Hvad kræver kontrol A.3.26?
Regler for effektiv brug af kryptografi i forbindelse med behandling af personoplysninger, herunder håndtering af kryptografiske nøgler, skal defineres og implementeres.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og kræver, at organisationer anvender en struktureret, politikdrevet tilgang til kryptografi. Det er ikke tilstrækkeligt blot at kryptere data — organisationen skal definere regler, der specificerer, hvornår kryptografi er påkrævet, hvilke algoritmer og nøglelængder der er acceptable, hvordan nøgler administreres gennem hele deres livscyklus, og hvordan kryptografiske funktioner kommunikeres til kunderne.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.26) indeholder følgende vejledning:
- Jurisdiktionelle krav — Nogle jurisdiktioner kan kræve brug af kryptografi til at beskytte bestemte typer af personoplysninger, såsom sundhedsdata, registreringsnumre for beboere, pasnumre og kørekortnumre.
- Kundernes gennemsigtighed — Organisationen bør give kunden oplysninger om de omstændigheder, hvorunder den bruger kryptografi til at beskytte de personoplysninger, den behandler.
- Kunde selvbetjeningskryptering — Organisationen bør også give oplysninger om eventuelle muligheder, den tilbyder, som kan hjælpe kunden med at anvende sin egen kryptografiske beskyttelse.
- Se også A.3.22: Brugerens slutpunktsenheder for relaterede krav
- Se også A.3.25: Logføring for relaterede krav
Vejledningen fremhæver to vigtige dimensioner: obligatorisk kryptering pålagt ved lov (som varierer afhængigt af jurisdiktion og PII-type) og gennemsigtighed over for kunderne om, hvilken kryptering der anvendes, og hvilke muligheder der er tilgængelige. Især databehandlere skal være forberedte på at forklare deres krypteringsarkitektur til dataansvarlige.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.26 knyttes til følgende GDPR artikel:
- Artikel 32 (1) (a) — Kravet om at implementere passende tekniske og organisatoriske foranstaltninger, herunder pseudonymisering og kryptering af personoplysninger
Artikel 32(1)(a) nævner eksplicit kryptering som en passende teknisk foranstaltning, hvilket gør kryptografi til en af de få specifikke teknologier, der er direkte nævnt i GDPRKryptering er også nævnt i GDPR-betragtning 83 og kan reducere forpligtelserne til at underrette databrud i henhold til artikel 34(3)(a), hvor data gøres uforståelige for uautoriserede personer.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 6.7.1.1 (politik for brug af kryptografiske kontroller) og 6.7.1.2 (nøglehåndtering). 2025-udgaven konsoliderer begge i A.3.26 med en samlet implementeringsvejledning i B.3.26. Vejledningen lægger nu større vægt på at kommunikere kryptografiske muligheder til kunder og understøtte kundeanvendt kryptering. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.26 vil revisorer typisk se efter:
- Kryptografipolitik — En dokumenteret politik, der specificerer, hvornår kryptering er påkrævet, godkendte algoritmer og nøglelængder, procedurer for nøglehåndtering og roller med ansvar for kryptografiske kontroller
- Kryptering i hvile — Bevis for, at personoplysninger er krypteret i hviletilstand ved hjælp af godkendte algoritmer, herunder databasekryptering, diskkryptering og backupkryptering
- Kryptering i transit — Bevis for, at personoplysninger krypteres under overførsel ved hjælp af TLS 1.2 eller højere for alle datatransmissionskanaler
- Procedurer for nøglehåndtering — Dokumenterede procedurer for nøglegenerering, distribution, opbevaring, rotation, tilbagekaldelse og destruktion
- Jurisdiktionsoverholdelse — Dokumentation for, at krypteringskrav pålagt af gældende jurisdiktioner er opfyldt for de relevante PII-kategorier
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.20 Lagringsmedier | Flytbare medier, der indeholder personoplysninger, bør bruge kryptering, hvor det er muligt |
| A.3.7 Informationsoverførsel | PII-overførsler bør beskyttes af kryptering under overførsel |
| A.3.24 Sikkerhedskopiering af oplysninger | Backupdata, der indeholder personoplysninger, skal krypteres |
| A.3.28 Krav til applikationssikkerhed | Krypteringskrav på applikationsniveau er baseret på kryptografipolitikken |
| A.1.4.10 PII-transmissionskontroller | Controllertransmissionskontroller er afhængige af kryptografisk beskyttelse |
Hvem gælder denne kontrol for?
A.3.26 er en delt kontrol Det gælder både for PII-dataansvarlige og PII-behandlere. Dataansvarlige skal definere og implementere kryptografiregler for deres egen PII-behandling. Databehandlere har yderligere forpligtelser til at kommunikere deres brug af kryptografi til kunder og til at levere funktioner, der giver kunderne mulighed for at anvende deres egen kryptering, hvor det er relevant.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til kryptografistyring?
ISMS.online giver praktiske værktøjer til administration af dit kryptografiprogram:
- Skabeloner til kryptografipolitikker — Færdigbyggede politikskabeloner, der dækker godkendte algoritmer, nøglelængder, use cases og krav til nøglehåndtering, som kan tilpasses din organisation
- Nøglehåndteringsregister — Spor kryptografiske nøgler på tværs af dine systemer med livscyklusstyring: generering, distribution, rotation, udløb og destruktion
- Overholdelseskortlægning — Kortlæg dine kryptografiske kontroller til jurisdiktionskrav, GDPR artikel 32 og ISO 27701 kontrol A.3.26 i én visning
- Evidenshåndtering — Gem bevismateriale for krypteringskonfiguration, nøglehåndteringsregistre og politikbekræftelser i et struktureret, revisionsklart format.
- Gennemgå planlægning — Planlæg periodiske gennemgange af din kryptografipolitik og nøglehåndteringspraksis med automatiske påmindelser
Ofte Stillede Spørgsmål
Hvilke krypteringsalgoritmer anbefales?
Standarden foreskriver ikke specifikke algoritmer, men bedste praksis i branchen anbefaler i øjeblikket AES-256 til symmetrisk kryptering i hviletilstand, TLS 1.2 eller 1.3 til kryptering under transit og RSA-2048 (eller højere) eller elliptiske kurveækvivalenter til asymmetrisk kryptering. Organisationer bør henvise til vejledning fra nationale kryptografiske myndigheder (såsom NCSC i Storbritannien eller NIST i USA) og gennemgå deres godkendte algoritmer med jævne mellemrum, efterhånden som kryptografiske standarder udvikler sig.
Reducerer kryptering forpligtelserne til at underrette GDPR-brud?
Artikel 34(3)(a) i GDPR fastslår, at kommunikation med registrerede ikke er påkrævet, hvis organisationen har implementeret passende tekniske beskyttelsesforanstaltninger, der gør personoplysninger uforståelige for personer, der ikke er autoriseret til at få adgang til dem, såsom kryptering. Dette fjerner dog ikke forpligtelsen til at underrette tilsynsmyndigheden i henhold til artikel 33. Kryptering kan derfor reducere omfanget og virkningen af underretning om brud, men eliminerer den ikke helt.
Hvad indebærer nøglehåndtering?
Nøglehåndtering dækker hele livscyklussen for kryptografiske nøgler: generering (ved hjælp af sikre tilfældige talgeneratorer), distribution (kun sikre kanaler), lagring (i hardwaresikkerhedsmoduler eller tilsvarende sikre lagre), rotation (udskiftning af nøgler med definerede intervaller eller efter mistanke om kompromittering), tilbagekaldelse (deaktivering af nøgler, der er kompromitteret eller ikke længere nødvendige) og destruktion (sikker sletning af nøgler ved slutningen af deres levetid). Dårlig nøglehåndtering kan fuldstændigt underminere en ellers stærk kryptering.
Dokumentér din krypteringsmetode i din Anvendelseserklæring.
Se vores vejledning om krav til revisionsbeviser for hvad revisorer af kryptografiske beviser forventer.
