Forståelse af ISO 27701 klausul 6.7: Kryptografiske kontroller til PII-beskyttelse
Kryptografi (kryptering) er sammen med rollebaseret adgang den førende metode til at sikre PII og privatlivsrelaterede oplysninger mod uautoriseret brug.
Kryptografiske kontroller er en forudsætning for næsten alle PII-relaterede aktiviteter, hvor private oplysninger overføres mellem systemer, applikationer, brugere og tredjeparter.
Hvad er dækket af ISO 27701 klausul 6.7
ISO 27701 6.7 indeholder to underklausuler, som begge er afhængige af samme vejledning fra ISO 27002 8.2.4, der giver en kryptografisk ramme for organisationer at operere inden for:
- ISO 27002 6.7.1.1 – Politik for brug af kryptografiske kontroller (Referencer ISO 27002 Kontrol 8.24)
- ISO 27002 6.7.1.2 – Nøglestyring (Referencer ISO 27002 Kontrol 8.24)
ISO 27002 6.7.1.1 indeholder vejledning, der falder ind under britisk GDPR-lovgivning. De relevante artikler er stillet til rådighed for din bekvemmelighed.
Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.
Administrer al din overholdelse ét sted
ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.
ISO 27701 klausul 6.7.1.1 – Politik for brug af kryptografiske kontroller
Referencer ISO 27002 Kontrol 8.24
Organisationer bør bruge kryptering til at beskytte fortrolighed, ægthed og integritet af PII og privatlivsrelaterede oplysninger og for at overholde deres forskellige kontraktlige, juridiske eller regulatoriske forpligtelser.
Kryptering er et vidtrækkende koncept – der er ingen 'one size fits all'-tilgang. Organisationer bør vurdere deres behov og vælge en kryptografisk løsning, der opfylder deres unikke kommercielle og operationelle mål.
Generel vejledning
Organisationer bør overveje:
- Udvikle en emnespecifik tilgang til kryptografi, der tager højde for forskellige afdelingsmæssige, rollebaserede og operationelle krav.
- Det passende beskyttelsesniveau (sammen med den type information, der skal krypteres).
- Mobile enheder og lagermedier.
- Kryptografisk nøglehåndtering (opbevaring, behandling osv.).
- Specialiserede roller og ansvar for kryptografiske funktioner, herunder implementering og nøglestyring (se ISO 27002 8.24).
- De tekniske krypteringsstandarder, der skal vedtages, herunder algoritmer, krypteringsstyrke, retningslinjer for bedste praksis.
- Hvordan kryptering vil fungere sammen med andre cybersikkerhedstiltag, såsom malwarebeskyttelse og gateway-sikkerhed.
- Grænseoverskridende og grænseoverskridende love og retningslinjer (se ISO 27002 5.31).
- Kontrakter med tredjeparts kryptografipartnere, der dækker helt eller delvist ansvar, pålidelighed og svartider.
Nøglehåndtering
Nøglestyringsprocedurer bør fordeles på 7 hovedfunktioner:
- Generation.
- Opbevaring.
- Arkivering.
- Hentning.
- Distribution.
- Går på pension.
- Ødelæggelse.
Organisatoriske nøglestyringssystemer bør:
- Administrer nøglegenerering for alle krypteringsmetoder.
- Implementer offentlige nøglecertifikater.
- Sørg for, at alle relevante menneskelige og ikke-menneskelige enheder er udstedt med de nødvendige nøgler.
- Opbevar nøgler.
- Ændre nøgler efter behov.
- Hav procedurer på plads til at håndtere potentielt kompromitterede nøgler.
- Dekommissionsnøgler, eller tilbagekald adgang på en bruger-til-bruger basis.
- Gendan mistede eller defekte nøgler, enten fra sikkerhedskopier og nøglearkiver.
- Ødelæg nøgler, der ikke længere er nødvendige.
- Administrer aktiverings- og deaktiveringslivscyklussen, så visse nøgler kun er tilgængelige i det tidsrum, de er nødvendige.
- Behandle officielle anmodninger om adgang fra retshåndhævende myndigheder eller, under visse omstændigheder, tilsynsmyndigheder.
- Indeholder adgangskontroller, der beskytter fysisk adgang til nøgler og krypteret information.
- Overvej ægtheden af offentlige nøgler før implementering (certifikatmyndigheder og offentlige certifikater).
Relevante ISO 27002 kontroller
- ISO 27002 5.31
- ISO 27002 8.24
Gældende GDPR-artikler
- Artikel 32 – (1)(a)
Overholdelse behøver ikke at være kompliceret.
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
ISO 27701 paragraf 6.7.1.2 – Nøglestyring
Referencer ISO 27002 Kontrol 8.24
Se ovenstående afsnit vedr Nøglestyring (ISO 27701 6.7.1.1).
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.7.1.1 | Politik for brug af kryptografiske kontroller | 8.24 – Brug af kryptografi til ISO 27002 | Artikel (32) |
| 6.7.1.2 | Nøglehåndtering | 8.24 – Brug af kryptografi til ISO 27002 | Ingen |
Hvordan ISMS.online hjælper
Hvordan hjælper vi?
ISO 27701 viser dig, hvordan du opbygger et Privacy Information Management System, der overholder de fleste privatlivsforordninger, herunder EU's GDPR, BS 10012 og Sydafrikas POPIA.
Vores forenklede, sikre, bæredygtige software hjælper dig med nemt at følge den tilgang, der er skitseret af den internationalt anerkendte standard.
Alle de funktioner du har brug for:
- ROPA gjort let
- Indbygget risikobank
- Sikker plads til DRR
Find ud af, hvor meget tid og penge du vil spare på din rejse til en kombineret ISO 27002- og 27701-certificering ved hjælp af ISMS.online af booking af en demo.
Gå til emnet
Bliv certificeret op til 5 gange hurtigere
Du skal blot udfylde de tomme felter.
Book en demo Prisberegner
