ISO 27701, Klousule 6.7, Kriptografie

Verstaan ISO 27701 Klousule 6.7: Kriptografiese kontroles vir PII-beskerming

Kriptografie (enkripsie), saam met rolgebaseerde toegang, is die voorste metode om PII en privaatheidverwante inligting teen ongemagtigde gebruik te beveilig.

Kriptografiese kontroles is 'n voorvereiste vir byna alle PII-verwante aktiwiteite, waar private inligting tussen stelsels, toepassings, gebruikers en derde partye oorgedra word.

Wat word gedek in ISO 27701 Klousule 6.7

ISO 27701 6.7 bevat twee subklousules, wat albei staatmaak op die dieselfde riglyne vanaf ISO 27002 8.2.4, wat 'n kriptografiese raamwerk bied vir organisasies om binne:

ISO 27002 6.7.1.1 – Beleid oor die gebruik van kriptografiese kontroles (Verwysings ISO 27002 Beheer 8.24)
ISO 27002 6.7.1.2 – Sleutelbestuur (Verwysings ISO 27002 Beheer 8.24)

ISO 27002 6.7.1.1 bevat leiding wat onder die Britse GDPR-wetgewing val. Die relevante artikels is vir u gerief verskaf.

Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo

ISO 27701 Klousule 6.7.1.1 – Beleid oor die gebruik van kriptografiese kontroles

Verwysings ISO 27002 Beheer 8.24

Organisasies moet enkripsie gebruik om die vertroulikheid, egtheid en integriteit van PII en privaatheidverwante inligting, en om te voldoen aan hul verskillende kontraktuele, wetlike of regulatoriese verpligtinge.

Enkripsie is 'n verreikende konsep – daar is geen 'one size fits all'-benadering nie. Organisasies moet hul behoeftes assesseer en 'n kriptografiese oplossing kies wat aan hul unieke kommersiële en operasionele doelwitte voldoen.

Algemene leiding

Organisasies moet oorweeg:

Ontwikkel 'n onderwerp-spesifiek benadering tot kriptografie, wat verskeie departementele, rolgebaseerde en operasionele vereistes in ag neem.
Die toepaslike vlak van beskerming (saam met die tipe inligting wat geënkripteer moet word).
Mobiele toestelle en bergingsmedia.
Kriptografiese sleutelbestuur (berging, verwerking, ens.).
Gespesialiseerde rolle en verantwoordelikhede vir kriptografiese funksies, insluitend implementering en en sleutelbestuur (sien ISO 27002 8.24).
Die tegniese enkripsiestandaarde wat aangeneem moet word, insluitend algoritmes, syfersterkte, beste praktykriglyne.
Hoe enkripsie saam met ander kuberveiligheidspogings sal werk, soos wanwarebeskerming en poortsekuriteit.
Oorgrens- en oor-jurisdiksionele wette en riglyne (sien ISO 27002 5.31).
Kontrakte met derdeparty-kriptografievennote wat alle of gedeeltelike aanspreeklikheid, betroubaarheid en reaksietye dek.

Sleutelbestuur

Sleutelbestuursprosedures moet oor 7 hooffunksies versprei word:

Generasie.
Stoor.
Argiveer.
Herwinning.
Verspreiding.
Aftree.
Vernietiging.

Organisatoriese sleutelbestuurstelsels moet:

Bestuur sleutelgenerering vir alle enkripsiemetodes.
Implementeer publieke sleutelsertifikate.
Maak seker dat alle relevante menslike en nie-menslike entiteite met die vereiste sleutels uitgereik word.
Stoor sleutels.
Wysig sleutels, soos vereis.
Het prosedures in plek om potensieel gekompromitteerde sleutels te hanteer.
Stel sleutels uit, of herroep toegang op 'n gebruiker-vir-gebruiker-basis.
Herwin verlore sleutels of sleutels wat nie funksioneer nie, hetsy van rugsteun en sleutelargiewe.
Vernietig sleutels wat nie meer nodig is nie.
Bestuur die aktiverings- en deaktiveringslewensiklus, sodat sekere sleutels slegs beskikbaar is vir die tydperk wat dit benodig word.
Verwerk amptelike versoeke vir toegang, van wetstoepassingsagentskappe of, in sekere omstandighede, regulerende agentskappe.
Bevat toegangskontroles wat fisiese toegang tot sleutels en geënkripteerde inligting beskerm.
Oorweeg die egtheid van publieke sleutels, voor implementering (sertifikaatowerhede en publieke sertifikate).

Relevante ISO 27002-kontroles

ISO 27002 5.31
ISO 27002 8.24

Toepaslike GDPR-artikels

Artikel 32 – (1)(a)

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo

ISO 27701 Klousule 6.7.1.2 – Sleutelbestuur

Verwysings ISO 27002 Beheer 8.24

Sien bogenoemde afdeling oor Sleutelbestuur (ISO 27701 6.7.1.1).

Ondersteunende kontroles vanaf ISO 27002 en GDPR

ISO 27701 Klousule Identifiseerder	ISO 27701 Klousule Naam	ISO 27002-vereiste	Geassosieerde GDPR-artikels
6.7.1.1	Beleid oor die gebruik van kriptografiese kontroles	8.24 – Gebruik van kriptografie vir ISO 27002	Artikel (32)
6.7.1.2	Sleutelbestuur	8.24 – Gebruik van kriptografie vir ISO 27002	Geen

Hoe ISMS.online help

Hoe help ons?

ISO 27701 wys jou hoe om 'n Privaatheidsinligtingbestuurstelsel te bou wat aan die meeste privaatheidsregulasies voldoen, insluitend die EU se GDPR, BS 10012 en Suid-Afrika se POPIA.

Ons vereenvoudigde, veilige, volhoubare sagteware help jou om maklik die benadering te volg wat deur die internasionaal erkende standaard uiteengesit word.

Al die kenmerke wat jy nodig het:

ROPA maklik gemaak
Ingeboude risikobank
Veilige spasie vir DRR

Vind uit hoeveel tyd en geld jy sal bespaar op jou reis na 'n gekombineerde ISO 27002- en 27701-sertifisering deur ISMS.online te gebruik deur bespreek 'n demo.

Toby Cane

Vennoot Kliëntesuksesbestuurder

Toby Cane is die Senior Vennoot Suksesbestuurder vir ISMS.online. Hy werk al vir byna 4 jaar vir die maatskappy en het 'n reeks rolle vervul, insluitend die aanbied van hul webinare. Voordat hy in SaaS gewerk het, was Toby 'n hoërskoolonderwyser.

ISO 27701-klousules

Ons is 'n leier in ons veld