ISO 27002:2022 – Beheer 8.24 – Gebruik van kriptografie

ISO 27002:2022 Beheer 8.24 beskryf die gebruik van kriptografie om inligting se vertroulikheid, integriteit en egtheid te beskerm. Dit beklemtoon beleidskepping, sleutelbestuur en voldoening aan wetlike en regulatoriese vereistes.

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 17 Februarie 2025
LinkedIn Twitter Twitter

Verseker veilige inligtingshantering met kriptografie in ISO 27002:2022

Wanneer inligting tussen netwerke en toestelle oorgedra word, kan kuberaanvallers verskeie tegnieke gebruik om sensitiewe inligting tydens vervoer te steel, met die inhoud van die inligting te peuter, die sender/ontvanger voor te doen om ongemagtigde toegang tot inligting te verkry of die oordrag van inligting te onderskep.

Kubermisdadigers kan byvoorbeeld die man-in-die-middel-aanvalstegniek (MITM) gebruik, die oordrag van data onderskep en die bediener naboots om die sender te oorreed om sy/haar aanmeldbewyse aan die vals bediener bekend te maak. Hulle kan dan hierdie geloofsbriewe gebruik om toegang tot stelsels te verkry en sensitiewe inligting in gevaar te stel.

Die gebruik van kriptografie soos enkripsie kan effektief wees om die vertroulikheid, integriteit en beskikbaarheid van inligtingsbates te beskerm wanneer dit in vervoer is.

Verder kan kriptografiese tegnieke ook die sekuriteit van inligtingsbates handhaaf wanneer hulle in rus is.

Beheer 8.24 spreek aan hoe organisasies reëls en prosedures vir die gebruik van kriptografie kan vestig en implementeer.

Doel van beheer 8.24

Beheer 8.24 stel organisasies in staat om die vertroulikheid, integriteit, egtheid en beskikbaarheid van inligtingsbates te handhaaf deur kriptografiese tegnieke behoorlik te implementeer en deur die volgende kriteria in ag te neem:

  • Besigheidsbehoeftes.
  • Vereistes vir inligtingsekuriteit.
  • Statutêre, kontraktuele en organisatoriese vereistes rakende die gebruik van kriptografie.

Eienskappe van beheer 8.24

Beheer 8.24 is 'n voorkomende tipe beheer wat van organisasies vereis om reëls en prosedures vir die effektiewe gebruik van kriptografiese tegnieke daar te stel en sodoende risiko's vir die kompromie van inligtingsbates uit te skakel en te minimaliseer wanneer hulle in transito of in rus is.

beheer TipeEienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende#Vertroulikheid#Beskerm# Veilige konfigurasie#Beskerming
#Integriteit
#Beskikbaarheid


Kry 'n voorsprong van 81%.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


Eienaarskap op beheer 8.24

Voldoening aan 8.24 vereis die vestiging en implementering van 'n spesifieke beleid oor kriptografie, die skep van 'n effektiewe sleutelbestuursproses en die bepaling van die tipe kriptografiese tegniek wat geskik is vir die vlak van inligtingklassifikasie wat aan 'n spesifieke inligtingsbate toegeken word.

Daarom moet die hoofinligtingsekuriteitsbeampte verantwoordelik wees om toepaslike reëls en prosedures vir die gebruik van kriptografiese sleutels uiteen te sit.

Algemene riglyne oor nakoming

Beheer 8.24 lys sewe vereistes waaraan organisasies moet voldoen wanneer hulle kriptografiese tegnieke gebruik:

  1. Organisasies moet 'n onderwerpspesifieke beleid oor die gebruik van kriptografie skep en in stand hou. Hierdie beleid is noodsaaklik om die voordele van kriptografiese tegnieke te maksimeer en dit verminder die risiko's wat uit die gebruik van kriptografie mag voortspruit. Daar word ook kennis geneem dat hierdie beleid algemene beginsels moet dek wat die beskerming van inligting beheer.
  2. Organisasies moet die vlak van sensitiwiteit van die inligtingbates en die inligtingsklassifikasievlak wat aan hulle toegeken is, oorweeg wanneer hulle besluit oor die tipe, sterkte en kwaliteit van die enkripsie-algoritme.
  3. Organisasies moet kriptografiese tegnieke implementeer wanneer inligting na mobiele toestelle of na bergingsmediatoerusting oorgedra word of wanneer inligting op hierdie toestelle gestoor word.
  4. Organisasies moet kwessies wat verband hou met sleutelbestuur aanspreek, insluitend die skepping en beskerming van kriptografiese sleutels en die herstelplan vir geënkripteerde data in die geval dat sleutels verlore raak of gekompromitteer word.
  5. Organisasies moet die rolle en verantwoordelikhede vir die volgende uiteensit:

    • Vestiging en implementering van die reëls oor hoe die kriptografiese tegnieke gebruik gaan word.
    • Hoe sleutels hanteer sal word, insluitend hoe hulle gegenereer sal word.

  6. Die aanvaarding en goedkeuring van standaarde regoor die organisasie vir die kriptografiese algoritmes, syfersterkte en gebruikspraktyke vir kriptografie.
  7. Organisasie moet aanspreek hoe geënkripteerde inligting kan inmeng met die kontroles wat die inhoudinspeksie behels, soos opsporing van wanware.

Verder beklemtoon Beheer 8.24 dat organisasies wette en vereistes in ag moet neem wat die gebruik van kriptografie kan beperk, insluitend die oorgrensoordrag van geënkripteerde inligting.

Laastens word organisasies ook aangeraai om aanspreeklikheid en kontinuïteit van dienste aan te spreek wanneer hulle diensooreenkomste met derde partye aangaan vir die verskaffing van kriptografiese dienste.



Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


Aanvullende leiding oor sleutelbestuur

Organisasies moet veilige prosedures definieer en toepas vir die skepping, berging, herwinning en vernietiging van kriptografiese sleutels.

Organisasies moet veral 'n robuuste sleutelbestuurstelsel instel wat reëls, prosesse en standaarde vir die volgende insluit:

  • Generering van kriptografiese sleutels vir verskillende stelsels en toepassings.
  • Uitreiking en verkryging van publieke sleutelsertifikate.
  • Verspreiding van sleutels aan beoogde ontvangers, insluitend die proses van sleutelaktivering.
  • Berging van sleutels en hoe gemagtigde partye toegang tot sleutels kan kry.
  • Verandering van sleutels.
  • Hantering van gekompromitteerde sleutels.
  • Herroeping van sleutels vir hoekom hulle gekompromitteer word of wanneer gemagtigde persone 'n organisasie verlaat.
  • Herwinning van verlore sleutels.
  • Sleutel rugsteun en argief.
  • Vernietig sleutels.
  • Hou 'n logboek van alle aktiwiteite wat met elke sleutel verband hou.
  • Bepaling van aktiverings- en deaktiveringsdatums vir sleutels.
  • Reageer op wetlike versoeke om toegang tot sleutels te hê.

Laastens, maar nie die minste nie, waarsku hierdie aanvullende leiding organisasies teen drie spesifieke risiko's:

  • Geheime en beskermde sleutels moet teen ongemagtigde gebruik beskerm word.
  • Toerusting wat gebruik word om enkripsiesleutels te skep of te berg, moet deur fisiese sekuriteitsmaatreëls beskerm word.
  • Organisasies moet die egtheid van publieke sleutels handhaaf.

Wat is die voordele van kriptografie?

Nadat dit beklemtoon is dat organisasies die egtheid van publieke sleutels kan verseker deur metodes soos publieke sleutelbestuursprosesse, verduidelik Control 8.24 hoe kriptografie organisasies kan help om vier inligtingsekuriteitsdoelwitte te bereik:

  1. Vertroulikheid: Kriptografie beskerm en handhaaf die vertroulikheid van data, beide tydens vervoer en in rus.
  2. Integriteit en egtheid: Digitale handtekeninge en verifikasiekodes kan die egtheid en integriteit van inligting wat gekommunikeer word verseker.
  3. Nie-repudiëring: Kriptografiese metodes verskaf bewyse van alle gebeure of aksies wat uitgevoer is soos die ontvangs van inligting.
  4. Verifikasie: Kriptografiese metodes stel organisasies in staat om die identiteit van gebruikers wat toegang tot stelsels en toepassings versoek, te verifieer.


Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/8.24 vervang 27002:2013/(10.1.1. En 10.1.2)

Alhoewel die inhoud van beide weergawes byna identies is, is daar 'n paar strukturele veranderinge.

Terwyl die 2013-weergawe die gebruik van kriptografie onder twee afsonderlike kontroles aangespreek het, naamlik 10.1.1. En 10.1.2, die 2022-weergawe het hierdie twee gekombineer onder een Beheer, 8.24.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.1208.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.1709.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISMS.Online is die toonaangewende ISO 27002-bestuurstelselsagteware wat voldoening aan ISO 27002 ondersteun, en maatskappye help om hul sekuriteitsbeleide en -prosedures met die standaard in lyn te bring.

Die wolk-gebaseerde platform bied 'n volledige stel gereedskap om organisasies te help met die opstel van 'n inligtingsekuriteitbestuurstelsel (ISMS) volgens ISO 27002.

Kontak en bespreek 'n demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!