Förstå ISO 27701 klausul 6.7: Kryptografiska kontroller för PII-skydd
Kryptografi (kryptering), tillsammans med rollbaserad åtkomst, är den främsta metoden för att säkra PII och integritetsrelaterad information från obehörig användning.
Kryptografiska kontroller är en förutsättning för nästan alla PII-relaterade aktiviteter, där privat information överförs mellan system, applikationer, användare och tredje part.
Vad som omfattas av ISO 27701 klausul 6.7
ISO 27701 6.7 innehåller två underklausuler, som båda bygger på samma vägledning från ISO 27002 8.2.4, som tillhandahåller ett kryptografiskt ramverk för organisationer att verka inom:
- ISO 27002 6.7.1.1 – Policy för användning av kryptografiska kontroller (Referenser ISO 27002 Kontroll 8.24)
- ISO 27002 6.7.1.2 – Nyckelhantering (Referenser ISO 27002 Kontroll 8.24)
ISO 27002 6.7.1.1 innehåller vägledning som faller under brittisk GDPR-lagstiftning. De relevanta artiklarna har tillhandahållits för din bekvämlighet.
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.7.1.1 – Policy för användning av kryptografiska kontroller
Referenser ISO 27002 Kontroll 8.24
Organisationer bör använda kryptering för att skydda konfidentialitet, äktheten och integritet av PII och integritetsrelaterad information, och för att följa deras olika kontraktuella, juridiska eller regulatoriska skyldigheter.
Kryptering är ett långtgående koncept – det finns ingen "one size fits all"-metod. Organisationer bör bedöma sina behov och välja en kryptografisk lösning som uppfyller deras unika kommersiella och operativa mål.
Allmän vägledning
Organisationer bör överväga:
- Utveckla en ämnesspecifikt strategi för kryptografi, som tar hänsyn till olika avdelnings-, rollbaserade och operativa krav.
- Lämplig skyddsnivå (tillsammans med den typ av information som ska krypteras).
- Mobila enheter och lagringsmedia.
- Kryptografisk nyckelhantering (lagring, bearbetning etc).
- Specialiserade roller och ansvar för kryptografiska funktioner, inklusive implementering och nyckelhantering (se ISO 27002 8.24).
- De tekniska krypteringsstandarder som ska antas, inklusive algoritmer, chifferstyrka, riktlinjer för bästa praxis.
- Hur kryptering kommer att fungera tillsammans med andra cybersäkerhetsinsatser, som skydd mot skadlig kod och gatewaysäkerhet.
- Gränsöverskridande och gränsöverskridande lagar och riktlinjer (se ISO 27002 5.31).
- Kontrakt med tredjeparts kryptografipartner som täcker helt eller delvis ansvar, tillförlitlighet och svarstider.
Nyckelhantering
Nyckelhanteringsprocedurer bör vara fördelade på 7 huvudfunktioner:
- Generation.
- Lagring.
- Arkivering.
- Hämtning.
- Distribution.
- Går i pension.
- Förstörelse.
Organisatoriska nyckelhanteringssystem bör:
- Hantera nyckelgenerering för alla krypteringsmetoder.
- Implementera publika nyckelcertifikat.
- Se till att alla relevanta mänskliga och icke-mänskliga enheter får de erforderliga nycklarna.
- Förvara nycklar.
- Ändra nycklar efter behov.
- Ha rutiner på plats för att hantera potentiellt komprometterade nycklar.
- Ta bort nycklar, eller återkalla åtkomst för varje användare.
- Återställ förlorade eller felaktigt fungerande nycklar, antingen från säkerhetskopior och nyckelarkiv.
- Förstör nycklar som inte längre behövs.
- Hantera aktiverings- och inaktiveringslivscykeln, så att vissa nycklar endast är tillgängliga under den tid som de behövs.
- Behandla officiella förfrågningar om tillgång, från brottsbekämpande myndigheter eller, under vissa omständigheter, tillsynsmyndigheter.
- Innehåller åtkomstkontroller som skyddar fysisk åtkomst till nycklar och krypterad information.
- Tänk på äktheten av offentliga nycklar, före implementering (certifikatmyndigheter och offentliga certifikat).
Relevanta ISO 27002-kontroller
- ISO 27002 5.31
- ISO 27002 8.24
Tillämpliga GDPR-artiklar
- Artikel 32 – (1 a)
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.7.1.2 – Nyckelhantering
Referenser ISO 27002 Kontroll 8.24
Se ovan avsnitt om Nyckelhantering (ISO 27701 6.7.1.1).
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.7.1.1 | Policy för användning av kryptografiska kontroller | 8.24 – Användning av kryptografi för ISO 27002 | Artikeln Lagring |
| 6.7.1.2 | Nyckelhantering | 8.24 – Användning av kryptografi för ISO 27002 | Ingen |
Hur ISMS.online hjälper
Hur hjälper vi till?
ISO 27701 visar hur du bygger ett integritetsinformationshanteringssystem som följer de flesta integritetsbestämmelser, inklusive EU:s GDPR, BS 10012 och Sydafrikas POPIA.
Vår förenklade, säkra och hållbara mjukvara hjälper dig att enkelt följa det tillvägagångssätt som beskrivs av den internationellt erkända standarden.
Alla funktioner du behöver:
- ROPA enkelt
- Inbyggd riskbank
- Säkert utrymme för DRR
Ta reda på hur mycket tid och pengar du kommer att spara på din resa till en kombinerad ISO 27002- och 27701-certifiering med ISMS.online av boka en demo.
