Politik for kryptografiske kontroller

Politik for kryptografiske kontroller (P18) fastlægger de obligatoriske kontroller, der styrer brugen af kryptografiske mekanismer i hele organisationen for at sikre fortrolighed, integritet og tilgængelighed samt autenticitet af alle følsomme og regulerede oplysninger. Da kryptografi er grundlæggende for sikre kommunikationer, overholdelse af lovgivningen og databeskyttelse, beskriver denne politik detaljerede krav i overensstemmelse med førende globale standarder og udviklende regulatoriske krav. Hovedformålet er at sikre, at passende kryptografiske metoder anvendes konsekvent, hvor følsomme data overføres, behandles eller opbevares, hvilket understøtter sikker drift på tværs af alle forretningsdomæner. Politikken gælder i hele organisationen og omfatter alle forretningsfunktioner, alt personale og relevante tredjepartstjenesteudbydere, der udfører kryptografiske aktiviteter. Dækningen omfatter produktions-, udviklings-, staging-, systemer for sikkerhedskopiering og katastrofegenopretningsmiljøer med eksplicit reference til systemer, der håndterer fortrolig, meget fortrolig eller regulerede data. Kryptografiske anvendelsestilfælde omfatter symmetrisk og asymmetrisk kryptering, digitale signaturer, sikker hashing og kryptering på API-niveau samt robust nøgleoprettelse, distribution og destruktion, herunder teknologier som Hardware Security Modules (HSM'er), Trusted Platform Modules (TPM'er) og Key Management Systems (KMS). Der etableres et stærkt styringsframework, ledet af informationssikkerhedschefen eller CISO, som ejer politikken og sikrer dens overholdelse af ISO/IEC 27001:2022 Annex A Control 8.24 m.fl. Den kryptografiske driftsansvarlige vedligeholder listen over godkendte kryptografiske metoder (ACML) og nøglestyringsregisteret og leder gennemgang og integration af nye teknologier. Linjeledere, systemadministratorer, aktivejere, udviklere og tredjepartsudbydere tildeles klare ansvarsområder for godkendelse, konfiguration, håndhævelse og gennemgang af kryptografiske kontroller inden for deres områder. Årlige gennemgange og kryptografiske designgennemgange (CDR'er) er obligatoriske for alle nye eller ændrede udrulninger for at sikre tilpasning til aktuelle trusler og regulatoriske krav. Kravene til implementering er omfattende. Kun organisationsgodkendte algoritmer og protokoller, herunder AES-256 til symmetrisk kryptering, RSA 2048+/ECC til asymmetrisk, SHA-256/SHA-3 til hashing og TLS 1.2+ til transport, må anvendes. Der defineres en formel, centralt styret proces for nøglestyring, der dækker sikker nøgleoprettelse, opbevaring, brug, rotation, tilbagekaldelse, destruktion og fornyelse af certifikater. Funktionsadskillelse og dobbelt forvaltning for følsomme aktiviteter sikrer ansvarlighed og reducerer insidertrusler, mens løbende overvågning identificerer certifikatudløb, udfasede cipher-suiter og uautoriseret nøgleadgang. Håndtering af risiko, undtagelser og håndhævelse er stringent. Afvigelser fra standardalgoritmer kræver en dokumenteret godkendelsesproces, herunder risikovurdering og kompenserende kontroller. Årlig revision af kryptografiske kontroller, streng eskalering ved manglende overholdelse eller nøglekompromittering samt formelle disciplinære eller kontraktlige afhjælpninger er standardprocedure. Politikken gennemgås og opdateres regelmæssigt som reaktion på nye kryptografiske sårbarheder, regulatoriske ændringer, driftsrevisioner eller væsentlige værktøjsopgraderinger med central kommunikation og versionsstyring via ISMS Document Control Register.