ISO 27001:2022 Bilag A Kontrol 8.24

Brug af kryptografi

Book en demo

nærbillede,gruppe,unge,kolleger,sammen,diskuterer,kreativ,projekt,under,arbejde

Når der overføres information mellem netværk og enheder, kan cyberangribere forsøge at stjæle følsomme data, ændre indhold, efterligne afsendere/modtagere for at få uautoriseret adgang eller opsnappe udvekslingen.

Cyberkriminelle kan ansætte man-in-the-middle (MITM) angreb, aflytning af datatransmissioner og maskeret som server for at få afsenderen til at afsløre loginoplysninger. Med disse legitimationsoplysninger kan de få adgang til systemer og bringe følsomme data i fare.

Kryptografi, såsom kryptering, kan effektivt sikre fortroligheden, integriteten og tilgængeligheden af ​​oplysninger, når de er i transit.

Kryptografiske teknikker kan holde informationsaktiver sikre, når de ikke er i brug. De sikrer, at dataene er beskyttet mod enhver uautoriseret adgang eller ændring.

ISO 27001:2022 Annex A 8.24 skitserer, hvordan organisationer kan skabe og anvende regler og processer vedrørende brugen af ​​kryptografi.

Formål med ISO 27001:2022 bilag A 8.24

ISO 27001: 2022 Bilag A 8.24 giver organisationer mulighed for at sikre fortroligheden, integriteten, ægtheden og tilgængeligheden af ​​informationsaktiver gennem korrekt anvendelse af kryptografi og opfyldelse af følgende kriterier:

  • Forretningskrav er et must.

  • Sørg informationssikkerhed gennem implementering af strenge krav.

  • Lovpligtige, kontraktmæssige og organisatoriske mandater nødvendiggør brugen af ​​kryptografi.

Ejerskab på bilag A 8.24

Overholdelse af bilag A 8.24 nødvendiggør implementering af en politik om kryptografi, etablering af en effektiv nøglehåndteringsproces og bestemmelse af typen af ​​kryptografisk teknik, der er gældende for dataklassificeringen af ​​et givet informationsaktiv.

Chief Information Security Officer skal holdes ansvarlig for at opsætte ordentlige regler og protokoller vedrørende kryptografiske nøgler.

Gå til emne

Generel vejledning om ISO 27001:2022 Bilag A 8.24 Overholdelse

ISO 27001: 2022 Bilag A Kontrol 8.24 angiver syv krav, som organisationer skal overholde, når de anvender kryptografiske metoder:

  1. Organisationer bør have en politik på plads vedrørende brugen af ​​kryptografi for at maksimere fordelene og reducere risici. Denne politik bør også skitsere generelle principper for beskyttelse af information.

  2. Organisationer skal tage højde for, hvor sarte deres informationsressourcer er, samt det informationsklassifikationsniveau, der er udpeget til dem, når de vælger typen, styrken og kvaliteten af ​​krypteringsalgoritmen.

  3. Organisationer bør bruge kryptografiske tilgange, når de overfører information til bærbare enheder, medieudstyr, eller når det er gemt derpå.

  4. Organisationer er nødt til at tackle ethvert spørgsmål, der er forbundet med nøglehåndtering, såsom at danne og afskærme kryptografiske nøgler og have en ordning for datagendannelse i tilfælde af, at nøglerne mangler eller er sårbare.

  5. Organisationer bør definere roller og ansvar for følgende:

    • Reglerne for brug af kryptografiske teknikker skal etableres og håndhæves.

    • Håndtering af nøgler, herunder deres generering.

  6. Organisationen vedtager og godkender standarder, der omfatter kryptografiske algoritmer, krypteringsstyrke og brugspraksis for kryptografi.

  7. Organisationer bør overveje den potentielle indvirkning af kryptering på effektiviteten af ​​indholdsinspektionskontrollerne, såsom malware-detektion.

ISO 27001:2022 Annex A 8.24 understreger, at organisationer bør overveje lovkrav og restriktioner, der kan påvirke brugen af ​​kryptografi, herunder international overførsel af krypteret information.

Organisationer bør tage hensyn til ansvar og kontinuitet i tjenester, når de indgår serviceaftaler med eksterne udbydere af kryptografiske tjenester.

Vejledning om Key Management

Organisationer skal opsætte og følge sikre processer til generering, opbevaring, hentning og bortskaffelse af kryptografiske nøgler.

Organisationer bør installere et solidt nøglestyringssystem, der indeholder regler, procedurer og kriterier for:

  • Generering af kryptografiske nøgler til en række forskellige systemer og applikationer er nødvendig.

  • Udstedelse og opnåelse af offentlige nøglecertifikater.

  • Distribuer nøgler til påtænkte modtagere, herunder proceduren for nøgleaktivering.

  • Nøgler skal opbevares sikkert. De, der er autoriseret til at få adgang til dem, kan gøre det med de nødvendige legitimationsoplysninger.

  • Udskiftning af nøgler.

  • Håndtering af kompromitterede nøgler bør tages alvorligt.

  • Hvis nøgler kompromitteres, eller et autoriseret personale forlader en organisation, skal de tilbagekaldes.

  • Gendannelse af mistede nøgler.

  • Sikkerhedskopiering og arkivering af nøgler bør udføres regelmæssigt.

  • Ødelægge nøgler.

  • Oprethold en fortegnelse over alle aktiviteter, der er knyttet til hver nøgle.

  • Etablering af aktiverings- og deaktiveringsdatoer for nøgler.

  • Adgang til nøgler som svar på juridiske anmodninger.

Endelig er det vigtigt, at organisationer er opmærksomme på de tre hovedrisici, som denne supplerende vejledning skitserer:

  1. Sikre og private nøgler bør beskyttes mod uautoriseret brug.

  2. Beskyttelse af udstyr, der bruges til at oprette eller opbevare krypteringsnøgler, bør udføres med fysisk sikkerhed foranstaltninger.

  3. Organisationer bør sikre gyldigheden af ​​deres offentlige nøgler.

Hvad er fordelene ved kryptografi?

ISO 27001:2022 Annex A 8.24 angiver, at kryptografi kan bruges til at hjælpe organisationer med at nå fire informationssikkerhedsmål. Disse mål inkluderer at verificere ægtheden af ​​offentlige nøgler gennem offentlige nøgleadministrationsprocesser:

  1. Kryptografi sikrer, at fortroligheden af ​​data, både under transport og lagring, bevares.

  2. Digitale signaturer og autentificeringskoder garanterer, at den kommunikerede information er ægte og pålidelig.

  3. Kryptografiske metoder giver sikkerhed for, at alle hændelser eller handlinger, der udføres, inklusive modtagelse af information, ikke vil blive afvist.

  4. Autentificering gennem kryptografiske metoder giver organisationer mulighed for at validere identiteten på brugere, der søger adgang til systemer og applikationer.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.24 erstatter ISO 27001:2013 Bilag A 10.1.1 og 10.1.2 i den reviderede 2022-standard.

Indholdet af de to er næsten det samme, selvom der er nogle strukturelle ændringer.

Mens 2013-versionen havde to separate kontroller, 10.1.1 og 10.1.2, til brug af kryptografi, konsoliderede 2022-versionen disse i én bilag A-kontrol, 8.24.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.Online er den førende ISO 27001-styringssystemsoftware, der hjælper virksomheder med at overholde ISO 27001:2022 og sikre, at deres sikkerhedspolitikker og -procedurer overholder standarden.

Denne skybaseret platform tilbyder et omfattende sæt værktøjer til at hjælpe organisationer med at implementere et Information Security Management System (ISMS) i overensstemmelse med ISO 27001.

Ræk ud og book en demonstration i dag.

Jeg har gjort ISO 27001 på den hårde måde, så jeg værdsætter virkelig, hvor meget tid det har sparet os med at opnå ISO 27001-certificering.

Carl Vaughan
Infosec Lead, MetCloud

Book din demo

Enkel. Sikker. Bæredygtig.

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere