policy Enterprise

Kryptografisten hallintakeinojen politiikka

Varmista luottamuksellisuus, eheys ja aitous arkaluonteisille tiedoille vahvoilla kryptografisilla hallintakeinoilla ISO/IEC 27001:n, NIST:n, GDPR:n ja muiden vaatimusten mukaisesti.

Yleiskatsaus

Tämä politiikka määrittää vaatimukset kryptografisten hallintakeinojen turvalliselle ja vaatimustenmukaiselle käytölle koko organisaatiossa. Se kuvaa hallintotavan, algoritmien hyväksynnän, avainten hallinnan, täytäntöönpanon ja auditointiprosessit johtavien standardien ja sääntelyn mukaisesti.

Kattava salauspolitiikka

Määrittelee kryptografian pakollisen käytön arkaluonteisten ja sääntelyn alaisten tietojen suojaamiseksi levossa, siirron aikana ja käsittelyn aikana.

Hallintotapa ja avainten hallinta

Standardoi avainten elinkaaren, hyväksyy kryptografiset menetelmät ja varmistaa tehtävien eriyttämisen ja säilytysvastuun.

Sääntelyvaatimusten noudattaminen

Yhdenmukaistaa ISO/IEC 27001:n, NIST SP 800-53:n, GDPR:n, NIS2:n, DORA:n ja COBITin kanssa kattavaa lakisääteistä ja auditointivalmiutta varten.

Jatkuva katselmointi ja seuranta

Edellyttää vuosittaisia katselmointeja, kryptografisen tilan seurantaa sekä ennakoivaa reagointia haavoittuvuuksiin ja vaatimustenvastaisuuteen.

Lue koko yleiskatsaus
Kryptografisten hallintakeinojen politiikka (P18) määrittää pakolliset hallintakeinot, jotka ohjaavat kryptografisten mekanismien käyttöä koko organisaatiossa, jotta varmistetaan kaiken arkaluonteisen ja sääntelyn alaisen tiedon luottamuksellisuus, eheys ja aitous. Koska kryptografia on keskeinen osa turvallista viestintää, sääntelyvaatimusten noudattamista ja tietosuojaa, tämä politiikka kuvaa yksityiskohtaiset vaatimukset, jotka ovat yhdenmukaisia johtavien kansainvälisten standardien ja kehittyvien sääntelyvaatimusten kanssa. Ensisijainen tarkoitus on varmistaa, että asianmukaisia kryptografisia menetelmiä sovelletaan johdonmukaisesti aina, kun arkaluonteista dataa siirretään, käsitellään tai tallennetaan, vahvistaen luottamusta ja tukien turvallista toimintaa kaikilla liiketoiminta-alueilla. Politiikka koskee koko organisaatiota ja kattaa kaikki liiketoiminnot, koko henkilöstön sekä asiaankuuluvat kolmannen osapuolen palveluntarjoajat, jotka osallistuvat kryptografisiin toimintoihin. Soveltamisala ulottuu tuotanto-, kehitys-, staging-, varmuuskopiointijärjestelmä- ja katastrofipalautusympäristöihin, ja viittaa nimenomaisesti järjestelmiin, jotka käsittelevät Luottamuksellinen-, Erittäin luottamuksellinen- tai sääntelyn alaiset tiedot -luokiteltuja tietoja. Kryptografiset käyttötapaukset kattavat symmetrisen ja epäsymmetrisen salauksen, digitaaliset allekirjoitukset, turvallisen tiivisteytyksen sekä API-tason salauksen, ja lisäksi vahvan avainten luomisen, jakelun ja tuhoamisen, mukaan lukien teknologiat kuten Hardware Security Modules (HSMs), Trusted Platform Modules (TPMs) ja Key Management Systems (KMS). Vahva hallintotapaviitekehys perustetaan, ja sitä johtaa tietoturvapäällikkö tai tietoturvajohtaja (CISO), joka omistaa politiikan ja varmistaa sen vaatimustenmukaisuuden ISO/IEC 27001:2022 Liite A:n hallintakeinon 8.24 ja muiden vaatimusten kanssa. Kryptografisten toimintojen vetäjä ylläpitää hyväksyttyjen kryptografisten menetelmien luetteloa (ACML) ja avainten hallintarekisteriä sekä johtaa uusien teknologioiden katselmointia ja integrointia. Lähiesihenkilöt, järjestelmänvalvojat, omaisuuden omistaja, kehittäjät ja kolmannen osapuolen palveluntarjoajat saavat selkeät vastuut kryptografisten hallintakeinojen hyväksynnästä, konfiguroinnista, täytäntöönpanosta ja katselmoinnista omilla vastuualueillaan. Vuosittaiset katselmoinnit ja kryptografiset suunnittelukatselmoinnit (CDR) ovat pakollisia kaikille uusille tai muutetuille käyttöönotolle, jotta varmistetaan yhdenmukaisuus ajankohtaisten uhkien ja sääntelyvaatimusten kanssa. Politiikan toteutusvaatimukset ovat kattavat. Vain organisaation hyväksymiä algoritmeja ja protokollia, mukaan lukien AES-256 symmetriseen salaukseen, RSA 2048+/ECC epäsymmetriseen, SHA-256/SHA-3 tiivisteytykseen ja TLS 1.2+ siirtoon, saa käyttää. Muodollinen, keskitetysti hallittu avainten hallintaprosessi määritellään ja kattaa turvallisen avainten luomisen, säilytyksen, käytön, kierron, perumisen, tuhoamisen ja varmenteiden uusimisen. Tehtävien eriyttäminen ja kahden henkilön säilytysvastuu arkaluonteisissa toiminnoissa varmistavat vastuuvelvollisuuden ja vähentävät sisäpiiriuhkia, kun taas jatkuva seuranta tunnistaa varmenteiden vanhenemisen, käytöstä poistettujen salausmenetelmien käytön ja luvattoman avainpääsyn. Riskien, poikkeusten ja täytäntöönpanon käsittely on tiukkaa. Poikkeaminen vakiomenetelmistä edellyttää dokumentoitua hyväksyntäprosessia, mukaan lukien riskien arviointi ja kompensoivat hallintakeinot. Kryptografisten hallintakeinojen vuosittainen auditointi, tiukka eskalointi vaatimustenvastaisuuden tai avainten vaarantumisen yhteydessä sekä muodolliset kurinpidolliset tai sopimukselliset seuraamukset ovat vakiomenettely. Politiikka katselmoidaan ja päivitetään säännöllisesti vastauksena uusiin kryptografisiin haavoittuvuuksiin, sääntelymuutoksiin, operatiivisiin auditointeihin tai merkittäviin työkalupäivityksiin, ja keskitetty viestintä sekä versionhallinta toteutetaan ISMS Document Control Registerin kautta.

Käytäntökaavio

Kaavio, joka havainnollistaa yrityksen kryptografisten hallintakeinojen prosessin: politiikan omistajuus, kryptografinen suunnittelukatselmointi, avainten hallinnan rekisteröinti, jatkuva tilan seuranta, poikkeusten käsittely ja vuosittaiset standardipäivitykset.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja toimintasäännöt

Roolit ja vastuut

Hyväksytyt algoritmit ja protokollat

Avainten hallinnan elinkaari

Poikkeusten käsittely ja prosessi

Auditointi ja vaatimustenvastaisuuden menettelyt

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
8.1Annex A 8.24
ISO/IEC 27002:2022
8.248.25
NIST SP 800-53 Rev.5
SC-12SC-13SC-17SC-28SC-28(1)SC-12(3)
EU GDPR
Article 32Articles 33–34Recital 83
EU NIS2
Article 21(2)(d)
EU DORA
Article 6(2)(d)Article 11(1)(c)
COBIT 2019
DSS05.01DSS06.06MEA03

Liittyvät käytännöt

P01 Tietoturvapolitiikka

Tarjoaa perustavan hallintotavan kaikille tietoturvatoimenpiteille, mukaan lukien kryptografisten hallintakeinojen täytäntöönpano, omaisuuden suojaus ja turvallinen viestintä.

Pääsynhallintapolitiikka

Varmistaa, että looginen pääsy kryptografiseen materiaaliin ja salauksen hallintajärjestelmiin on tiukasti rajoitettu vähimmän etuoikeuden periaatteen ja tehtävien eriyttämisen mukaisesti.

Riskienhallintapolitiikka

Tukee kryptografisten hallintakeinojen riskien arviointia ja dokumentoi riskien käsittelystrategian poikkeuksia, algoritmien vanhentumista tai avainten vaarantumisskenaarioita varten.

Omaisuudenhallintapolitiikka

Edellyttää arkaluonteisten tietojen ja laitteisto-omaisuuserien luokittelua, mikä määrittää suoraan kryptografiset vaatimukset ja avainten säilytysvastuun velvoitteet.

Tietojen luokittelu- ja merkintäpolitiikka

Määrittää luokittelutasot (esim. Luottamuksellinen, sääntelyn alaiset tiedot), jotka käynnistävät tietyt salausvaatimukset siirron aikana ja levossa.

Tietojen säilytys- ja hävityspolitiikka

Määrittää menettelyt salattujen tallennusvälineiden ja kryptografisen avainmateriaalin turvalliseen hävittämiseen elinkaaren lopussa.

Tietoturvapoikkeamiin reagoinnin politiikka (P30)

Kuvaa organisaation reagointistrategian avainten vaarantumiseen, varmenteiden väärinkäyttöön tai epäiltyihin algoritmisiin haavoittuvuuksiin, mukaan lukien nopea peruminen ja tietoturvaloukkausten raportointi.

Tietoa Clarysecin käytännöistä - Kryptografisten hallintakeinojen politiikka

Tehokas tietoturvan hallinto edellyttää enemmän kuin pelkkiä kirjauksia; se vaatii selkeyttä, vastuuvelvollisuutta ja rakenteen, joka skaalautuu organisaatiosi mukana. Yleiset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu tietoturvaohjelmasi operatiiviseksi selkärangaksi. Osoitamme vastuut nykyaikaisessa yrityksessä esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT- ja tietoturvatiimit sekä asiaankuuluvat toimikunnat, varmistaen selkeän vastuunjaon. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon toteuttaa, auditoida tiettyjä hallintakeinoja vasten ja räätälöidä turvallisesti vaikuttamatta asiakirjan eheyteen, muuttaen sen staattisesta dokumentista dynaamiseksi, toimeenpantavaksi viitekehykseksi.

Roolipohjainen kryptografinen valvonta

Osoittaa ja toimeenpanee selkeät vastuut kryptografisille hallintakeinoille tietoturvajohtajan (CISO), IT:n, kontrollien omistajien ja kolmannen osapuolen palveluntarjoajien kesken.

Keskitetty avainten hallintarekisteri

Toteuttaa yhtenäisen rekisterin, joka seuraa kaikkia kryptografisia avaimia, elinkaaritilaa, säilytysvastuuta ja vaatimustenmukaisuuskontekstia.

Tiukka poikkeusten käsittely

Muodollistaa poikkeuspyynnöt, riskikatselmoinnin ja kompensoivat hallintakeinot ei-vakiomuotoista salausta varten; dokumentoitu ja auditoitava.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT Tietoturva Vaatimustenmukaisuus

🏷️ Aiheen kattavuus

Kryptografia Avainten hallinta Vaatimustenmukaisuuden hallinta Tietosuoja Turvallinen viestintä
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset
Cryptographic Controls Policy

Tuotetiedot

Tyyppi: policy
Luokka: Enterprise
Standardit: 7