- Se ISO 27002:2022 Kontroll 8.24 för mer information.
- Se ISO 27001:2013 bilaga A 10.1.1 för mer information.
- Se ISO 27001:2013 bilaga A 10.1.2 för mer information.
Bilaga A 8.24 Förklarat: Implementering av säkra kryptografiska kontroller
Vid överföring av information mellan nätverk och enheter kan cyberangripare försöka stjäla känslig data, ändra innehåll, imitera avsändare/mottagare för att få obehörig åtkomst eller avlyssna utbytet.
Cyberbrottslingar kan anställa man-in-the-middle (MITM) attacker, avlyssning av dataöverföringar och maskerad som server för att få avsändaren att avslöja inloggningsuppgifter. Med dessa referenser kan de få tillgång till system och äventyra känslig data.
Kryptografi, såsom kryptering, kan effektivt skydda konfidentialitet, integritet och tillgänglighet för information under transport.
Kryptografiska tekniker kan hålla informationstillgångar säkra när de inte används. De säkerställer att uppgifterna skyddas från all obehörig åtkomst eller modifiering.
ISO 27001:2022 Annex A 8.24 beskriver hur organisationer kan skapa och tillämpa regler och processer för användning av kryptografi.
Syftet med ISO 27001:2022 bilaga A 8.24
ISO 27001: 2022 Bilaga A 8.24 tillåter organisationer att säkra konfidentialitet, integritet, äkthet och tillgänglighet för informationstillgångar genom korrekt tillämpning av kryptografi och uppfylla följande kriterier:
- Affärskrav är ett måste.
- Se till informationssäkerhet genom genomförande av strikta krav.
- Lagstadgade, avtalsmässiga och organisatoriska uppdrag kräver användning av kryptografi.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Ägande i bilaga A 8.24
Att följa bilaga A 8.24 kräver implementering av en policy för kryptografi, upprättande av en effektiv nyckelhanteringsprocess och fastställande av vilken typ av kryptografisk teknik som är tillämplig på dataklassificeringen av en given informationstillgång.
Ocuco-landskapet Chef för informationssäkerhet måste hållas ansvarig för att upprätta korrekta regler och protokoll angående kryptografiska nycklar.
Allmän vägledning om ISO 27001:2022 bilaga A 8.24 Överensstämmelse
ISO 27001: 2022 Bilaga A Kontroll 8.24 anger sju krav som organisationer måste följa när de använder kryptografiska metoder:
- Organisationer bör ha en policy på plats när det gäller användningen av kryptografi, för att maximera dess fördelar och minska riskerna. Denna policy bör också beskriva allmänna principer för att skydda information.
- Organisationer måste ta hänsyn till hur känsliga deras informationsresurser är, såväl som den informationsklassificeringsnivå som de utsetts för, när de väljer typ, styrka och kvalitet på krypteringsalgoritmen.
- Organisationer bör använda kryptografiska metoder när de överför information till bärbara enheter, mediautrustning eller när den lagras där.
- Organisationer måste ta itu med alla frågor som är kopplade till nyckelhantering, som att bilda och skydda kryptografiska nycklar och ha ett system för dataåterställning i händelse av att nycklarna saknas eller är sårbara.
- Organisationer bör definiera roller och ansvar för följande:
- Reglerna för användning av kryptografiska tekniker måste fastställas och tillämpas.
- Hantering av nycklar, inklusive deras generering.
- Organisationen antar och godkänner standarder som omfattar kryptografiska algoritmer, chifferstyrka och användningsmetoder för kryptografi.
- Organisationer bör överväga den potentiella inverkan av kryptering på effektiviteten av kontrollerna för innehållsinspektion, såsom upptäckt av skadlig programvara.
ISO 27001:2022 Annex A 8.24 betonar att organisationer bör överväga lagkrav och restriktioner som kan påverka användningen av kryptografi, inklusive internationell överföring av krypterad information.
Organisationer bör ta hänsyn till ansvar och kontinuitet i tjänsterna när de ingår tjänsteavtal med externa leverantörer av kryptografiska tjänster.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Vägledning om nyckelhantering
Organisationer måste ställa in och följa säkra processer för generering, lagring, hämtning och bortskaffande av kryptografiska nycklar.
Organisationer bör installera ett gediget nyckelhanteringssystem som innehåller regler, procedurer och kriterier för:
- Det är nödvändigt att generera kryptografiska nycklar för en mängd olika system och applikationer.
- Utfärdande och erhållande av certifikat med offentliga nyckel.
- Distribuera nycklar till avsedda mottagare, inklusive proceduren för nyckelaktivering.
- Nycklar ska förvaras säkert. De som har behörighet att komma åt dem kan göra det med de nödvändiga uppgifterna.
- Byte av nycklar.
- Hantering av komprometterade nycklar bör tas på allvar.
- Om nycklar äventyras eller en auktoriserad personal lämnar en organisation, bör de återkallas.
- Återställning av förlorade nycklar.
- Nyckelsäkerhetskopiering och arkivering bör utföras regelbundet.
- Förstör nycklar.
- Håll ett register över alla aktiviteter kopplade till varje nyckel.
- Fastställande av aktiverings- och avaktiveringsdatum för nycklar.
- Åtkomst till nycklar som svar på juridiska förfrågningar.
Slutligen är det viktigt att organisationer är medvetna om de tre huvudsakliga riskerna som denna kompletterande vägledning beskriver:
- Säkra och privata nycklar bör skyddas mot obehörig användning.
- Skydda utrustning som används för att skapa eller lagra krypteringsnycklar bör göras med fysisk säkerhet åtgärder.
- Organisationer bör säkerställa giltigheten av deras publika nycklar.
Vilka är fördelarna med kryptografi?
ISO 27001:2022 Annex A 8.24 anger att kryptografi kan användas för att hjälpa organisationer att uppnå fyra informationssäkerhetsmål. Dessa mål inkluderar att verifiera äktheten av offentliga nycklar genom processer för hantering av offentliga nycklar:
- Kryptografi säkerställer att sekretessen för data, både under överföring och lagring, bevaras.
- Digitala signaturer och autentiseringskoder garanterar att information som kommuniceras är äkta och tillförlitlig.
- Kryptografiska metoder garanterar att alla händelser eller åtgärder som vidtas, inklusive mottagande av information, inte kommer att avvisas.
- Autentisering genom kryptografiska metoder tillåter organisationer att validera identiteten för användare som söker tillgång till system och applikationer.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 8.24 ersätter ISO 27001:2013 bilaga A 10.1.1 och 10.1.2 i den reviderade 2022-standarden.
Innehållet i de två är nästan detsamma, även om det finns några strukturella ändringar.
Medan 2013-versionen hade två separata kontroller, 10.1.1 och 10.1.2, för användning av kryptografi, konsoliderade 2022-versionen dessa i en bilaga A-kontroll, 8.24.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur ISMS.online Hjälp
ISMS.Online är den främsta mjukvaran för ledningssystem enligt ISO 27001, som hjälper företag att följa ISO 27001:2022 och se till att deras säkerhetspolicyer och -procedurer följer standarden.
Detta molnbaserad plattform erbjuder en omfattande uppsättning verktyg för att hjälpa organisationer att implementera ett Information Security Management System (ISMS) i linje med ISO 27001.
Nå ut och boka en demonstration idag.