{"id":594006,"date":"2016-12-15T09:00:14","date_gmt":"2016-12-15T08:00:14","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=594006"},"modified":"2023-02-28T14:00:36","modified_gmt":"2023-02-28T13:00:36","slug":"iso-iec-15408","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/","title":{"rendered":"ISO\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten"},"content":{"rendered":"\n<p>Die <strong>ISO\/IEC 15408-1<\/strong> tr\u00e4gt den Titel <em>\u201eInformation technology \u2014 Security techniques \u2014 Evaluation criteria for IT security \u2014 Part 1: Introduction and general model\u201c<\/em>. Sie beschreibt ganz allgemein, wie man bei der Bewertung der IT-Sicherheit z.B. von Produkten vorgehen soll. Die konkreten Hinweise, wie gepr\u00fcft werden soll, finden sich in dem zweiten und dritten Teil der ISO\/IEC 15408.<\/p>\n\n\n\n<p>Dieser Artikel verschafft Ihnen einen \u00dcberblick \u00fcber die Normenfamilie. Er gibt Medizinprodukteherstellern Hinweise, wie sie die Norm nutzen k\u00f6nnen, um beispielsweise die Anforderungen der ISO 13485:2016, der IEC 62304 und der FDA bez\u00fcglich IT-Sicherheit bzw. Cybersecurity zu erf\u00fcllen.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\" id=\"intro\">ISO\/IEC 15408-1: Um was es geht<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Anwendungsbereich: Produkt versus Organisation<\/h3>\n\n\n\n<p>Die deutsche \u00dcbersetzung der Norm lautet: \u201eInformationstechnik &#8211; IT-Sicherheitsverfahren &#8211; Evaluationskriterien f\u00fcr IT-Sicherheit &#8211; Teil 1: Einf\u00fchrung und allgemeines Modell\u201c. Damit wird klar, um was es geht: Um Kriterien, mit denen man die IT-Sicherheit von <strong>Produkten<\/strong> aus Software und Hardware bewerten soll.<\/p>\n\n\n\n<p>Diese Bewertung kann sich auf Produkte, Teile von Produkten oder einen Satz von Produkten beziehen wie z.B.:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Stand-alone Software-Anwendung<\/li>\n\n\n\n<li>Betriebssystem<\/li>\n\n\n\n<li>Kombination aus Software-Anwendung und Betriebssystem<\/li>\n\n\n\n<li>Kombination aus Software-Anwendung, Betriebssystem und Workstation<\/li>\n\n\n\n<li>LAN inklusive aller Knotenpunkte (IT-Systeme, Netzwerkkomponenten, Ger\u00e4te)<\/li>\n\n\n\n<li>Smartcard mit IC<\/li>\n<\/ul>\n\n\n\n<p>Diese \u201eObjekte\u201c nennt die Norm die TOE (Target of Evaluation).<\/p>\n\n\n\n<p>Mit dem Fokus auf diese TOE (Produkte, Komponenten und Systeme) grenzt sich die Norm von der ISO 27001 ab. Letztere Norm beschreibt die Anforderungen an ein IT-Sicherheitsmanagementsystem einer <strong>Organisation<\/strong>. Beide Normen eint das Ziel: IT-Sicherheit herzustellen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Kriterien versus Methoden zur Bewertung der IT-Sicherheit<\/h3>\n\n\n\n<p>Die ISO\/IEC15408-1 nennt Kriterien zur Bewertung der IT-Sicherheit. Sie gibt aber keine Methoden f\u00fcr diese Bewertung vor. Beispielsweise fordert sie, dass spezifiziert und gepr\u00fcft werden muss, wie sich ein System nach einer bestimmten Anzahl ung\u00fcltiger Anmeldeversuche verhalten muss. Sie legt aber nicht fest, wie diese Pr\u00fcfung zu erfolgen hat (z.B. automatisiert).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Beschr\u00e4nkungen<\/h3>\n\n\n\n<p>IT-Sicherheit l\u00e4sst sich nur teilweise durch die technische Gestaltung der IT-Systeme erreichen. Meist sind zus\u00e4tzliche organisatorische Ma\u00dfnahmen notwendig. Auf die Bewertung dieser Ma\u00dfnahmen geht die ISO\/IEC 15408-1 nicht ein.<\/p>\n\n\n\n<p>Ebenso f\u00fchlt sich die Norm nicht f\u00fcr Angriffe anwendbar, welche die elektromagnetische Ausstrahlung der Produkte missbr\u00e4uchlich ausnutzen.<\/p>\n\n\n\n<p>Die ISO\/IEC15408-1 m\u00f6chte zwar Hilfestellung beim Bewerten der IT-Sicherheit geben, aber nicht f\u00fcr die Zertifizierung.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"zielgruppe\">An wen sich die ISO\/IEC 15408-1 wendet<\/h2>\n\n\n\n<p>Die Norm wendet sich an folgende Gruppen, die die IT-Sicherheit bewerten m\u00fcssen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verbraucher<\/li>\n\n\n\n<li>Entwickler<\/li>\n\n\n\n<li>\u201eBewerter\u201c (z.B. bei Pr\u00fcforganisationen)<\/li>\n\n\n\n<li>Auditoren, Akkreditierungsstellen<\/li>\n\n\n\n<li>IT-Sicherheitsbeauftragte<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">\u00dcberblick \u00fcber die Normen-Familie<\/h2>\n\n\n\n<p>Die ISO\/IEC 15408-1 umfasst 9 Kapitel und 74 Seiten (s. Abb. 1). Fast die H\u00e4lfte dient der Definition von 148 Begriffen und 22 Akronymen.<\/p>\n\n\n\n<figure class=\"wp-block-image alignnone\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1.png\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"177\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1-300x177.png\" alt=\"ISO\/IEC 15408-1: Kapitel\u00fcbersicht\" class=\"wp-image-594054\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1-300x177.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1-768x453.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1-1024x604.png 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1-150x88.png 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1.png 1075w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 1: ISO\/IEC 15408-1: Kapitel\u00fcbersicht (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<p>Der erste Teil des Standards gibt eine Einf\u00fchrung und erkl\u00e4rt \u201enur\u201c allgemeine Prinzipien. Die konkreten Anforderungen, wie die IT-Security bewertet werden kann, beschreiben die jeweils mehrere 100 Seiten umfassenden Teile ISO\/IEC 15408-2 und ISO\/IEC 15408-3.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"konzept\">Konzept<\/h2>\n\n\n\n<p>Die Teile 2 und 3 organisieren die Anforderungen in Klassen, Familien, Komponenten und funktionalen Elementen (s. Abb. 2).<\/p>\n\n\n\n<figure class=\"wp-block-image alignnone\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept.png\" data-rel=\"lightbox-image-1\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"863\" height=\"273\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept.png\" alt=\"ISO\/IEC 15408: Konzept auf Klassen, Familien, Komponenten und Elementen\" class=\"wp-image-594043\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept.png 863w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept-300x95.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept-768x243.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept-150x47.png 150w\" sizes=\"auto, (max-width: 863px) 100vw, 863px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 2: Die ISO\/IEC 15408 gruppiert Sicherheitsanforderungen in Klassen, Familien, Komponenten und Elemente. (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Klassen<\/h3>\n\n\n\n<p>Eine Klasse ist die h\u00f6chste Gruppierungsebene. Beispielsweise gibt es eine Klasse \u201eFDP\u201c mit dem Namen \u201eUser Data Protection\u201c. Wie jede Klasse enth\u00e4lt auch diese einen kurzen einf\u00fchrenden Text.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Familien und Familiengruppen<\/h3>\n\n\n\n<p>Die n\u00e4chste Gruppierungsebene sind die Familien. In unserem Beispiel \u201eUser Data Protection\u201c gibt es acht Familien wie beispielsweise:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>FDP_ACC \u201eAccess Control Policy\u201c<\/li>\n\n\n\n<li>FDP_IFC \u201eInformation Flow Control Policy\u201c<\/li>\n\n\n\n<li>FDP_ACF \u201eAccess Control Functions\u201c<\/li>\n<\/ul>\n\n\n\n<p>Um die \u00dcbersichtlichkeit zu erh\u00f6hen, sind manche Familien in Gruppen eingeteilt. So z\u00e4hlen die beiden erstgenannten Familien zur Gruppe \u201euser data protection security function policies\u201c und die dritte Familie zur Gruppe \u201eforms of user data protection\u201c.<\/p>\n\n\n\n<p>Die Familien umfassen zwei weitere Attribute:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Management: Hinweise f\u00fcr das Formulieren von Sicherheitsanforderungen (Security Targets).<\/li>\n\n\n\n<li>Audit: Hinweise zum Audit<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Komponenten<\/h3>\n\n\n\n<p>Jede dieser Familien umfasst eine oder mehrere Komponenten. Komponenten k\u00f6nnen von weiteren Komponenten abh\u00e4ngen und in verschiedenen Familien genutzt werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Funktionale Elemente<\/h3>\n\n\n\n<p>Jede Komponente umfasst ein oder mehrere funktionale Elemente. Diese stellen die granularsten Sicherheitsanforderungen dar. Bei Pr\u00fcfungen einer Komponente m\u00fcssen alle Elemente betrachtet werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Zusammenfassung und durchg\u00e4ngiges Beispiel<\/h3>\n\n\n\n<p>Die Norm definiert eine Hierarchie von Sicherheitsanforderungen, deren oberste Ebene die Klassen sind. Das folgende Beispiel illustriert die Hierarchie am Beispiel der Klasse FIA:<\/p>\n\n\n\n<p>Die <strong>Klasse<\/strong> FIA \u201eIdentification and authentication\u201c umfasst sechs Familien:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>FIA_AFL \u201eAuthentication failures\u201c<\/li>\n\n\n\n<li>FIA_ATD \u201eUser Attribute Definition\u201c<\/li>\n\n\n\n<li>FIA_SOS \u201eSpecification of Secrets\u201c<\/li>\n\n\n\n<li>FIA_UAU \u201eUser Authentication\u201c<\/li>\n\n\n\n<li>FIA_UID \u201eUser Identification\u201c<\/li>\n\n\n\n<li>FIA_USB \u201eUser-subject Binding\u201c<\/li>\n<\/ol>\n\n\n\n<p>Die <strong>Familie<\/strong> FIA_AFL \u201eAuthentication failures\u201c umfasst nur eine <strong>Komponente<\/strong> FIA_AFL.1. Diese Komponente hei\u00dft \u201eAuthentication failure handling\u201c. Sie hat eine Abh\u00e4ngigkeit zur Komponente \u201eFIA_UAU.1 Timing of authentication\u201c.<\/p>\n\n\n\n<p>Die Komponente FIA_AFL.1 hat zwei <strong>funktionale Elemente<\/strong>:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>1.1 \u201eThe TSF shall detect when [assignment: number] unsuccessful authentication attempts occur related to [assignment: list of authentication events].\u201c<\/li>\n\n\n\n<li>1.2 \u201eWhen the defined number of unsuccessful authentication attempts has been met or surpassed, the TSF shall [assignment: list of actions].\u201c<\/li>\n<\/ol>\n\n\n\n<p>Dabei steht TSF f\u00fcr TOE Security Function und TOE wiederum f\u00fcr Target of Evaluation.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tailoring\">\u201eTailoring\u201c<\/h2>\n\n\n\n<p>Die ISO\/IEC 15408-2 und ISO\/IEC 15408-3 formulieren konkrete Anforderungen, welche die Hersteller direkt \u00fcbernehmen oder auf die konkrete Situation anpassen k\u00f6nnen. Die ISO\/IEC 15408-1 unterscheidet zwei Konzepte zur Anpassung: Die Auswahl und die Anpassung der Pr\u00fcfkriterien.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1. M\u00f6glichkeit: Auswahl der Pr\u00fcfkriterien<\/h3>\n\n\n\n<p>Pr\u00fcfkriterien k\u00f6nnen durch \u201ePackages\u201c und durch \u201eProtection Profiles\u201c kombiniert werden.<\/p>\n\n\n\n<p>Beispiele f\u00fcr <strong>Packages<\/strong> sind die sogenannten \u201eEvaluation Assurance Levels\u201c (EAL). Diese geben an, welche Komponenten erfolgreich getestet sein m\u00fcssen, um ein bestimmtes EAL zu erreichen.<\/p>\n\n\n\n<p>Die <strong>Protection Profiles<\/strong> sollen passende S\u00e4tze an Pr\u00fcfkriterien f\u00fcr gleichartige Produkte, Komponenten oder Systeme&nbsp; definieren. Beispielsweise lie\u00dfe sich f\u00fcr alle Firewalls ein Protection Profile festlegen. Dazu m\u00fcssen die Sicherheitsziele und Sicherheitsprobleme systematisch erhoben werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2. M\u00f6glichkeit: Anpassung der Pr\u00fcfkriterien<\/h3>\n\n\n\n<p>Auch die Pr\u00fcfkriterien selbst k\u00f6nnen und m\u00fcssen teilweise an die konkrete Situation angepasst werden. Z.B. l\u00e4sst das o.g. Kriterium (\u201eElement\u201c) FIA_AFL.1.1 die Anzahl der Fehlversuche bei einer Anmeldung offen, nach denen das System reagieren muss. Auch die Form der Reaktion spezifiziert das Element nicht.<\/p>\n\n\n\n<p>Die ISO\/IEC 15408-1 erlaubt (mit starken Einschr\u00e4nkungen) vier&nbsp;Formen der Anpassungen:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Zuweisung bestimmter Parameter (wie im eben genannten Beispiel)<\/li>\n\n\n\n<li>Wiederholte Anwendung des Pr\u00fcfkriteriums (mit Varianten)<\/li>\n\n\n\n<li>Auswahl aus einer Liste, welche die Norm vorgibt<\/li>\n\n\n\n<li>Hinzuf\u00fcgen und damit Versch\u00e4rfen von Anforderungen.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"medizinprodukte\">ISO\/IEC 15408-1 f\u00fcr Medizinproduktehersteller?!<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Anwendbarkeit<\/h3>\n\n\n\n<p>Medizinproduktehersteller k\u00f6nnen die ISO\/IEC 15408-1 beispielsweise nutzen, um die IT-Sicherheit zu bewerten f\u00fcr<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Medizinger\u00e4te<\/li>\n\n\n\n<li>Medical Apps<\/li>\n\n\n\n<li>zugekaufte \u201eStandardkomponenten\u201c<\/li>\n\n\n\n<li>Komponenten, die Entwicklungsdienstleister zuliefern<\/li>\n\n\n\n<li>SOUP<\/li>\n\n\n\n<li>Medizinische IT-Netzwerke in Krankenh\u00e4usern<\/li>\n\n\n\n<li>Systeme aus Medizinprodukten und Nicht-Medizinprodukten<\/li>\n\n\n\n<li>Systeme aus Medizinger\u00e4ten und IT-Systemen<\/li>\n\n\n\n<li>Kombinationen von Medizinprodukten untereinander und mit Zubeh\u00f6r<\/li>\n\n\n\n<li>Verschiedene Konfigurationen ein und des gleichen Medizinproduktes<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Optionen<\/h3>\n\n\n\n<p>Die Normenfamilie ISO\/IEC 15408 bietet Medizinprodukteherstellern viele M\u00f6glichkeiten:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Teile zwei und drei als Checkliste bei der Entwicklung nutzen, um die Vollst\u00e4ndigkeit der IT-Security-bezogenen Anforderungen zu pr\u00fcfen<\/li>\n\n\n\n<li>Diese Checkliste f\u00fcr die Verifizierung der Produkte, Systeme und Komponenten einsetzen<\/li>\n\n\n\n<li>Protection Profile definieren, um Anforderungen an Lieferanten zu spezifizieren<\/li>\n\n\n\n<li>Protection Profile definieren, um Sicherheitsanforderungen an Ger\u00e4teklassen einheitlich und konsistent zu spezifizieren und zu pr\u00fcfen.<\/li>\n<\/ol>\n\n\n\n<div class=\"wp-block-group has-white-color has-ji-banner-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-301020a0 wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--50);padding-right:var(--wp--preset--spacing--50);padding-bottom:var(--wp--preset--spacing--50);padding-left:var(--wp--preset--spacing--50)\">\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-vertically-aligned-center is-content-justification-center is-layout-constrained wp-block-column-is-layout-constrained\" style=\"flex-basis:40%\">\n<p class=\"has-large-font-size\">\u00dcberlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:25%\">\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\"><img loading=\"lazy\" decoding=\"async\" width=\"32\" height=\"32\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\" alt=\"\" class=\"wp-image-5367787\" style=\"width:150px;height:150px\"\/><\/a><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-vertically-aligned-center is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:35%\">\n<p>Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-left is-layout-flex wp-container-core-buttons-is-layout-fc4fd283 wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-white-red\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/www.johner-institut.de\/produktpruefungen\/pruefung-der-it-sicherheit\">Weitere Infos finden Sie hier<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Weitere relevante Normen<\/h2>\n\n\n\n<p>Die ISO\/IEC 15408-1 sieht sich im Zusammenspiel mit folgenden Normen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>ISO\/IEC 15408-2 (Funktionale Sicherheitsanforderungen): Stellt und organisiert einen Satz an funktionalen Komponenten, die man als Templates nutzen kann.<\/li>\n\n\n\n<li>ISO\/IEC 15408-3 (Anforderungen an die Vertrauensw\u00fcrdigkeit)<\/li>\n\n\n\n<li>ISO\/IEC 18045: Bietet basierend auf der ISO 15408-Familie konkrete Methoden zur Bewertung der IT-Sicherheit an.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Die ISO\/IEC 15408-1 tr\u00e4gt den Titel \u201eInformation technology \u2014 Security techniques \u2014 Evaluation criteria for IT security \u2014 Part 1: Introduction and general model\u201c. Sie beschreibt ganz allgemein, wie man bei der Bewertung der IT-Sicherheit z.B. von Produkten vorgehen soll. Die konkreten Hinweise, wie gepr\u00fcft werden soll, finden sich in dem zweiten und dritten Teil&hellip;<\/p>\n","protected":false},"author":74,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[1103,1114],"tags":[1126],"ppma_author":[1213],"class_list":["post-594006","post","type-post","status-publish","format-standard","hentry","category-iso-14971-risikomanagement","category-systems-engineering","tag-it-security","category-1103","category-1114","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.3 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>ISO\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten<\/title>\n<meta name=\"description\" content=\"Die Normenfamilie ISO\/IEC 15408 definiert Kriterien, mit denen die IT-Sicherheit bewertet werden kann - auch die von Medizinprodukten. Lesen Sie wie.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"ISO\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten\" \/>\n<meta property=\"og:description\" content=\"Die Normenfamilie ISO\/IEC 15408 definiert Kriterien, mit denen die IT-Sicherheit bewertet werden kann - auch die von Medizinprodukten. Lesen Sie wie.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2016-12-15T08:00:14+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2023-02-28T13:00:36+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1-300x177.png\" \/>\n<meta name=\"author\" content=\"Christian Rosenzweig\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Christian Rosenzweig\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"7\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/\"},\"author\":{\"name\":\"Christian Rosenzweig\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\"},\"headline\":\"ISO\\\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten\",\"datePublished\":\"2016-12-15T08:00:14+00:00\",\"dateModified\":\"2023-02-28T13:00:36+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/\"},\"wordCount\":1277,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2016\\\/11\\\/ISO-IEC-15408-1-300x177.png\",\"keywords\":[\"IT Security\"],\"articleSection\":[\"Risikomanagement &amp; ISO 14971\",\"Systems Engineering bei Medizinprodukten\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/\",\"name\":\"ISO\\\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2016\\\/11\\\/ISO-IEC-15408-1-300x177.png\",\"datePublished\":\"2016-12-15T08:00:14+00:00\",\"dateModified\":\"2023-02-28T13:00:36+00:00\",\"description\":\"Die Normenfamilie ISO\\\/IEC 15408 definiert Kriterien, mit denen die IT-Sicherheit bewertet werden kann - auch die von Medizinprodukten. Lesen Sie wie.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2016\\\/11\\\/ISO-IEC-15408-1.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2016\\\/11\\\/ISO-IEC-15408-1.png\",\"width\":1075,\"height\":634,\"caption\":\"ISO\\\/IEC 15408-1: Kapitel\u00fcbersicht\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iso-iec-15408\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Systems Engineering bei Medizinprodukten\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/category\\\/systems-engineering\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"ISO\\\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/JohnerInstitut\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\",\"https:\\\/\\\/www.youtube.com\\\/user\\\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\",\"name\":\"Christian Rosenzweig\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"caption\":\"Christian Rosenzweig\"},\"description\":\"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.\",\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/in\\\/christian-rosenzweig-150810134\\\/\"],\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/author\\\/christianrosenzweig\\\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"ISO\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten","description":"Die Normenfamilie ISO\/IEC 15408 definiert Kriterien, mit denen die IT-Sicherheit bewertet werden kann - auch die von Medizinprodukten. Lesen Sie wie.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/","og_locale":"de_DE","og_type":"article","og_title":"ISO\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten","og_description":"Die Normenfamilie ISO\/IEC 15408 definiert Kriterien, mit denen die IT-Sicherheit bewertet werden kann - auch die von Medizinprodukten. Lesen Sie wie.","og_url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2016-12-15T08:00:14+00:00","article_modified_time":"2023-02-28T13:00:36+00:00","og_image":[{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1-300x177.png","type":"","width":"","height":""}],"author":"Christian Rosenzweig","twitter_misc":{"Verfasst von":"Christian Rosenzweig","Gesch\u00e4tzte Lesezeit":"7\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/"},"author":{"name":"Christian Rosenzweig","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568"},"headline":"ISO\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten","datePublished":"2016-12-15T08:00:14+00:00","dateModified":"2023-02-28T13:00:36+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/"},"wordCount":1277,"commentCount":0,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1-300x177.png","keywords":["IT Security"],"articleSection":["Risikomanagement &amp; ISO 14971","Systems Engineering bei Medizinprodukten"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/","url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/","name":"ISO\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1-300x177.png","datePublished":"2016-12-15T08:00:14+00:00","dateModified":"2023-02-28T13:00:36+00:00","description":"Die Normenfamilie ISO\/IEC 15408 definiert Kriterien, mit denen die IT-Sicherheit bewertet werden kann - auch die von Medizinprodukten. Lesen Sie wie.","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-1.png","width":1075,"height":634,"caption":"ISO\/IEC 15408-1: Kapitel\u00fcbersicht"},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Systems Engineering bei Medizinprodukten","item":"https:\/\/www.johner-institut.de\/blog\/category\/systems-engineering\/"},{"@type":"ListItem","position":3,"name":"ISO\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568","name":"Christian Rosenzweig","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","caption":"Christian Rosenzweig"},"description":"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.","sameAs":["https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":976141,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/aami-tir-57-it-security-medizinprodukte\/","url_meta":{"origin":594006,"position":0},"title":"AAMI TIR 57: IT-Sicherheit und Risikomanagement","author":"Christian Rosenzweig","date":"24. Oktober 2017","format":false,"excerpt":"Der TIR 57 ist ein \u201eTechnical Information Report\u201c der amerikanischen AAMI. Er m\u00f6chte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erf\u00fcllen. TIR 57: Zusammenfassung f\u00fcr eilige Leser Der AAMI TIR 57 ist\u2026","rel":"","context":"In &quot;Risikomanagement &amp; ISO 14971&quot;","block_context":{"text":"Risikomanagement &amp; ISO 14971","link":"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/"},"img":{"alt_text":"Schutzziele TIR 57 versus ISO 14971","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/10\/TIR-57-versus-ISO-14971.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":4147999,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-iec-ieee-15289-software-dokumentation\/","url_meta":{"origin":594006,"position":1},"title":"ISO\/IEC\/IEEE 15289: Endlich Klarheit bei der Software-Dokumentation?","author":"Prof. Dr. Christian Johner","date":"15. Juni 2021","format":false,"excerpt":"Die ISO\/IEC\/IEEE 15289 tr\u00e4gt den Titel \u201eSystems and software engineering \u2014 Content of life-cycle information items (documentation)\u201c. Wie der Titel vermuten l\u00e4sst, gibt sie Vorgaben zum Inhalt von Software-Dokumentationen. Damit eignet sich die Norm, um bei der Umsetzung anderer Normen wie der ISO\/IEC\/IEEE 12207:2017 und der IEC 62304 zu helfen,die\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/06\/ISO-15289-ISO-12207-IEC-62304.jpeg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/06\/ISO-15289-ISO-12207-IEC-62304.jpeg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/06\/ISO-15289-ISO-12207-IEC-62304.jpeg?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":714404,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/","url_meta":{"origin":594006,"position":2},"title":"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten","author":"Christian Rosenzweig","date":"13. M\u00e4rz 2023","format":false,"excerpt":"ISO 29147 \u2013 noch nie geh\u00f6rt? Dabei ist diese Norm gerade f\u00fcr Hersteller von Medizinprodukten sehr hilfreich: Sie sollten sich die ISO 29147 zunutze machen, auch um regulatorische Anforderungen zu erf\u00fcllen. Welche Anforderungen das sind\u00a0und wie Sie die ISO 29147 dabei einbeziehen k\u00f6nnen, lesen Sie in diesem Beitrag. 1. \u00dcber\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"Prozess nach ISO 29147","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":5380672,"url":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/iso-iec-42001\/","url_meta":{"origin":594006,"position":3},"title":"ISO\/IEC 42001: KI-Managementsysteme","author":"Claudia Volk","date":"25. Februar 2025","format":false,"excerpt":"Die ISO\/IEC 42001 tr\u00e4gt den Titel \u201eInformation technology \u2013 Artificial intelligence \u2013 Management system\u201c. Erste Medizinproduktehersteller haben sich auf den Weg gemacht, sich nach dieser Norm zertifizieren zu lassen. Doch sind die Aufw\u00e4nde daf\u00fcr gerechtfertigt? Hilft die ISO\/IEC 42001 dabei, die Anforderungen des AI Act zu erf\u00fcllen? Antworten gibt dieser\u2026","rel":"","context":"In &quot;Qualit\u00e4tsmanagement &amp; ISO 13485&quot;","block_context":{"text":"Qualit\u00e4tsmanagement &amp; ISO 13485","link":"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":3788769,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/","url_meta":{"origin":594006,"position":4},"title":"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?","author":"Katrin Schnetter","date":"23. Mai 2024","format":false,"excerpt":"Die ISO 27001 und die Informationssicherheitsmanagementsysteme (ISMS) werden bei Medizinprodukteherstellern immer h\u00e4ufiger zum Thema. Die Regularien geben dazu Anlass. Dazu z\u00e4hlt u. a. die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die die ISO 27001 in den Fokus vieler Medizinproduktehersteller ger\u00fcckt hat. Hersteller m\u00fcssen die regulatorischen Anforderungen erf\u00fcllen, um \u00c4rger mit Beh\u00f6rden und Benannten Stellen\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Prozess-ISO-27001_Abb4_Update.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Prozess-ISO-27001_Abb4_Update.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Prozess-ISO-27001_Abb4_Update.jpg?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":2737466,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/","url_meta":{"origin":594006,"position":5},"title":"IEC\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?","author":"Christian Rosenzweig","date":"3. Februar 2021","format":false,"excerpt":"Die Normenfamilie IEC 60601 ist eigentlich nur f\u00fcr medizinisch elektrische Ger\u00e4te anzuwenden. Doch die IEC\/TR 60601-4-5 bildet eine Ausnahme: Dieser Technical Report zur IT-Sicherheit hat alle Medizinprodukte im \u201eScope\u201c, die in IT-Netzwerke eingebunden sind. Das betrifft auch Software as a Medical Device. Erfahren Sie, welche Anforderungen die IEC\/TR 60601-4-5 an\u2026","rel":"","context":"In &quot;Systems Engineering bei Medizinprodukten&quot;","block_context":{"text":"Systems Engineering bei Medizinprodukten","link":"https:\/\/www.johner-institut.de\/blog\/category\/systems-engineering\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=700%2C400&ssl=1 2x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-2uwK","jetpack_sharing_enabled":true,"authors":[{"term_id":1213,"user_id":74,"is_guest":0,"slug":"christianrosenzweig","display_name":"Christian Rosenzweig","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/594006","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=594006"}],"version-history":[{"count":4,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/594006\/revisions"}],"predecessor-version":[{"id":5369961,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/594006\/revisions\/5369961"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=594006"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=594006"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=594006"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=594006"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}