Spring til indhold
Arbejd smartere med vores nye forbedrede navigation!
Se hvordan IO gør overholdelse af regler nemmere. Læs bloggen
ISMS.online

ISO 27002:2022 – Kontrol 8.24 – Brug af kryptografi

ISO 27002:2022 Kontrol 8.24 beskriver brugen af ​​kryptografi for at beskytte oplysningernes fortrolighed, integritet og autenticitet. Det lægger vægt på politikskabelse, nøglestyring og overholdelse af lovmæssige og regulatoriske krav.

Forfatter
Sam Peters
Opdateret juli 25, 2025
4/5 stjerner

Sikring af sikker informationshåndtering med kryptografi i ISO 27002:2022

Når informationer transmitteres mellem netværk og enheder, kan cyberangribere bruge forskellige teknikker til at stjæle følsom information under transit, manipulere med indholdet af informationen, udgive sig for at være afsender/modtager for at få uautoriseret adgang til information eller opsnappe overførslen af ​​information.

For eksempel kan cyberkriminelle bruge man-in-the-middle (MITM) angrebsteknikken, opsnappe transmissionen af ​​data og efterligne serveren for at overtale afsenderen til at afsløre hans/hendes loginoplysninger til den falske server. De kan derefter bruge disse legitimationsoplysninger til at få adgang til systemer og kompromittere følsomme oplysninger.

Brugen af ​​kryptografi såsom kryptering kan være effektiv til at beskytte fortroligheden, integriteten og tilgængeligheden af ​​informationsaktiver, når de er i transit.

Ydermere kan kryptografiske teknikker også opretholde sikkerheden for informationsaktiver, når de er i ro.

Kontrol 8.24 omhandler, hvordan organisationer kan etablere og implementere regler og procedurer for brug af kryptografi.

Formål med kontrol 8.24

Kontrol 8.24 gør det muligt for organisationer at opretholde fortroligheden, integriteten, ægtheden og tilgængeligheden af ​​informationsaktiver ved korrekt implementering af kryptografiske teknikker og ved at tage hensyn til følgende kriterier:

  • Forretningsbehov.
  • Krav til informationssikkerhed.
  • Lovpligtige, kontraktmæssige og organisatoriske krav vedrørende brugen af ​​kryptografi.

Kontrolattributter 8.24

Kontrol 8.24 er en forebyggende form for kontrol, der kræver, at organisationer etablerer regler og procedurer for effektiv brug af kryptografiske teknikker og dermed eliminerer og minimerer risici for kompromittering af informationsaktiver, når de er i transit eller i hvile.

Kontrol type Informationssikkerhedsegenskaber Cybersikkerhedskoncepter Operationelle evner Sikkerhedsdomæner
#Forebyggende #Fortrolighed #Beskytte #Sikker konfiguration #Beskyttelse
#Integritet
#Tilgængelighed


ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Et forspring på 81% fra dag ét

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang


Ejerskab på kontrol 8.24

Overholdelse af 8.24 kræver etablering og implementering af en specifik politik for kryptografi, skabelse af en effektiv nøglehåndteringsproces og bestemmelse af typen af ​​kryptografisk teknik, der er passende til niveauet for informationsklassificering, der er tildelt et bestemt informationsaktiv.

Derfor bør informationssikkerhedschefen være ansvarlig for at fastlægge passende regler og procedurer for brugen af ​​kryptografiske nøgler.

Generel vejledning om overholdelse

Kontrol 8.24 angiver syv krav, som organisationer skal overholde, når de bruger kryptografiske teknikker:

  1. Organisationer bør oprette og vedligeholde en emnespecifik politik for brugen af ​​kryptografi. Denne politik er afgørende for at maksimere fordelene ved kryptografiske teknikker, og den reducerer de risici, der kan opstå ved brug af kryptografi. Det bemærkes også, at denne politik bør dække generelle principper for beskyttelse af information.
  2. Organisationer bør overveje informationsaktivernes følsomhedsniveau og informationsklassifikationsniveauet, der er tildelt dem, når de beslutter sig for typen, styrken og kvaliteten af ​​krypteringsalgoritmen.
  3. Organisationer bør implementere kryptografiske teknikker, når information overføres til mobile enheder eller til lagermedieudstyr, eller når information lagres på disse enheder.
  4. Organisationer bør behandle spørgsmål i forbindelse med nøglehåndtering, herunder oprettelse og beskyttelse af kryptografiske nøgler og genoprettingsplanen for krypterede data i tilfælde af, at nøgler mistes eller kompromitteres.
  5. Organisationer bør angive roller og ansvar for følgende:

    • Etablering og implementering af reglerne for, hvordan de kryptografiske teknikker vil blive brugt.
    • Hvordan nøgler vil blive håndteret, herunder hvordan de vil blive genereret.

  6. Vedtagelse og godkendelse af standarder på tværs af organisationen for kryptografiske algoritmer, krypteringsstyrke og brugspraksis for kryptografi.
  7. Organisationen bør forholde sig til, hvordan krypteret information kan forstyrre de kontroller, der indebærer indholdsinspektionen, såsom opdagelse af malware.

Endvidere fremhæver Kontrol 8.24, at organisationer bør tage hensyn til love og krav, der kan begrænse brugen af ​​kryptografi, herunder grænseoverskridende overførsel af krypteret information.

Endelig rådes organisationer også til at forholde sig til ansvar og kontinuitet for tjenester, når de indgår serviceaftaler med tredjeparter om levering af kryptografiske tjenester.



klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Supplerende vejledning om nøgleledelse

Organisationer bør definere og anvende sikre procedurer til oprettelse, opbevaring, hentning og destruktion af kryptografiske nøgler.

Organisationer bør især indføre et robust nøglestyringssystem, der omfatter regler, processer og standarder for følgende:

  • Generering af kryptografiske nøgler til forskellige systemer og applikationer.
  • Udstedelse og erhvervelse af offentlige nøglecertifikater.
  • Uddeling af nøgler til påtænkte modtagere, herunder processen med nøgleaktivering.
  • Opbevaring af nøgler og hvordan autoriserede parter kan få adgang til nøgler.
  • Udskiftning af nøgler.
  • Håndtering af kompromitterede nøgler.
  • Tilbagekaldelse af nøgler for, hvorfor de er kompromitteret, eller når autoriserede personer forlader en organisation.
  • Gendannelse af mistede nøgler.
  • Nøgle backup og arkivering.
  • Ødelægge nøgler.
  • Fører en log over alle aktiviteter relateret til hver nøgle.
  • Fastlæggelse af aktiverings- og deaktiveringsdatoer for nøgler.
  • Reaktion på juridiske anmodninger om at få adgang til nøgler.

Sidst men ikke mindst advarer denne supplerende vejledning organisationer mod tre særlige risici:

  • Hemmelige og beskyttede nøgler bør beskyttes mod uautoriseret brug.
  • Udstyr, der bruges til at oprette eller opbevare krypteringsnøgler, bør beskyttes via fysiske sikkerhedsforanstaltninger.
  • Organisationer bør bevare ægtheden af ​​offentlige nøgler.

Hvad er fordelene ved kryptografi?

Efter at have fremhævet, at organisationer kan sikre ægtheden af ​​offentlige nøgler ved hjælp af metoder såsom offentlige nøgleadministrationsprocesser, forklarer Control 8.24, hvordan kryptografi kan hjælpe organisationer med at nå fire informationssikkerhedsmål:

  1. Fortrolighed: Kryptografi beskytter og opretholder fortroligheden af ​​data både under transport og i hvile.
  2. Integritet og ægthed: Digitale signaturer og autentificeringskoder kan sikre autenticiteten og integriteten af ​​de kommunikerede informationer.
  3. Uafviselighed: Kryptografiske metoder giver bevis for alle hændelser eller handlinger udført såsom modtagelse af information.
  4. Godkendelse: Kryptografiske metoder gør det muligt for organisationer at verificere identiteten af ​​brugere, der anmoder om adgang til systemer og applikationer.


ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Ændringer og forskelle fra ISO 27002:2013

27002:2022/8.24 erstatte 27002:2013/(10.1.1. Og 10.1.2)

Selvom indholdet af begge versioner er næsten identisk, er der nogle få strukturelle ændringer.

Mens 2013-versionen omhandlede brugen af ​​kryptografi under to separate kontroller, nemlig 10.1.1. Og 10.1.2 kombinerede 2022-versionen disse to under én kontrol, 8.24.

Nye ISO 27002 kontroller

Ny kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.7 NY Trusselsintelligens
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.30 NY IKT-parathed til forretningskontinuitet
7.4 NY Fysisk sikkerhedsovervågning
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.16 NY Overvågning af aktiviteter
8.23 NY Webfiltrering
8.28 NY Sikker kodning
Organisatoriske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.1 05.1.1, 05.1.2 Politikker for informationssikkerhed
5.2 06.1.1 Informationssikkerhedsroller og -ansvar
5.3 06.1.2 Opdeling af pligter
5.4 07.2.1 Ledelsesansvar
5.5 06.1.3 Kontakt med myndigheder
5.6 06.1.4 Kontakt til særlige interessegrupper
5.7 NY Trusselsintelligens
5.8 06.1.5, 14.1.1 Informationssikkerhed i projektledelse
5.9 08.1.1, 08.1.2 Opgørelse af information og andre tilhørende aktiver
5.10 08.1.3, 08.2.3 Acceptabel brug af information og andre tilknyttede aktiver
5.11 08.1.4 Tilbagelevering af aktiver
5.12 08.2.1 Klassificering af oplysninger
5.13 08.2.2 Mærkning af information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsoverførsel
5.15 09.1.1, 09.1.2 Adgangskontrol
5.16 09.2.1 Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3 Godkendelsesoplysninger
5.18 09.2.2, 09.2.5, 09.2.6 Adgangsrettigheder
5.19 15.1.1 Informationssikkerhed i leverandørforhold
5.20 15.1.2 Håndtering af informationssikkerhed inden for leverandøraftaler
5.21 15.1.3 Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22 15.2.1, 15.2.2 Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.24 16.1.1 Planlægning og forberedelse af informationssikkerhedshændelser
5.25 16.1.4 Vurdering og beslutning om informationssikkerhedshændelser
5.26 16.1.5 Reaktion på informationssikkerhedshændelser
5.27 16.1.6 Lær af informationssikkerhedshændelser
5.28 16.1.7 Indsamling af beviser
5.29 17.1.1, 17.1.2, 17.1.3 Informationssikkerhed under afbrydelse
5.30 5.30 IKT-parathed til forretningskontinuitet
5.31 18.1.1, 18.1.5 Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32 18.1.2 Intellektuelle ejendomsrettigheder
5.33 18.1.3 Beskyttelse af optegnelser
5.34 18.1.4 Privatliv og beskyttelse af PII
5.35 18.2.1 Uafhængig gennemgang af informationssikkerhed
5.36 18.2.2, 18.2.3 Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37 12.1.1 Dokumenterede driftsprocedurer
People Controls
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansættelse
6.3 07.2.2 Informationssikkerhedsbevidsthed, uddannelse og træning
6.4 07.2.3 Disciplinær proces
6.5 07.3.1 Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6 13.2.4 Aftaler om fortrolighed eller tavshedspligt
6.7 06.2.2 Fjernbetjening
6.8 16.1.2, 16.1.3 Informationssikkerhedshændelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
7.1 11.1.1 Fysiske sikkerhedsomkredse
7.2 11.1.2, 11.1.6 Fysisk adgang
7.3 11.1.3 Sikring af kontorer, lokaler og faciliteter
7.4 NY Fysisk sikkerhedsovervågning
7.5 11.1.4 Beskyttelse mod fysiske og miljømæssige trusler
7.6 11.1.5 Arbejde i sikre områder
7.7 11.2.9 Overskueligt skrivebord og klar skærm
7.8 11.2.1 Udstyrsplacering og beskyttelse
7.9 11.2.6 Sikkerhed af aktiver uden for lokalerne
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagermedier
7.11 11.2.2 Understøttende hjælpeprogrammer
7.12 11.2.3 Kabler sikkerhed
7.13 11.2.4 Vedligeholdelse af udstyr
7.14 11.2.7 Sikker bortskaffelse eller genbrug af udstyr
Teknologisk kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
8.1 06.2.1, 11.2.8 Bruger slutpunktsenheder
8.2 09.2.3 Privilegerede adgangsrettigheder
8.3 09.4.1 Begrænsning af informationsadgang
8.4 09.4.5 Adgang til kildekode
8.5 09.4.2 Sikker autentificering
8.6 12.1.3 Kapacitetsstyring
8.7 12.2.1 Beskyttelse mod malware
8.8 12.6.1, 18.2.3 Håndtering af tekniske sårbarheder
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.13 12.3.1 Sikkerhedskopiering af information
8.14 17.2.1 Redundans af informationsbehandlingsfaciliteter
8.15 12.4.1, 12.4.2, 12.4.3 Logning
8.16 NY Overvågning af aktiviteter
8.17 12.4.4 Ur synkronisering
8.18 09.4.4 Brug af privilegerede hjælpeprogrammer
8.19 12.5.1, 12.6.2 Installation af software på operativsystemer
8.20 13.1.1 Netværkssikkerhed
8.21 13.1.2 Sikkerhed af netværkstjenester
8.22 13.1.3 Adskillelse af netværk
8.23 NY Webfiltrering
8.24 10.1.1, 10.1.2 Brug af kryptografi
8.25 14.2.1 Sikker udviklingslivscyklus
8.26 14.1.2, 14.1.3 Krav til applikationssikkerhed
8.27 14.2.5 Sikker systemarkitektur og tekniske principper
8.28 NY Sikker kodning
8.29 14.2.8, 14.2.9 Sikkerhedstest i udvikling og accept
8.30 14.2.7 Udliciteret udvikling
8.31 12.1.4, 14.2.6 Adskillelse af udviklings-, test- og produktionsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Forandringsledelse
8.33 14.3.1 Testinformation
8.34 12.7.1 Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

ISMS.Online er den førende ISO 27002-styringssystemsoftware, der understøtter overholdelse af ISO 27002 og hjælper virksomheder med at tilpasse deres sikkerhedspolitikker og -procedurer til standarden.

Den cloud-baserede platform giver et komplet sæt værktøjer til at hjælpe organisationer med at opsætte et informationssikkerhedsstyringssystem (ISMS) i henhold til ISO 27002.

Tag kontakt og book en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder udviklingen af ​​alle produktfunktioner og funktionalitet. Sam er ekspert inden for mange områder af overholdelse og arbejder med kunder på alle skræddersyede eller storskala projekter.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Vinter 2026
Regional leder - Vinter 2026 Storbritannien
Regional leder - Vinter 2026 EU
Regional leder - Vinter 2026 Mellemmarked EU
Regional leder - Vinter 2026 EMEA
Regional leder - Vinter 2026 Mellemstor EMEA-marked

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.