Slaan oor na inhoud
Werk slimmer met ons nuwe verbeterde navigasie!
Kyk hoe IO nakoming makliker maak. Lees die blog
ISMS.aanlyn

ISO 27002:2022 – Beheer 8.24 – Gebruik van kriptografie

ISO 27002:2022 Beheer 8.24 beskryf die gebruik van kriptografie om inligting se vertroulikheid, integriteit en egtheid te beskerm. Dit beklemtoon beleidskepping, sleutelbestuur en voldoening aan wetlike en regulatoriese vereistes.

skrywer
Sam Peters
Opgedateer Julie 25, 2025
4/5 sterre

Verseker veilige inligtingshantering met kriptografie in ISO 27002:2022

Wanneer inligting tussen netwerke en toestelle oorgedra word, kan kuberaanvallers verskeie tegnieke gebruik om sensitiewe inligting tydens vervoer te steel, met die inhoud van die inligting te peuter, die sender/ontvanger voor te doen om ongemagtigde toegang tot inligting te verkry of die oordrag van inligting te onderskep.

Kubermisdadigers kan byvoorbeeld die man-in-die-middel-aanvalstegniek (MITM) gebruik, die oordrag van data onderskep en die bediener naboots om die sender te oorreed om sy/haar aanmeldbewyse aan die vals bediener bekend te maak. Hulle kan dan hierdie geloofsbriewe gebruik om toegang tot stelsels te verkry en sensitiewe inligting in gevaar te stel.

Die gebruik van kriptografie soos enkripsie kan effektief wees om die vertroulikheid, integriteit en beskikbaarheid van inligtingsbates te beskerm wanneer dit in vervoer is.

Verder kan kriptografiese tegnieke ook die sekuriteit van inligtingsbates handhaaf wanneer hulle in rus is.

Beheer 8.24 spreek aan hoe organisasies reëls en prosedures vir die gebruik van kriptografie kan vestig en implementeer.

Doel van beheer 8.24

Beheer 8.24 stel organisasies in staat om die vertroulikheid, integriteit, egtheid en beskikbaarheid van inligtingsbates te handhaaf deur kriptografiese tegnieke behoorlik te implementeer en deur die volgende kriteria in ag te neem:

  • Besigheidsbehoeftes.
  • Vereistes vir inligtingsekuriteit.
  • Statutêre, kontraktuele en organisatoriese vereistes rakende die gebruik van kriptografie.

Eienskappe van beheer 8.24

Beheer 8.24 is 'n voorkomende tipe beheer wat van organisasies vereis om reëls en prosedures vir die effektiewe gebruik van kriptografiese tegnieke daar te stel en sodoende risiko's vir die kompromie van inligtingsbates uit te skakel en te minimaliseer wanneer hulle in transito of in rus is.

beheer Tipe Eienskappe vir inligtingsekuriteit Kuberveiligheidskonsepte Operasionele vermoëns Sekuriteitsdomeine
#Voorkomende #Vertroulikheid #Beskerm # Veilige konfigurasie #Beskerming
#Integriteit
#Beskikbaarheid


ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

'n Voorsprong van 81% van dag een af

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin


Eienaarskap op beheer 8.24

Voldoening aan 8.24 vereis die vestiging en implementering van 'n spesifieke beleid oor kriptografie, die skep van 'n effektiewe sleutelbestuursproses en die bepaling van die tipe kriptografiese tegniek wat geskik is vir die vlak van inligtingklassifikasie wat aan 'n spesifieke inligtingsbate toegeken word.

Daarom moet die hoofinligtingsekuriteitsbeampte verantwoordelik wees om toepaslike reëls en prosedures vir die gebruik van kriptografiese sleutels uiteen te sit.

Algemene riglyne oor nakoming

Beheer 8.24 lys sewe vereistes waaraan organisasies moet voldoen wanneer hulle kriptografiese tegnieke gebruik:

  1. Organisasies moet 'n onderwerpspesifieke beleid oor die gebruik van kriptografie skep en in stand hou. Hierdie beleid is noodsaaklik om die voordele van kriptografiese tegnieke te maksimeer en dit verminder die risiko's wat uit die gebruik van kriptografie mag voortspruit. Daar word ook kennis geneem dat hierdie beleid algemene beginsels moet dek wat die beskerming van inligting beheer.
  2. Organisasies moet die vlak van sensitiwiteit van die inligtingbates en die inligtingsklassifikasievlak wat aan hulle toegeken is, oorweeg wanneer hulle besluit oor die tipe, sterkte en kwaliteit van die enkripsie-algoritme.
  3. Organisasies moet kriptografiese tegnieke implementeer wanneer inligting na mobiele toestelle of na bergingsmediatoerusting oorgedra word of wanneer inligting op hierdie toestelle gestoor word.
  4. Organisasies moet kwessies wat verband hou met sleutelbestuur aanspreek, insluitend die skepping en beskerming van kriptografiese sleutels en die herstelplan vir geënkripteerde data in die geval dat sleutels verlore raak of gekompromitteer word.
  5. Organisasies moet die rolle en verantwoordelikhede vir die volgende uiteensit:

    • Vestiging en implementering van die reëls oor hoe die kriptografiese tegnieke gebruik gaan word.
    • Hoe sleutels hanteer sal word, insluitend hoe hulle gegenereer sal word.

  6. Die aanvaarding en goedkeuring van standaarde regoor die organisasie vir die kriptografiese algoritmes, syfersterkte en gebruikspraktyke vir kriptografie.
  7. Organisasie moet aanspreek hoe geënkripteerde inligting kan inmeng met die kontroles wat die inhoudinspeksie behels, soos opsporing van wanware.

Verder beklemtoon Beheer 8.24 dat organisasies wette en vereistes in ag moet neem wat die gebruik van kriptografie kan beperk, insluitend die oorgrensoordrag van geënkripteerde inligting.

Laastens word organisasies ook aangeraai om aanspreeklikheid en kontinuïteit van dienste aan te spreek wanneer hulle diensooreenkomste met derde partye aangaan vir die verskaffing van kriptografiese dienste.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Aanvullende leiding oor sleutelbestuur

Organisasies moet veilige prosedures definieer en toepas vir die skepping, berging, herwinning en vernietiging van kriptografiese sleutels.

Organisasies moet veral 'n robuuste sleutelbestuurstelsel instel wat reëls, prosesse en standaarde vir die volgende insluit:

  • Generering van kriptografiese sleutels vir verskillende stelsels en toepassings.
  • Uitreiking en verkryging van publieke sleutelsertifikate.
  • Verspreiding van sleutels aan beoogde ontvangers, insluitend die proses van sleutelaktivering.
  • Berging van sleutels en hoe gemagtigde partye toegang tot sleutels kan kry.
  • Verandering van sleutels.
  • Hantering van gekompromitteerde sleutels.
  • Herroeping van sleutels vir hoekom hulle gekompromitteer word of wanneer gemagtigde persone 'n organisasie verlaat.
  • Herwinning van verlore sleutels.
  • Sleutel rugsteun en argief.
  • Vernietig sleutels.
  • Hou 'n logboek van alle aktiwiteite wat met elke sleutel verband hou.
  • Bepaling van aktiverings- en deaktiveringsdatums vir sleutels.
  • Reageer op wetlike versoeke om toegang tot sleutels te hê.

Laastens, maar nie die minste nie, waarsku hierdie aanvullende leiding organisasies teen drie spesifieke risiko's:

  • Geheime en beskermde sleutels moet teen ongemagtigde gebruik beskerm word.
  • Toerusting wat gebruik word om enkripsiesleutels te skep of te berg, moet deur fisiese sekuriteitsmaatreëls beskerm word.
  • Organisasies moet die egtheid van publieke sleutels handhaaf.

Wat is die voordele van kriptografie?

Nadat dit beklemtoon is dat organisasies die egtheid van publieke sleutels kan verseker deur metodes soos publieke sleutelbestuursprosesse, verduidelik Control 8.24 hoe kriptografie organisasies kan help om vier inligtingsekuriteitsdoelwitte te bereik:

  1. Vertroulikheid: Kriptografie beskerm en handhaaf die vertroulikheid van data, beide tydens vervoer en in rus.
  2. Integriteit en egtheid: Digitale handtekeninge en verifikasiekodes kan die egtheid en integriteit van inligting wat gekommunikeer word verseker.
  3. Nie-repudiëring: Kriptografiese metodes verskaf bewyse van alle gebeure of aksies wat uitgevoer is soos die ontvangs van inligting.
  4. Verifikasie: Kriptografiese metodes stel organisasies in staat om die identiteit van gebruikers wat toegang tot stelsels en toepassings versoek, te verifieer.


ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/8.24 vervang 27002:2013/(10.1.1. En 10.1.2)

Alhoewel die inhoud van beide weergawes byna identies is, is daar 'n paar strukturele veranderinge.

Terwyl die 2013-weergawe die gebruik van kriptografie onder twee afsonderlike kontroles aangespreek het, naamlik 10.1.1. En 10.1.2, die 2022-weergawe het hierdie twee gekombineer onder een Beheer, 8.24.

Nuwe ISO 27002-kontroles

Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.7 NUWE Bedreigingsintelligensie
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.30 NUWE IKT-gereedheid vir besigheidskontinuïteit
7.4 NUWE Fisiese sekuriteitsmonitering
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.16 NUWE Moniteringsaktiwiteite
8.23 NUWE Webfiltrering
8.28 NUWE Veilige kodering
Organisatoriese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.1 05.1.1, 05.1.2 Beleide vir inligtingsekuriteit
5.2 06.1.1 Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3 06.1.2 Skeiding van pligte
5.4 07.2.1 Bestuursverantwoordelikhede
5.5 06.1.3 Kontak met owerhede
5.6 06.1.4 Kontak met spesiale belangegroepe
5.7 NUWE Bedreigingsintelligensie
5.8 06.1.5, 14.1.1 Inligtingsekuriteit in projekbestuur
5.9 08.1.1, 08.1.2 Inventaris van inligting en ander verwante bates
5.10 08.1.3, 08.2.3 Aanvaarbare gebruik van inligting en ander verwante bates
5.11 08.1.4 Teruggawe van bates
5.12 08.2.1 Klassifikasie van inligting
5.13 08.2.2 Etikettering van inligting
5.14 13.2.1, 13.2.2, 13.2.3 Inligting oordrag
5.15 09.1.1, 09.1.2 Toegangsbeheer
5.16 09.2.1 Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3 Stawing inligting
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsregte
5.19 15.1.1 Inligtingsekuriteit in verskafferverhoudings
5.20 15.1.2 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21 15.1.3 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22 15.2.1, 15.2.2 Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.24 16.1.1 Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25 16.1.4 Assessering en besluit oor inligtingsekuriteitsgebeure
5.26 16.1.5 Reaksie op inligtingsekuriteitsvoorvalle
5.27 16.1.6 Leer uit inligtingsekuriteitvoorvalle
5.28 16.1.7 Insameling van bewyse
5.29 17.1.1, 17.1.2, 17.1.3 Inligtingsekuriteit tydens ontwrigting
5.30 5.30 IKT-gereedheid vir besigheidskontinuïteit
5.31 18.1.1, 18.1.5 Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32 18.1.2 Intellektuele eiendomsregte
5.33 18.1.3 Beskerming van rekords
5.34 18.1.4 Privaatheid en beskerming van PII
5.35 18.2.1 Onafhanklike hersiening van inligtingsekuriteit
5.36 18.2.2, 18.2.3 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37 12.1.1 Gedokumenteerde bedryfsprosedures
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
6.1 07.1.1 Screening
6.2 07.1.2 Terme en diensvoorwaardes
6.3 07.2.2 Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4 07.2.3 Dissiplinêre proses
6.5 07.3.1 Verantwoordelikhede na beëindiging of verandering van diens
6.6 13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7 06.2.2 Afstand werk
6.8 16.1.2, 16.1.3 Rapportering van inligtingsekuriteitsgebeurtenisse
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
7.1 11.1.1 Fisiese sekuriteit omtrek
7.2 11.1.2, 11.1.6 Fisiese toegang
7.3 11.1.3 Beveiliging van kantore, kamers en fasiliteite
7.4 NUWE Fisiese sekuriteitsmonitering
7.5 11.1.4 Beskerming teen fisiese en omgewingsbedreigings
7.6 11.1.5 Werk in veilige areas
7.7 11.2.9 Duidelike lessenaar en duidelike skerm
7.8 11.2.1 Toerusting plaas en beskerming
7.9 11.2.6 Sekuriteit van bates buite die perseel
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Berging media
7.11 11.2.2 Ondersteunende nutsprogramme
7.12 11.2.3 Bekabeling sekuriteit
7.13 11.2.4 Onderhoud van toerusting
7.14 11.2.7 Veilige wegdoening of hergebruik van toerusting
Tegnologiese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
8.1 06.2.1, 11.2.8 Gebruikerseindpunttoestelle
8.2 09.2.3 Bevoorregte toegangsregte
8.3 09.4.1 Beperking van toegang tot inligting
8.4 09.4.5 Toegang tot bronkode
8.5 09.4.2 Veilige verifikasie
8.6 12.1.3 Kapasiteitsbestuur
8.7 12.2.1 Beskerming teen wanware
8.8 12.6.1, 18.2.3 Bestuur van tegniese kwesbaarhede
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.13 12.3.1 Rugsteun van inligting
8.14 17.2.1 Oortolligheid van inligtingverwerkingsfasiliteite
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NUWE Moniteringsaktiwiteite
8.17 12.4.4 Klok sinchronisasie
8.18 09.4.4 Gebruik van bevoorregte nutsprogramme
8.19 12.5.1, 12.6.2 Installering van sagteware op bedryfstelsels
8.20 13.1.1 Netwerk sekuriteit
8.21 13.1.2 Sekuriteit van netwerkdienste
8.22 13.1.3 Segregasie van netwerke
8.23 NUWE Webfiltrering
8.24 10.1.1, 10.1.2 Gebruik van kriptografie
8.25 14.2.1 Veilige ontwikkeling lewensiklus
8.26 14.1.2, 14.1.3 Aansoek sekuriteit vereistes
8.27 14.2.5 Veilige stelselargitektuur en ingenieursbeginsels
8.28 NUWE Veilige kodering
8.29 14.2.8, 14.2.9 Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30 14.2.7 Uitgekontrakteerde ontwikkeling
8.31 12.1.4, 14.2.6 Skeiding van ontwikkeling, toets en produksie omgewings
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Veranderings bestuur
8.33 14.3.1 Toets inligting
8.34 12.7.1 Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISMS.Online is die toonaangewende ISO 27002-bestuurstelselsagteware wat voldoening aan ISO 27002 ondersteun, en maatskappye help om hul sekuriteitsbeleide en -prosedures met die standaard in lyn te bring.

Die wolk-gebaseerde platform bied 'n volledige stel gereedskap om organisasies te help met die opstel van 'n inligtingsekuriteitbestuurstelsel (ISMS) volgens ISO 27002.

Kontak en bespreek 'n demo.

Sam Peters

Sam is hoofprodukbeampte by ISMS.online en lei die ontwikkeling van alle produkkenmerke en -funksionaliteit. Sam is 'n kenner op baie gebiede van voldoening en werk saam met kliënte aan enige maat- of grootskaalse projekte.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Winter 2026
Streekleier - Winter 2026 VK
Streeksleier - Winter 2026 EU
Streekleier - Winter 2026 Middelmark EU
Streekleier - Winter 2026 EMEA
Streekleier - Winter 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.