Hvad er formålet med bilag A.10.1?
Bilag A.10.1 handler om kryptografiske kontroller. Formålet med dette bilag A kontrol er at sikre korrekt og effektiv brug af kryptografi for at beskytte oplysningernes fortrolighed, ægthed og/eller integritet. Det er en vigtig del af informationssikkerhedsstyringssystemet (ISMS), især hvis du gerne vil opnå ISO 27001-certificering.
A.10.1.1 Politik for brug af kryptografiske kontroller
Kryptering og kryptografiske kontroller ses ofte som et af de vigtigste våben i sikkerhedsarsenalet, men i sig selv er det ikke "sølvkuglen", der løser ethvert problem. Forkert valg af kryptografiske teknologier og teknikker eller dårlig håndtering af kryptografisk materiale (f.eks. nøgler og certifikater) kan selv skabe sårbarheder.
Kryptering kan forsinke behandling og transmission af information, så det er vigtigt at forstå alle risici og afbalancere kontrollerne til et passende niveau, samtidig med at ydeevnemålene nås.
En politik om brug af kryptering kan være et godt sted at identificere de forretningsmæssige krav til, hvornår kryptering skal anvendes, og de standarder, der skal implementeres. Der skal også tages hensyn til lovkravene omkring kryptering.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
A.10.1.2 Nøglestyring
En god kontrol beskriver, hvordan en politik om brug og beskyttelse af kryptografiske nøgler skal udvikles og implementeres gennem hele deres livscyklus. Et af de vigtigste aspekter er omkring oprettelse, distribution, ændringer, sikkerhedskopiering og opbevaring af kryptografisk nøglemateriale frem til dets afslutning på levetid og ødelæggelse.
Håndtering af nøglemateriale er ofte det svageste punkt for kryptering, og angribere kan søge at angribe dette snarere end selve krypteringen. Det er derfor vigtigt at have robuste og sikre processer omkring sig. Håndtering af kompromitterede nøgler er også vigtigt og bør, hvor det er relevant, også knyttes til bilag A.16 Håndtering af sikkerhedshændelser.
Anvendelse af kryptering
ISMS.online tilbyder nogle vejledninger og tips til en god politik for kryptering, men dette er et af de få områder, hvor det er unikt for din virksomhed og de operationelle aktiviteter, hvor du vil bruge kryptering.
Vi har en liste over partnere, der giver specialistrådgivning og produkter omkring kryptering, så hvis dette er et område, du har brug for hjælp til under din implementering, så lad os det vide, og vi kan også sætte dig i kontakt med betroede eksperter.
