ISO 27001:2022 Bilaga A Kontroll 8.24

Användning av kryptografi

Boka en demo

närbild,grupp,unga,kollegor,tillsammans,diskutera,kreativ,projekt,under,arbete

Vid överföring av information mellan nätverk och enheter kan cyberangripare försöka stjäla känslig data, ändra innehåll, imitera avsändare/mottagare för att få obehörig åtkomst eller avlyssna utbytet.

Cyberbrottslingar kan anställa man-in-the-middle (MITM) attacker, avlyssning av dataöverföringar och maskerad som server för att få avsändaren att avslöja inloggningsuppgifter. Med dessa referenser kan de få tillgång till system och äventyra känslig data.

Kryptografi, såsom kryptering, kan effektivt skydda konfidentialitet, integritet och tillgänglighet för information under transport.

Kryptografiska tekniker kan hålla informationstillgångar säkra när de inte används. De säkerställer att uppgifterna skyddas från all obehörig åtkomst eller modifiering.

ISO 27001:2022 Annex A 8.24 beskriver hur organisationer kan skapa och tillämpa regler och processer för användning av kryptografi.

Syftet med ISO 27001:2022 bilaga A 8.24

ISO 27001: 2022 Bilaga A 8.24 tillåter organisationer att säkra konfidentialitet, integritet, äkthet och tillgänglighet för informationstillgångar genom korrekt tillämpning av kryptografi och uppfylla följande kriterier:

  • Affärskrav är ett måste.

  • Se till informationssäkerhet genom genomförande av strikta krav.

  • Lagstadgade, avtalsmässiga och organisatoriska uppdrag kräver användning av kryptografi.

Ägande i bilaga A 8.24

Att följa bilaga A 8.24 kräver implementering av en policy för kryptografi, upprättande av en effektiv nyckelhanteringsprocess och fastställande av vilken typ av kryptografisk teknik som är tillämplig på dataklassificeringen av en given informationstillgång.

Smakämnen Chef för informationssäkerhet måste hållas ansvarig för att upprätta korrekta regler och protokoll angående kryptografiska nycklar.

Hoppa till ämne

Allmän vägledning om ISO 27001:2022 bilaga A 8.24 Överensstämmelse

ISO 27001: 2022 Bilaga A Kontroll 8.24 anger sju krav som organisationer måste följa när de använder kryptografiska metoder:

  1. Organisationer bör ha en policy på plats när det gäller användningen av kryptografi, för att maximera dess fördelar och minska riskerna. Denna policy bör också beskriva allmänna principer för att skydda information.

  2. Organisationer måste ta hänsyn till hur känsliga deras informationsresurser är, såväl som den informationsklassificeringsnivå som de utsetts för, när de väljer typ, styrka och kvalitet på krypteringsalgoritmen.

  3. Organisationer bör använda kryptografiska metoder när de överför information till bärbara enheter, mediautrustning eller när den lagras där.

  4. Organisationer måste ta itu med alla frågor som är kopplade till nyckelhantering, som att bilda och skydda kryptografiska nycklar och ha ett system för dataåterställning i händelse av att nycklarna saknas eller är sårbara.

  5. Organisationer bör definiera roller och ansvar för följande:

    • Reglerna för användning av kryptografiska tekniker måste fastställas och tillämpas.

    • Hantering av nycklar, inklusive deras generering.

  6. Organisationen antar och godkänner standarder som omfattar kryptografiska algoritmer, chifferstyrka och användningsmetoder för kryptografi.

  7. Organisationer bör överväga den potentiella inverkan av kryptering på effektiviteten av kontrollerna för innehållsinspektion, såsom upptäckt av skadlig programvara.

ISO 27001:2022 Annex A 8.24 betonar att organisationer bör överväga lagkrav och restriktioner som kan påverka användningen av kryptografi, inklusive internationell överföring av krypterad information.

Organisationer bör ta hänsyn till ansvar och kontinuitet i tjänsterna när de ingår tjänsteavtal med externa leverantörer av kryptografiska tjänster.

Vägledning om nyckelhantering

Organisationer måste ställa in och följa säkra processer för generering, lagring, hämtning och bortskaffande av kryptografiska nycklar.

Organisationer bör installera ett gediget nyckelhanteringssystem som innehåller regler, procedurer och kriterier för:

  • Det är nödvändigt att generera kryptografiska nycklar för en mängd olika system och applikationer.

  • Utfärdande och erhållande av certifikat med offentliga nyckel.

  • Distribuera nycklar till avsedda mottagare, inklusive proceduren för nyckelaktivering.

  • Nycklar ska förvaras säkert. De som har behörighet att komma åt dem kan göra det med de nödvändiga uppgifterna.

  • Byte av nycklar.

  • Hantering av komprometterade nycklar bör tas på allvar.

  • Om nycklar äventyras eller en auktoriserad personal lämnar en organisation, bör de återkallas.

  • Återställning av förlorade nycklar.

  • Nyckelsäkerhetskopiering och arkivering bör utföras regelbundet.

  • Förstör nycklar.

  • Håll ett register över alla aktiviteter kopplade till varje nyckel.

  • Fastställande av aktiverings- och avaktiveringsdatum för nycklar.

  • Åtkomst till nycklar som svar på juridiska förfrågningar.

Slutligen är det viktigt att organisationer är medvetna om de tre huvudsakliga riskerna som denna kompletterande vägledning beskriver:

  1. Säkra och privata nycklar bör skyddas mot obehörig användning.

  2. Skydda utrustning som används för att skapa eller lagra krypteringsnycklar bör göras med fysisk säkerhet åtgärder.

  3. Organisationer bör säkerställa giltigheten av deras publika nycklar.

Vilka är fördelarna med kryptografi?

ISO 27001:2022 Annex A 8.24 anger att kryptografi kan användas för att hjälpa organisationer att uppnå fyra informationssäkerhetsmål. Dessa mål inkluderar att verifiera äktheten av offentliga nycklar genom processer för hantering av offentliga nycklar:

  1. Kryptografi säkerställer att sekretessen för data, både under överföring och lagring, bevaras.

  2. Digitala signaturer och autentiseringskoder garanterar att information som kommuniceras är äkta och tillförlitlig.

  3. Kryptografiska metoder garanterar att alla händelser eller åtgärder som vidtas, inklusive mottagande av information, inte kommer att avvisas.

  4. Autentisering genom kryptografiska metoder tillåter organisationer att validera identiteten för användare som söker tillgång till system och applikationer.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.24 ersätter ISO 27001:2013 bilaga A 10.1.1 och 10.1.2 i den reviderade 2022-standarden.

Innehållet i de två är nästan detsamma, även om det finns några strukturella ändringar.

Medan 2013-versionen hade två separata kontroller, 10.1.1 och 10.1.2, för användning av kryptografi, konsoliderade 2022-versionen dessa i en bilaga A-kontroll, 8.24.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.Online är den främsta mjukvaran för ledningssystem enligt ISO 27001, som hjälper företag att följa ISO 27001:2022 och se till att deras säkerhetspolicyer och -procedurer följer standarden.

Denna molnbaserad plattform erbjuder en omfattande uppsättning verktyg för att hjälpa organisationer att implementera ett Information Security Management System (ISMS) i linje med ISO 27001.

Nå ut och boka en demonstration idag.

Jag har gjort ISO 27001 den hårda vägen så jag värdesätter verkligen hur mycket tid det sparade oss på att uppnå ISO 27001-certifiering.

Carl Vaughan
Infosec Lead, MetCloud

Boka din demo

Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer