ISO 27001 A.8.24 Gebruik van kriptografiekontrolelys
Die beheer A.8.24 Gebruik van Kriptografie binne ISO/IEC 27001:2022 is noodsaaklik vir die beskerming van sensitiewe inligting deur robuuste kriptografiese tegnieke. Hierdie beheer verseker dat data vertroulikheid, integriteit en egtheid gehandhaaf word tydens berging en oordrag.
Behoorlike implementering van kriptografie help om inligting te beskerm teen ongemagtigde toegang en peuter, en voldoen daardeur aan wetlike, regulatoriese en kontraktuele vereistes. Die doeltreffende implementering van kriptografie kan egter verskeie uitdagings bied wat omvattend aangespreek moet word.
Doel van aanhangsel A.8.24
- Beskerm inligting: Beveilig sensitiewe inligting teen ongemagtigde toegang en peuter tydens berging en oordrag.
- Compliance: Verseker nakoming van relevante wetlike, regulatoriese en kontraktuele vereistes rakende die gebruik van kriptografie.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Waarom moet jy aan Bylae A.8.24 voldoen? Sleutel-aspekte en algemene uitdagings
1. enkripsie
Data in rus
Gebruik enkripsie om data wat op toestelle, bedieners en bergingsmedia gestoor is, te beskerm.
- Integrasiekwessies: Moeilikheid om enkripsienutsmiddels met bestaande stelsels en toepassings te integreer.
- Prestasie-impak: Potensiële prestasie-agteruitgang as gevolg van enkripsieprosesse.
- Oplossings:
- Evalueer en kies enkripsienutsmiddels wat versoenbaarheid en minimale werkverrigting bied.
- Doen deeglike toetsing voor volle ontplooiing.
- Geassosieerde ISO 27001-klousules: 6.1.2 Risiko-evaluering, 8.2 Inligtingsekuriteitsrisiko-evaluering, 8.3 Inligtingsekuriteitsrisikobehandeling
Algemene uitdagings:
Data in transito
Implementeer enkripsieprotokolle (bv. TLS, VPN's) om data te beveilig wat oor netwerke versend word.
- Protokolversoenbaarheid: Verseker verenigbaarheid van enkripsieprotokolle oor verskillende stelsels en netwerke.
- Sleuteluitruil-sekuriteit: Beveilig die sleuteluitruilproses om onderskepping te voorkom.
- Oplossings:
- Gebruik gestandaardiseerde protokolle en werk dit gereeld op om versoenbaarheidskwessies te versag.
- Implementeer robuuste sleuteluitruilmeganismes soos Diffie-Hellman sleuteluitruiling.
- Geassosieerde ISO 27001-klousules: 6.1.2 Risiko-evaluering, 8.2 Inligtingsekuriteitsrisiko-evaluering, 8.3 Inligtingsekuriteitsrisikobehandeling
Algemene uitdagings:
2. Sleutelbestuur
Sleutel Generasie
Maak seker dat kriptografiese sleutels veilig gegenereer word en van voldoende sterkte is om die data te beskerm.
- Willekeurigheid Kwaliteit: Versekering van hoë gehalte ewekansigheid in sleutelgenerering om voorspelbaarheid te voorkom.
- Hulpbronintensiteit: Hoë berekeningshulpbronne benodig vir die generering van sterk sleutels.
- Oplossings:
- Gebruik gesertifiseerde hardeware ewekansige getalgenerators (HRNGs).
- Maak seker dat stelsels geoptimaliseer is vir sleutelgenereringstake.
- Geassosieerde ISO 27001-klousules: 7.2 Bevoegdheid, 8.3 Inligtingsekuriteitsrisikobehandeling
Algemene uitdagings:
Sleutelberging
Berg sleutels veilig om ongemagtigde toegang te voorkom. Dit kan die gebruik van hardeware-sekuriteitsmodules (HSM's) of geënkripteerde sleutelberging behels.
- Veilige berging: Vind en bestuur van veilige bergingsoplossings wat aan standaarde voldoen.
- Toegangsbeheer: Implementering van streng toegangskontroles om ongemagtigde sleuteltoegang te voorkom.
- Oplossings:
- Ontplooi HSM'e vir sleutelberging.
- Implementeer multifaktor-verifikasie (MFA) vir sleuteltoegangsbeheer.
- Geassosieerde ISO 27001-klousules: 9.1 Monitering, Meting, Analise en Evaluering, 7.5 Gedokumenteerde Inligting
Algemene uitdagings:
Sleutelgebruik
Definieer en dwing beleide af oor hoe kriptografiese sleutels binne die organisasie gebruik moet word.
- Beleidstoepassing: Verseker konsekwente toepassing van sleutelgebruikbeleide oor alle departemente heen.
- Bewusmaking en opleiding: Opvoeding van personeel oor die belangrikheid en behoorlike hantering van kriptografiese sleutels.
- Oplossings:
- Werk gereeld sleutelgebruikbeleide op en kommunikeer dit.
- Verskaf verpligte opleidingsessies vir alle relevante personeel.
- Geassosieerde ISO 27001-klousules: 7.2 Bevoegdheid, 7.3 Bewustheid, 7.5 Gedokumenteerde inligting
Algemene uitdagings:
Sleutel rotasie
Implementeer sleutelrotasiebeleide om sleutels gereeld te verander en die risiko van kompromie te verminder.
- Bedryfsontwrigting: Verminder die ontwrigting van bedrywighede tydens sleutelrotasies.
- Outomatisering van rotasie: Ontwikkel outomatiese prosesse vir naatlose sleutelrotasie.
- Oplossings:
- Skeduleer sleutelrotasies tydens lae-aktiwiteit periodes.
- Gebruik outomatiseringsinstrumente om die proses te stroomlyn.
- Geassosieerde ISO 27001-klousules: 8.1 Operasionele Beplanning en Beheer, 8.3 Inligtingsekuriteitsrisikobehandeling
Algemene uitdagings:
Sleutel herroeping
Maak seker dat meganismes in plek is om sleutels te herroep wanneer dit nie meer nodig is nie of as dit gekompromitteer word.
- Herroepingsvoortplanting: Om te verseker dat die herroeping van sleutels vinnig en doeltreffend oor alle stelsels versprei word.
- Rugsteunsleutelbestuur: Bestuur rugsteun van herroepe sleutels sonder om sekuriteit in te boet.
- Oplossings:
- Implementeer outomatiese herroepingslyste.
- Veilige rugsteunbergingprosedures.
- Geassosieerde ISO 27001-klousules: 8.1 Operasionele Beplanning en Beheer, 9.2 Interne Oudit
Algemene uitdagings:
3. Kriptografiese Algoritmes
Keuse
Kies kriptografiese algoritmes wat geskik is vir die vlak van beskerming wat vereis word en wat algemeen as veilig erken word (bv. AES, RSA).
- Algoritme-opdaterings: Hou tred met vooruitgang in kriptografiese algoritmes en hul sekuriteit.
- Voldoening aan Standaarde: Verseker dat geselekteerde algoritmes aan industriestandaarde en regulasies voldoen.
- Oplossings:
- Hersien en werk gereeld kriptografiese beleide op om die nuutste veilige algoritmes in te sluit.
- Gebruik voldoeningsinstrumente om nakoming van standaarde te verifieer.
- Geassosieerde ISO 27001-klousules: 8.3 Inligtingsekuriteitsrisikobehandeling, 9.1 Monitering, Meting, Analise en Evaluering
Algemene uitdagings:
Algoritme sterkte
Maak seker dat die gekose algoritmes voldoende sterkte het (bv. sleutellengte) om huidige en voorsienbare kriptografiese aanvalle te weerstaan.
- Balanseer prestasie en sekuriteit: Balanseer die behoefte aan sterk enkripsie met stelselwerkverrigting.
- Toekomsbeveiliging: Kies algoritmes en sleutellengtes wat op lang termyn veilig sal bly.
- Oplossings:
- Voer prestasiemaatstaf uit om optimale konfigurasies te vind.
- Evalueer gereeld die sterkpunte van die algoritme teen opkomende bedreigings.
- Geassosieerde ISO 27001-klousules: 8.3 Inligtingsekuriteitsrisikobehandeling, 9.1 Monitering, Meting, Analise en Evaluering
Algemene uitdagings:
4. Implementering en Gebruik
Beleid en Prosedures
Ontwikkel en implementeer beleide en prosedures wat die gebruik van kriptografie binne die organisasie beheer.
- Beleidsontwikkeling: Die skep van omvattende beleide wat alle aspekte van kriptografiese gebruik dek.
- Konsekwentheid: Verseker konsekwente toepassing van beleide regoor die organisasie.
- Oplossings:
- Betrek kruisfunksionele spanne by beleidsontwikkeling.
- Gebruik gesentraliseerde beleidbestuurnutsmiddels vir konsekwentheid.
- Geassosieerde ISO 27001-klousules: 5.2 Inligtingsekuriteitsbeleid, 7.5 Gedokumenteerde inligting
Algemene uitdagings:
opleiding
Verskaf opleiding aan personeel oor die behoorlike gebruik van kriptografiese gereedskap en die belangrikheid van die beskerming van kriptografiese sleutels.
- Betrokkenheid: Betrek personeel by deurlopende kriptografiese opleiding en bewusmakingsprogramme.
- Kennisbehoud: Verseker dat personeel die kennis opgedoen deur opleiding behou en toepas.
- Oplossings:
- Gebruik interaktiewe opleidingsmetodes en periodieke assesserings om leer te versterk.
- Geassosieerde ISO 27001-klousules: 7.2 Bevoegdheid, 7.3 Bewustheid, 7.5 Gedokumenteerde inligting
Algemene uitdagings:
Voldoeningsmonitering
Moniteer en oudit die gebruik van kriptografiese kontroles gereeld om te verseker dat dit aan die gevestigde beleide en prosedures voldoen.
- Hulpbrontoewysing: Toewysing van voldoende hulpbronne vir deurlopende monitering en ouditering.
- Tydige regstelling: Die hantering van nie-nakomingskwessies vinnig en doeltreffend.
- Oplossings:
- Gebruik outomatiese moniteringsinstrumente.
- Vestig 'n toegewyde nakomingspan vir vinnige kwessieoplossing.
- Geassosieerde ISO 27001-klousules: 9.1 Monitering, Meting, Analise en Evaluering, 9.2 Interne Oudit, 9.3 Bestuursoorsig
Algemene uitdagings:
5. Kriptografiese dienste
Digitale handtekeninge
Gebruik digitale handtekeninge om die egtheid en integriteit van inligting te verifieer.
- Gebruikersaanneming: Aanmoediging van wydverspreide aanvaarding van digitale handtekeninge binne die organisasie.
- Integrasie: Integrasie van digitale handtekeningoplossings met bestaande werkvloeie en stelsels.
- Oplossings:
- Bevorder die voordele van digitale handtekeninge.
- Verseker naatlose integrasie met besigheidstoepassings.
- Geassosieerde ISO 27001-klousules: 8.1 Operasionele Beplanning en Beheer, 9.1 Monitering, Meting, Analise en Evaluering
Algemene uitdagings:
Sertifikaatbestuur
Bestuur digitale sertifikate, insluitend uitreiking, hernuwing en herroeping, om die egtheid van entiteite binne die organisasie te verseker.
- Lewensiklusbestuur: Bestuur die hele lewensiklus van digitale sertifikate effektief.
- Sertifikaatverspreiding: Vermy 'n onhanteerbare aantal sertifikate binne die organisasie.
- Oplossings:
- Gebruik gesentraliseerde sertifikaatbestuursoplossings.
- Voer gereelde oudits uit om sertifikaatverspreiding te voorkom.
- Geassosieerde ISO 27001-klousules: 8.1 Operasionele Beplanning en Beheer, 9.1 Monitering, Meting, Analise en Evaluering
Algemene uitdagings:
6. Dokumentasie en Rekords
dokumentasie
Handhaaf dokumentasie van kriptografiese beleide, prosedures, sleutelbestuursprosesse en konfigurasies.
- Dokumentasie-oorlading: Bestuur groot volumes dokumentasie en verseker akkuraatheid.
- Toeganklikheid: Verseker dat dokumentasie toeganklik is vir gemagtigde personeel wanneer nodig.
- Oplossings:
- Gebruik dokumentbestuurstelsels om toegang tot kriptografiese dokumentasie te organiseer en te beheer.
- Geassosieerde ISO 27001-klousules: 7.5 Gedokumenteerde inligting, 8.1 Operasionele Beplanning en Beheer
Algemene uitdagings:
Ouditroetes
Hou gedetailleerde logboeke en ouditroetes van kriptografiese sleutelgebruik en bestuursaktiwiteite.
- Logbestuur: Bestuur en berg groot volumes ouditlogboeke doeltreffend.
- Loganalise: Ontleed logs om potensiële sekuriteitsinsidente op te spoor en daarop te reageer.
- Oplossings:
- Implementeer logbestuuroplossings met outomatiese ontledingsvermoëns.
- Geassosieerde ISO 27001-klousules: 7.5 Gedokumenteerde Inligting, 9.1 Monitering, Meting, Analise en Evaluering
Algemene uitdagings:
Voordele van nakoming
- verbeterde Security: Beskerm sensitiewe inligting teen ongemagtigde toegang en peuter.
- Wetlike voldoening: Voldoen aan wetlike, regulatoriese en kontraktuele vereistes wat verband hou met inligtingsekuriteit en kriptografie.
- Risikobestuur: Versag die risiko's wat verband hou met data-oortredings en ongemagtigde toegang tot sensitiewe inligting.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
ISMS.online-kenmerke om voldoening aan A.8.24 te demonstreer
- Beleidsbestuur
- Beleidsjablone: Gebruik voorafgeboude beleidsjablone om vinnig omvattende kriptografiese beleide daar te stel.
- Weergawebeheer: Bly op hoogte van beleidsveranderinge en verseker dat die nuutste weergawes altyd in gebruik is.
- Dokumenttoegang: Beheer wie kriptografiese beleide kan bekyk en wysig, om veilige toegang te verseker.
- Risikobestuur
- Dinamiese risikokaart: Visualiseer risiko's wat verband hou met kriptografiese kontroles en spoor hul status na.
- Risikomonitering: Monitor deurlopend risiko's wat verband hou met kriptografiese sleutelbestuur en enkripsiepraktyke.
- Incident Management
- Incident Tracker: Dokumenteer en bestuur voorvalle wat kriptografiese mislukkings of oortredings behels.
- Werkvloei en kennisgewings: Outomatiseer insidentreaksie-werkstrome en verseker tydige kennisgewings aan relevante belanghebbendes.
- Ouditbestuur
- Ouditsjablone: Gebruik spesifieke sjablone vir die ouditering van kriptografiese kontroles en sleutelbestuursprosesse.
- Regstellende aksies: Volg en bestuur regstellende aksies wat uit oudits voortspruit om deurlopende verbetering te verseker.
- Opleiding en Bewusmaking
- Opleidingsmodules: Verskaf opleiding oor kriptografiese praktyke en sleutelbestuur aan werknemers.
- Opleidingsopsporing: Monitor en dokumenteer opleidingsvoltooiing om te verseker dat alle personeel op hoogte is van kriptografiese prosedures.
- Dokumentasiebestuur
- Dokumentsjablone: Gebruik dokumentsjablone om omvattende rekords van kriptografiese sleutelbestuurpraktyke te hou.
- Weergawebeheer en -behoud: Maak seker dat alle kriptografiese dokumentasie weergawebeheer word en volgens beleid behou word.
Gedetailleerde Bylae A.8.24 Voldoeningskontrolelys
1. enkripsie
- Verseker enkripsie vir data in rus op alle toestelle, bedieners en bergingsmedia.
- Verifieer integrasie van enkripsie-instrumente met bestaande stelsels.
- Monitor die prestasie-impak van enkripsieprosesse en optimaliseer soos nodig.
- Implementeer enkripsieprotokolle (bv. TLS, VPN's) vir data in vervoer.
- Verseker verenigbaarheid van enkripsieprotokolle oor verskillende stelsels en netwerke.
- Beveilig die sleuteluitruilproses om onderskepping te voorkom.
2. Sleutelbestuur
- Genereer kriptografiese sleutels veilig met ewekansigheid van hoë gehalte.
- Ken voldoende rekenaarhulpbronne toe vir sleutelgenerering.
- Berg sleutels veilig deur hardeware-sekuriteitsmodules (HSM's) of geënkripteerde sleutelberging te gebruik.
- Implementeer streng toegangskontroles vir sleutelberging.
- Ontwikkel en handhaaf beleide oor sleutelgebruik.
- Leer personeel op oor behoorlike sleutelhantering deur gereelde opleiding.
- Implementeer sleutelrotasiebeleide om sleutels gereeld te verander.
- Minimaliseer operasionele ontwrigting tydens sleutelrotasies.
- Outomatiseer sleutelrotasieprosesse waar moontlik.
- Maak seker dat meganismes in plek is om sleutels te herroep wanneer nodig.
- Versprei sleutelherroeping vinnig en effektief oor alle stelsels.
- Bestuur rugsteun van herroepe sleutels veilig.
3. Kriptografiese Algoritmes
- Kies kriptografiese algoritmes wat algemeen as veilig erken word (bv. AES, RSA).
- Bly op hoogte van vooruitgang in kriptografiese algoritmes.
- Maak seker geselekteerde algoritmes voldoen aan industriestandaarde en regulasies.
- Maak seker dat algoritmes genoeg krag het om huidige en voorsienbare aanvalle te weerstaan.
- Balanseer die behoefte aan sterk enkripsie met stelselwerkverrigting.
- Toekomsvaste algoritmes en sleutellengtes om op lang termyn veilig te bly.
4. Implementering en Gebruik
- Ontwikkel omvattende beleide en prosedures vir kriptografiese gebruik.
- Verseker konsekwente toepassing van beleide regoor die organisasie.
- Voorsien deurlopende kriptografiese opleiding en bewusmakingsprogramme aan personeel.
- Betrek personeel by opleiding en verseker kennisbehoud.
- Monitor en oudit kriptografiese kontroles gereeld.
- Ken voldoende hulpbronne toe vir deurlopende monitering en ouditering.
- Pak nie-nakomingskwessies stiptelik en doeltreffend aan.
5. Kriptografiese dienste
- Implementeer digitale handtekeninge om die egtheid en integriteit van inligting te verifieer.
- Moedig die aanvaarding van digitale handtekeninge binne die organisasie aan.
- Integreer oplossings vir digitale handtekeninge met bestaande werkvloeie en stelsels.
- Bestuur die hele lewensiklus van digitale sertifikate effektief.
- Vermy 'n onhanteerbare aantal sertifikate binne die organisasie.
6. Dokumentasie en Rekords
- Handhaaf dokumentasie van kriptografiese beleide, prosedures, sleutelbestuursprosesse en konfigurasies.
- Maak seker dat dokumentasie toeganklik is vir gemagtigde personeel wanneer nodig.
- Hou gedetailleerde logboeke en ouditroetes van kriptografiese sleutelgebruik en bestuursaktiwiteite.
- Bestuur en stoor groot volumes ouditlogboeke doeltreffend.
- Ontleed logs om potensiële sekuriteitsinsidente op te spoor en daarop te reageer.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Elke Bylae A Kontrolekontrolelystabel
| ISO 27001 Beheernommer | ISO 27001 Beheerkontrolelys |
|---|---|
| Bylae A.6.1 | Siftingskontrolelys |
| Bylae A.6.2 | Kontrolelys vir diensbepalings en -voorwaardes |
| Bylae A.6.3 | Kontrolelys vir inligtingsekuriteitbewustheid, onderwys en opleiding |
| Bylae A.6.4 | Dissiplinêre Proseskontrolelys |
| Bylae A.6.5 | Verantwoordelikhede na beëindiging of verandering van diens Kontrolelys |
| Bylae A.6.6 | Kontrolelys vir vertroulikheid of nie-openbaarmakingsooreenkomste |
| Bylae A.6.7 | Afgeleë werkkontrolelys |
| Bylae A.6.8 | Kontrolelys vir inligtingsekuriteitsgebeurtenisverslagdoening |
| ISO 27001 Beheernommer | ISO 27001 Beheerkontrolelys |
|---|---|
| Bylae A.7.1 | Kontrolelys vir Fisiese Sekuriteit Omtrek |
| Bylae A.7.2 | Fisiese Inskrywing Kontrolelys |
| Bylae A.7.3 | Beveiliging van kantore, kamers en fasiliteite Kontrolelys |
| Bylae A.7.4 | Kontrolelys vir fisieke sekuriteitsmonitering |
| Bylae A.7.5 | Kontrolelys vir beskerming teen fisiese en omgewingsbedreigings |
| Bylae A.7.6 | Werk in veilige gebiede Kontrolelys |
| Bylae A.7.7 | Vee lessenaar en duidelike skermkontrolelys uit |
| Bylae A.7.8 | Kontrolelys vir ligging en beskerming van toerusting |
| Bylae A.7.9 | Kontrolelys vir sekuriteit van bates buite die perseel |
| Bylae A.7.10 | Stoormediakontrolelys |
| Bylae A.7.11 | Ondersteunende Nutskontrolelys |
| Bylae A.7.12 | Bekabeling sekuriteit kontrolelys |
| Bylae A.7.13 | Kontrolelys vir instandhouding van toerusting |
| Bylae A.7.14 | Kontrolelys vir veilige wegdoening of hergebruik van toerusting |
Hoe ISMS.online help met A.8.24
Gereed om jou organisasie se inligtingsekuriteitbestuur te verbeter met die nuutste kriptografiese kontroles?
Ontdek hoe ISMS.online jou nakomingspogings kan stroomlyn, risikobestuur kan vereenvoudig en robuuste databeskerming kan verseker. Ons platform bied kragtige kenmerke wat ontwerp is om jou te help om ISO/IEC 27001:2022-sertifisering doeltreffend te bereik en in stand te hou.
Bemagtig jou organisasie met die gereedskap en kundigheid om jou inligtingbates te beskerm en uitnemendheid in inligtingsekuriteitbestuur te bereik. Bespreek jou demo vandag!
