- Se ISO 27002:2022 Kontrol 8.24 for mere information.
- Se ISO 27001:2013 Bilag A 10.1.1 for mere information.
- Se ISO 27001:2013 Bilag A 10.1.2 for mere information.
Bilag A 8.24 Forklaret: Implementering af sikre kryptografiske kontroller
Når der overføres information mellem netværk og enheder, kan cyberangribere forsøge at stjæle følsomme data, ændre indhold, efterligne afsendere/modtagere for at få uautoriseret adgang eller opsnappe udvekslingen.
Cyberkriminelle kan ansætte man-in-the-middle (MITM) angreb, aflytning af datatransmissioner og maskeret som server for at få afsenderen til at afsløre loginoplysninger. Med disse legitimationsoplysninger kan de få adgang til systemer og bringe følsomme data i fare.
Kryptografi, såsom kryptering, kan effektivt sikre fortroligheden, integriteten og tilgængeligheden af oplysninger, når de er i transit.
Kryptografiske teknikker kan holde informationsaktiver sikre, når de ikke er i brug. De sikrer, at dataene er beskyttet mod enhver uautoriseret adgang eller ændring.
ISO 27001:2022 Annex A 8.24 skitserer, hvordan organisationer kan skabe og anvende regler og processer vedrørende brugen af kryptografi.
Formål med ISO 27001:2022 bilag A 8.24
ISO 27001: 2022 Bilag A 8.24 giver organisationer mulighed for at sikre fortroligheden, integriteten, ægtheden og tilgængeligheden af informationsaktiver gennem korrekt anvendelse af kryptografi og opfyldelse af følgende kriterier:
- Forretningskrav er et must.
- Sørg informationssikkerhed gennem implementering af strenge krav.
- Lovpligtige, kontraktmæssige og organisatoriske mandater nødvendiggør brugen af kryptografi.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab på bilag A 8.24
Overholdelse af bilag A 8.24 nødvendiggør implementering af en politik om kryptografi, etablering af en effektiv nøglehåndteringsproces og bestemmelse af typen af kryptografisk teknik, der er gældende for dataklassificeringen af et givet informationsaktiv.
Chief Information Security Officer skal holdes ansvarlig for at opsætte ordentlige regler og protokoller vedrørende kryptografiske nøgler.
Generel vejledning om ISO 27001:2022 Bilag A 8.24 Overholdelse
ISO 27001: 2022 Bilag A Kontrol 8.24 angiver syv krav, som organisationer skal overholde, når de anvender kryptografiske metoder:
- Organisationer bør have en politik på plads vedrørende brugen af kryptografi for at maksimere fordelene og reducere risici. Denne politik bør også skitsere generelle principper for beskyttelse af information.
- Organisationer skal tage højde for, hvor sarte deres informationsressourcer er, samt det informationsklassifikationsniveau, der er udpeget til dem, når de vælger typen, styrken og kvaliteten af krypteringsalgoritmen.
- Organisationer bør bruge kryptografiske tilgange, når de overfører information til bærbare enheder, medieudstyr, eller når det er gemt derpå.
- Organisationer er nødt til at tackle ethvert spørgsmål, der er forbundet med nøglehåndtering, såsom at danne og afskærme kryptografiske nøgler og have en ordning for datagendannelse i tilfælde af, at nøglerne mangler eller er sårbare.
- Organisationer bør definere roller og ansvar for følgende:
- Reglerne for brug af kryptografiske teknikker skal etableres og håndhæves.
- Håndtering af nøgler, herunder deres generering.
- Organisationen vedtager og godkender standarder, der omfatter kryptografiske algoritmer, krypteringsstyrke og brugspraksis for kryptografi.
- Organisationer bør overveje den potentielle indvirkning af kryptering på effektiviteten af indholdsinspektionskontrollerne, såsom malware-detektion.
ISO 27001:2022 Annex A 8.24 understreger, at organisationer bør overveje lovkrav og restriktioner, der kan påvirke brugen af kryptografi, herunder international overførsel af krypteret information.
Organisationer bør tage hensyn til ansvar og kontinuitet i tjenester, når de indgår serviceaftaler med eksterne udbydere af kryptografiske tjenester.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Vejledning om Key Management
Organisationer skal opsætte og følge sikre processer til generering, opbevaring, hentning og bortskaffelse af kryptografiske nøgler.
Organisationer bør installere et solidt nøglestyringssystem, der indeholder regler, procedurer og kriterier for:
- Generering af kryptografiske nøgler til en række forskellige systemer og applikationer er nødvendig.
- Udstedelse og opnåelse af offentlige nøglecertifikater.
- Distribuer nøgler til påtænkte modtagere, herunder proceduren for nøgleaktivering.
- Nøgler skal opbevares sikkert. De, der er autoriseret til at få adgang til dem, kan gøre det med de nødvendige legitimationsoplysninger.
- Udskiftning af nøgler.
- Håndtering af kompromitterede nøgler bør tages alvorligt.
- Hvis nøgler kompromitteres, eller et autoriseret personale forlader en organisation, skal de tilbagekaldes.
- Gendannelse af mistede nøgler.
- Sikkerhedskopiering og arkivering af nøgler bør udføres regelmæssigt.
- Ødelægge nøgler.
- Oprethold en fortegnelse over alle aktiviteter, der er knyttet til hver nøgle.
- Etablering af aktiverings- og deaktiveringsdatoer for nøgler.
- Adgang til nøgler som svar på juridiske anmodninger.
Endelig er det vigtigt, at organisationer er opmærksomme på de tre hovedrisici, som denne supplerende vejledning skitserer:
- Sikre og private nøgler bør beskyttes mod uautoriseret brug.
- Beskyttelse af udstyr, der bruges til at oprette eller opbevare krypteringsnøgler, bør udføres med fysisk sikkerhed foranstaltninger.
- Organisationer bør sikre gyldigheden af deres offentlige nøgler.
Hvad er fordelene ved kryptografi?
ISO 27001:2022 Annex A 8.24 angiver, at kryptografi kan bruges til at hjælpe organisationer med at nå fire informationssikkerhedsmål. Disse mål inkluderer at verificere ægtheden af offentlige nøgler gennem offentlige nøgleadministrationsprocesser:
- Kryptografi sikrer, at fortroligheden af data, både under transport og lagring, bevares.
- Digitale signaturer og autentificeringskoder garanterer, at den kommunikerede information er ægte og pålidelig.
- Kryptografiske metoder giver sikkerhed for, at alle hændelser eller handlinger, der udføres, inklusive modtagelse af information, ikke vil blive afvist.
- Autentificering gennem kryptografiske metoder giver organisationer mulighed for at validere identiteten på brugere, der søger adgang til systemer og applikationer.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 8.24 erstatter ISO 27001:2013 Bilag A 10.1.1 og 10.1.2 i den reviderede 2022-standard.
Indholdet af de to er næsten det samme, selvom der er nogle strukturelle ændringer.
Mens 2013-versionen havde to separate kontroller, 10.1.1 og 10.1.2, til brug af kryptografi, konsoliderede 2022-versionen disse i én bilag A-kontrol, 8.24.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
ISMS.Online er den førende ISO 27001-styringssystemsoftware, der hjælper virksomheder med at overholde ISO 27001:2022 og sikre, at deres sikkerhedspolitikker og -procedurer overholder standarden.
Denne skybaseret platform tilbyder et omfattende sæt værktøjer til at hjælpe organisationer med at implementere et Information Security Management System (ISMS) i overensstemmelse med ISO 27001.
Ræk ud og book en demonstration i dag.