/h4>\n\n\n\n<p>Hersteller sind besser mit dem <a href=\"https:\/\/github.com\/johner-institut\/it-security-guideline\/\" target=\"_blank\" rel=\"noreferrer noopener\">Leitfaden des Johner Instituts<\/a> bedient, den die Benannten Stellen in adaptierter Form inzwischen \u00fcbernommen haben. Denn er konsolidiert Dutzende regulatorischer Vorgaben und nennt direkt \u00fcberpr\u00fcfbare Anforderungen an die IT-Sicherheit der Produkte und die Gestaltung von Prozessen mit Bezug zur IT-Sicherheit.<\/p>\n\n\n\n<p>Dieser Leitfaden erspart nicht nur das Lesen all dieser Regularien, sondern auch den Transfer von den abstrakten Ebenen einer ISO 27034 in das konkrete Projekt.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Konkretes Prozessmodell<\/h4>\n\n\n\n<p>Damit haben die Hersteller auch einen <em>Secure Development Life Cycle<\/em> implementiert, wie ihn die ISO 27034 als ein m\u00f6gliches Beispiel im informativen Anhang nennt.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Secure-Software-Development-Lifecycle.jpg\" data-rel=\"lightbox-image-4\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"959\" height=\"544\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Secure-Software-Development-Lifecycle.jpg\" alt=\"An den Secure Software Development Lifecycle angelehnter Entwicklungsprozess\" class=\"wp-image-3856092\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Secure-Software-Development-Lifecycle.jpg 959w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Secure-Software-Development-Lifecycle-300x170.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Secure-Software-Development-Lifecycle-768x436.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Secure-Software-Development-Lifecycle-200x113.jpg 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Secure-Software-Development-Lifecycle-400x227.jpg 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Secure-Software-Development-Lifecycle-600x340.jpg 600w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Secure-Software-Development-Lifecycle-800x454.jpg 800w\" sizes=\"auto, (max-width: 959px) 100vw, 959px\" \/><\/a><figcaption>Abb. 5: An den <em>Secure Software Development Lifecycle <\/em>angelehnter Entwicklungsprozess<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">d) Klug mit Auditoren argumentieren<\/h3>\n\n\n\n<p>Wenn ein Auditor z.B. in Bezugnahme auf den BSI-Leitfaden fragt, ob man konform der ISO 27034 arbeitet, bieten sich folgende Argumente an:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Der BSI-Leitfaden schl\u00e4gt die ISO 27034 nur als Beispiel vor. Als anderes Beispiel nennt er die IEC 62304. Damit l\u00e4sst sich die Konformit\u00e4t einfacher nachweisen.<\/li><li>Die ISO 27034 stellt keine konkreten Anforderungen im Sinne von ASC. Vielmehr wende man einen Lebenszyklus an, wie ihn die ISO 27034 im Anhang A skizziert, und nutze die ASC des Leitfadens des Johner Instituts bzw. der Benannten Stellen.<\/li><li>Die Anforderungen an den ONF-Prozess erf\u00fclle man bei ISO 13485-Konformit\u00e4t. Das setzt aber voraus, dass z.B. das Management-Review auch tats\u00e4chlich die IT-Sicherheit der Produkte und der Organisation mit Ihrem Kontext bewertet.<\/li><li>Der regulatorische Kontext sowie der Business-Kontext seien durch die T\u00e4tigkeit der Firma bereits ausreichend scharf beschrieben.<\/li><\/ol>\n\n\n\n<p>Auditoren sei daher empfohlen, keine Zeit mit Diskussionen \u00fcber die ISO 27034 aufzuwenden und daf\u00fcr die Einhaltung der grundlegenden Sicherheits- und Leistungsanforderungen einzufordern. Leider ist deren Mapping auf konkrete und \u00fcberpr\u00fcfbare Anforderungen im MDCG 2019-16 nicht wirklich gelungen. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\">e) H\u00e4nde weg von der ISO 27034-4<\/h3>\n\n\n\n<p>Kaufen Sie nicht den Entwurf der ISO 27034-4. Denn dieser enth\u00e4lt v.a. leere \u00dcberschriften:<\/p>\n\n\n\n<figure class=\"wp-block-image size-medium\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-4-Kapitel.png\" data-rel=\"lightbox-image-5\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"196\" height=\"300\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-4-Kapitel-196x300.png\" alt=\"Screenshot der ISO 27034-4: Au\u00dfer \u00dcberschriften enth\u00e4lt der Normenentwurf stellenweise nichts.\" class=\"wp-image-3856098\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-4-Kapitel-196x300.png 196w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-4-Kapitel-671x1024.png 671w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-4-Kapitel-200x305.png 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-4-Kapitel-400x611.png 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-4-Kapitel-600x916.png 600w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-4-Kapitel.png 755w\" sizes=\"auto, (max-width: 196px) 100vw, 196px\" \/><\/a><figcaption>Abb. 6: Dieser \u201eEntwurf\u201c, der teilweise nicht mehr als \u00dcberschriften enth\u00e4lt, ist kostenpflichtig.<\/figcaption><\/figure>\n\n\n\n<p>Daf\u00fcr Geld zu verlangen, d\u00fcrften viele als fragw\u00fcrdig empfinden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">f) Fazit<\/h3>\n\n\n\n<p>Sie sollten wissen, um was es in der ISO 27034 geht. Mit dem Lesen dieses Artikels haben Sie sich mit vielen wichtigen Konzepten bereits vertraut gemacht.<\/p>\n\n\n\n<p>Wenn Sie \u00fcber ausreichende Ressourcen verf\u00fcgen, dann kaufen, lesen und befolgen Sie die ISO 27034. <\/p>\n\n\n\n<p>Laufen Sie dagegen Gefahr, im akademischen Dickicht stecken zu bleiben? Dann sind Sie besser beraten, wenn Sie die Gesetze studieren und mit dem <a href=\"https:\/\/github.com\/johner-institut\/it-security-guideline\/\" target=\"_blank\" rel=\"noreferrer noopener\">Leitfaden<\/a> bzw. mit einem konkreten Prozessmodell wie dem oben gezeigten sicherzustellen, dass Sie<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>die regulatorischen Anforderungen erf\u00fcllen und<\/li><li>die IT-Sicherheit Ihrer Produkte und<\/li><li>damit die Safety gew\u00e4hrleisten.<\/li><\/ul>\n\n\n\n<p><p>Denn es geht letztlich um eines: um Ihre Patienten.<\/p>\n<div><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/5c66265ee72e4fb0acad934cabaf5ab6\" width=\"1\" height=\"1\" alt=\"\"><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die ISO 27034 tr\u00e4gt den Titel Informationstechnik&nbsp;&#8211; IT Sicherheitsverfahren&nbsp;&#8211; Sicherheit von Anwendungen. Sie wird u.a. im Leitfaden des BSI referenziert. Doch mancher Hersteller fragt sich: Muss ich auch noch diese Norm lesen? Muss ich damit rechnen, dass mein Auditor diese Norm (mit Verweis auf den Stand der Technik) einfordert? Lesen Sie diesen Artikel, bevor Sie&hellip;<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"ISO 27034 zur IT-Sicherheit von Anwendungen: Ist diese Norm n\u00fctzlich oder das Lesen Zeitverschwendung? Der neuste Artikel gibt Antworten und konkrete Tipps.","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"jetpack_post_was_ever_published":false},"categories":[184],"tags":[],"ppma_author":[1210],"class_list":["post-3856029","post","type-post","status-publish","format-standard","hentry","category-iec-62304-medizinische-software","category-184","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.5 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?<\/title>\n<meta name=\"description\" content=\"Die Normenfamilie ISO 27034 macht Vorgaben zum IT Security Appliction Lifecycle. Doch ist sie n\u00fctzlich? Dieser Artikel gibt Antworten &amp; Tipps\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?\" \/>\n<meta property=\"og:description\" content=\"Die Normenfamilie ISO 27034 macht Vorgaben zum IT Security Appliction Lifecycle. Doch ist sie n\u00fctzlich? Dieser Artikel gibt Antworten &amp; Tipps\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2020-12-01T08:00:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-05-24T10:50:06+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-300x146.png\" \/>\n<meta name=\"author\" content=\"Prof. Dr. Christian Johner\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Prof. Dr. Christian Johner\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"14\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/\"},\"author\":{\"name\":\"Prof. Dr. Christian Johner\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/77ee54cd54e987c0b5738d4cb4c80441\"},\"headline\":\"ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?\",\"datePublished\":\"2020-12-01T08:00:00+00:00\",\"dateModified\":\"2024-05-24T10:50:06+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/\"},\"wordCount\":2205,\"commentCount\":4,\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kapitelstruktur-ISO-27034-1-300x146.png\",\"articleSection\":[\"Software &amp; IEC 62304\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/\",\"name\":\"ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kapitelstruktur-ISO-27034-1-300x146.png\",\"datePublished\":\"2020-12-01T08:00:00+00:00\",\"dateModified\":\"2024-05-24T10:50:06+00:00\",\"description\":\"Die Normenfamilie ISO 27034 macht Vorgaben zum IT Security Appliction Lifecycle. Doch ist sie n\u00fctzlich? Dieser Artikel gibt Antworten & Tipps\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kapitelstruktur-ISO-27034-1.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kapitelstruktur-ISO-27034-1.png\",\"width\":2117,\"height\":1031},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/iso-27034\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Software &amp; IEC 62304\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/category\\\/iec-62304-medizinische-software\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/JohnerInstitut\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\",\"https:\\\/\\\/www.youtube.com\\\/user\\\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/77ee54cd54e987c0b5738d4cb4c80441\",\"name\":\"Prof. Dr. Christian Johner\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2023\\\/05\\\/Christian_Johner.jpgab057afc2debeb41aaf55cce7e79e618\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2023\\\/05\\\/Christian_Johner.jpg\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2023\\\/05\\\/Christian_Johner.jpg\",\"caption\":\"Prof. Dr. Christian Johner\"},\"description\":\"Professor Johner ist Experte f\u00fcr die Entwicklung und Zulassung von Medizinprodukten, die Software enthalten oder Software sind. Als Auditor, als Mitglied eines Normen-Komitees, als Ausbilder benannter Stellen sowie als Autor mehrerer B\u00fccher und Leitf\u00e4den tr\u00e4gt der promovierte Physiker zur Weiterentwicklung der regulatorischen Landschaft bei. Davon zeugen auch Leitf\u00e4den, die er f\u00fcr die WHO und die Benannten Stellen entwickelt hat. Sein Unternehmen, das Johner Institut, unterst\u00fctzt Medizinproduktehersteller weltweit beim Aufbau von QM-Systemen, bei der Zulassung und Pr\u00fcfung ihrer Produkte sowie bei der digitalen Transformation regulatorischer Prozesse. Es bietet Weiterbildungen wie E-Learning und Seminare an und \u00fcbernimmt f\u00fcr Hersteller Prozesse wie die \u00dcberwachung der Regularien und der Produkte im Markt. Christian Johner lehrte an mehreren Universit\u00e4ten u.a. an der Hochschule Konstanz, der Universit\u00e4t St. Gallen, der Universit\u00e4t W\u00fcrzburg sowie der Stanford University v.a. Software-Architektur, Software-Qualit\u00e4tssicherung und medizinische Informatik.\",\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/in\\\/christianjohner\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\"],\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/author\\\/christian\\\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?","description":"Die Normenfamilie ISO 27034 macht Vorgaben zum IT Security Appliction Lifecycle. Doch ist sie n\u00fctzlich? Dieser Artikel gibt Antworten & Tipps","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/","og_locale":"de_DE","og_type":"article","og_title":"ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?","og_description":"Die Normenfamilie ISO 27034 macht Vorgaben zum IT Security Appliction Lifecycle. Doch ist sie n\u00fctzlich? Dieser Artikel gibt Antworten & Tipps","og_url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2020-12-01T08:00:00+00:00","article_modified_time":"2024-05-24T10:50:06+00:00","og_image":[{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-300x146.png","type":"","width":"","height":""}],"author":"Prof. Dr. Christian Johner","twitter_misc":{"Verfasst von":"Prof. Dr. Christian Johner","Gesch\u00e4tzte Lesezeit":"14\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/"},"author":{"name":"Prof. Dr. Christian Johner","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/77ee54cd54e987c0b5738d4cb4c80441"},"headline":"ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?","datePublished":"2020-12-01T08:00:00+00:00","dateModified":"2024-05-24T10:50:06+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/"},"wordCount":2205,"commentCount":4,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-300x146.png","articleSection":["Software &amp; IEC 62304"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/","url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/","name":"ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1-300x146.png","datePublished":"2020-12-01T08:00:00+00:00","dateModified":"2024-05-24T10:50:06+00:00","description":"Die Normenfamilie ISO 27034 macht Vorgaben zum IT Security Appliction Lifecycle. Doch ist sie n\u00fctzlich? Dieser Artikel gibt Antworten & Tipps","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/Kapitelstruktur-ISO-27034-1.png","width":2117,"height":1031},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Software &amp; IEC 62304","item":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},{"@type":"ListItem","position":3,"name":"ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/77ee54cd54e987c0b5738d4cb4c80441","name":"Prof. Dr. Christian Johner","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpgab057afc2debeb41aaf55cce7e79e618","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpg","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpg","caption":"Prof. Dr. Christian Johner"},"description":"Professor Johner ist Experte f\u00fcr die Entwicklung und Zulassung von Medizinprodukten, die Software enthalten oder Software sind. Als Auditor, als Mitglied eines Normen-Komitees, als Ausbilder benannter Stellen sowie als Autor mehrerer B\u00fccher und Leitf\u00e4den tr\u00e4gt der promovierte Physiker zur Weiterentwicklung der regulatorischen Landschaft bei. Davon zeugen auch Leitf\u00e4den, die er f\u00fcr die WHO und die Benannten Stellen entwickelt hat. Sein Unternehmen, das Johner Institut, unterst\u00fctzt Medizinproduktehersteller weltweit beim Aufbau von QM-Systemen, bei der Zulassung und Pr\u00fcfung ihrer Produkte sowie bei der digitalen Transformation regulatorischer Prozesse. Es bietet Weiterbildungen wie E-Learning und Seminare an und \u00fcbernimmt f\u00fcr Hersteller Prozesse wie die \u00dcberwachung der Regularien und der Produkte im Markt. Christian Johner lehrte an mehreren Universit\u00e4ten u.a. an der Hochschule Konstanz, der Universit\u00e4t St. Gallen, der Universit\u00e4t W\u00fcrzburg sowie der Stanford University v.a. Software-Architektur, Software-Qualit\u00e4tssicherung und medizinische Informatik.","sameAs":["https:\/\/www.linkedin.com\/in\/christianjohner\/","https:\/\/x.com\/christianjohner"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christian\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":12749,"url":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/iso-14969\/","url_meta":{"origin":3856029,"position":0},"title":"ISO 14969 oder ISO 13485: Welche Norm Ihre Auditoren wirklich nutzen","author":"Prof. Dr. Christian Johner","date":"17. Februar 2016","format":false,"excerpt":"ISO 14969? Nie geh\u00f6rt? Sollten Sie aber. Denn an dieser Norm orientieren sich Ihre Auditoren beim ISO 13485-Audit. Vorsicht! Beachten Sie, dass die ISO 14969 eine Norm ist, die sich auf die ISO 13485:2003 bezieht. F\u00fcr die ISO 13485:2016 nutzen Sie bitte den Practical Guide der ISO. ISO 14969: Um\u2026","rel":"","context":"In &quot;Qualit\u00e4tsmanagement &amp; ISO 13485&quot;","block_context":{"text":"Qualit\u00e4tsmanagement &amp; ISO 13485","link":"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/"},"img":{"alt_text":"ISO 14969: Anwendung der ISO 13485","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/02\/ISO-14969-1.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/02\/ISO-14969-1.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/02\/ISO-14969-1.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/02\/ISO-14969-1.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":594006,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/","url_meta":{"origin":3856029,"position":1},"title":"ISO\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten","author":"Christian Rosenzweig","date":"15. Dezember 2016","format":false,"excerpt":"Die ISO\/IEC 15408-1 tr\u00e4gt den Titel \u201eInformation technology \u2014 Security techniques \u2014 Evaluation criteria for IT security \u2014 Part 1: Introduction and general model\u201c. Sie beschreibt ganz allgemein, wie man bei der Bewertung der IT-Sicherheit z.B. von Produkten vorgehen soll. Die konkreten Hinweise, wie gepr\u00fcft werden soll, finden sich in\u2026","rel":"","context":"In &quot;Risikomanagement &amp; ISO 14971&quot;","block_context":{"text":"Risikomanagement &amp; ISO 14971","link":"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/"},"img":{"alt_text":"ISO\/IEC 15408: Konzept auf Klassen, Familien, Komponenten und Elementen","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":3577833,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/","url_meta":{"origin":3856029,"position":2},"title":"Wie Sie die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA erf\u00fcllen","author":"Claudia Schmitt","date":"13. M\u00e4rz 2023","format":false,"excerpt":"Die Anforderungen an die Datensicherheit und den Datenschutz von DiGA (Digitalen Gesundheitsanwendungen) gehen weit \u00fcber den Fragenkatalog der DiGAV hinaus. Unz\u00e4hlige weitere Vorschriften machen es den Herstellern (nicht nur) digitaler Gesundheitsanwendungen immer schwerer, den \u00dcberblick im regulatorischen Dschungel zu bewahren. Dabei sollten Hersteller m\u00f6glichst keine Anforderungen \u00fcbersehen. Andernfalls drohen Probleme\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":11556,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-9126-und-iso-25010\/","url_meta":{"origin":3856029,"position":3},"title":"ISO 25010 und ISO 9126","author":"Prof. Dr. Christian Johner","date":"10. August 2015","format":false,"excerpt":"Die ISO 9126 ist eine nicht-harmonisierte Norm, die Qualit\u00e4tseigenschaften\u00a0f\u00fcr Software klassifiziert. \u00a0Inhalts\u00fcbersicht Qualit\u00e4tseigenschaften gem\u00e4\u00df ISO 9126 \u00bb Kritik an der ISO 9126 \u00bb Qualit\u00e4tseigenschaften gem\u00e4\u00df ISO 25010 \u00bb Zusammenspiel IEC 62304 \u00bb Software-Qualit\u00e4tseigenschaften gem\u00e4\u00df ISO 9126 Die ISO 9126 eignet sich, um die Vollst\u00e4ndigkeit der System-Anforderungen zu pr\u00fcfen und zu\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"ISO 9126","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/fileadmin\/user_upload\/_imported\/ISO9126_02.png?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":3644365,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/post-market-surveillance-plan-iso-20416\/","url_meta":{"origin":3856029,"position":4},"title":"Post-Market Surveillance Plan (PMS-Plan) konform ISO TR 20416","author":"Dr. Nadine Jurrmann","date":"21. Juli 2020","format":false,"excerpt":"Mit dem Post-Market-Surveillance-Plan (PMS-Plan) wollen Medizinproduktehersteller zwei (m\u00f6glicherweise) gegens\u00e4tzliche Ziele erreichen: Einerseits m\u00f6chten und m\u00fcssen sie die gesetzlichen Anforderungen erf\u00fcllen und die Sicherheit ihrer Produkte maximieren. Anderseits wollen sie sich nur soviel Arbeit machen, wie sie auf Dauer wirklich leisten k\u00f6nnen. Doch kann dieser Spagat gelingen? Gibt die ISO 20416\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/07\/Zusammenspiel-ISO-20416-andere-Normen-compressor-1.png?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":1480148,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/","url_meta":{"origin":3856029,"position":5},"title":"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus","author":"Christian Rosenzweig","date":"6. November 2018","format":false,"excerpt":"Die IEC 62443-4-1 ist Teil einer Normenfamilie zur \u201eIT-Sicherheit f\u00fcr industrielle Automatisierungssysteme\u201c. Dieser Artikel stellt Ihnen den Teil 4-1 vor, der Anforderungen an den Lebenszyklus (Entwicklung, Wartung) von sicheren Produkten stellt. Er untersucht auch, ob diese Norm f\u00fcr Hersteller von Medizinprodukten sinnvoll anwendbar ist. 1. Die Normenfamilie IEC 62443 a)\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"Familie der IEC 62443 Normen","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png?resize=700%2C400&ssl=1 2x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-gb81","jetpack_sharing_enabled":true,"authors":[{"term_id":1210,"user_id":1,"is_guest":0,"slug":"christian","display_name":"Prof. Dr. Christian Johner","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpg","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpg"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/3856029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=3856029"}],"version-history":[{"count":25,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/3856029\/revisions"}],"predecessor-version":[{"id":5378781,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/3856029\/revisions\/5378781"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=3856029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=3856029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=3856029"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=3856029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}