Beleid inzake cryptografische beheersmaatregelen

Het Beleid inzake cryptografische beheersmaatregelen (P18) stelt de verplichte beheersmaatregelen vast die het gebruik van cryptografische mechanismen binnen de organisatie sturen om de vertrouwelijkheid, integriteit en authenticiteit van alle gevoelige en gereguleerde informatie te waarborgen. Erkennend dat cryptografie fundamenteel is voor veilige communicatie, naleving van de regelgeving en gegevensbescherming, beschrijft dit beleid gedetailleerde eisen die zijn afgestemd op toonaangevende wereldwijde normen en evoluerende regelgevende vereisten. Het primaire doel is te garanderen dat passende cryptografische methoden consistent worden toegepast waar gevoelige gegevens worden verzonden, verwerkt of opgeslagen, om organisatorisch vertrouwen op te bouwen en veilige operaties in alle bedrijfsdomeinen te ondersteunen. Het beleid is organisatiebreed van toepassing en omvat alle bedrijfsfuncties, al het personeel en relevante dienstverleners van derde partijen die betrokken zijn bij cryptografische activiteiten. De dekking strekt zich uit over productie-, ontwikkel-, staging- en back-upsystemen en disaster recovery-omgevingen, met expliciete verwijzing naar systemen die vertrouwelijke, zeer vertrouwelijke of gereguleerde gegevens verwerken. Cryptografische use-cases variëren van symmetrische en asymmetrische encryptie, digitale handtekeningen, veilige hashing en encryptie op API-niveau tot robuuste sleutelgeneratie, distributie en vernietiging, inclusief technologieën zoals Hardware Security Modules (HSM's), Trusted Platform Modules (TPM's) en Key Management Systems (KMS). Er wordt een sterk governancemodel vastgesteld, geleid door de Informatiebeveiligingsmanager of CISO, die eigenaar is van het beleid en de naleving ervan waarborgt met ISO/IEC 27001:2022 Annex A Control 8.24, onder andere. De Cryptographic Operations Lead onderhoudt de Approved Cryptographic Methods List (ACML) en het Key Management Register en leidt de beoordeling en integratie van nieuwe technologieën. Lijnmanagers, systeembeheerders, asset-eigenaren, ontwikkelaars en derde partijen krijgen duidelijke verantwoordelijkheden voor de goedkeuring, configuratie, handhaving en beoordeling van cryptografische beheersmaatregelen binnen hun domeinen. Jaarlijkse herzieningen en Cryptographic Design Reviews (CDR's) zijn verplicht voor alle nieuwe of gewijzigde uitrollen, om afstemming op actuele dreigingen en regelgevende vereisten te waarborgen. De implementatie-eisen van het beleid zijn uitgebreid. Alleen door de organisatie goedgekeurde algoritmen en protocollen, waaronder AES-256 voor symmetrische encryptie, RSA 2048+/ECC voor asymmetrische encryptie, SHA-256/SHA-3 voor hashing en TLS 1.2+ voor transport, mogen worden gebruikt. Er is een formeel, centraal beheerd sleutelbeheerproces gedefinieerd, dat veilige sleutelgeneratie, opslag, gebruik, rotatie, intrekking, vernietiging en certificaatvernieuwing omvat. Functiescheiding en dual custody voor gevoelige activiteiten waarborgen verantwoordingsplicht en verminderen risico’s van dreigingen van binnenuit, terwijl continue monitoring certificaatverloop, gebruik van verouderde ciphers en ongeautoriseerde sleuteltoegang identificeert. De behandeling van risico’s, uitzonderingen en handhaving is strikt. Afwijking van standaardalgoritmen vereist een gedocumenteerd goedkeuringsproces, inclusief risicobeoordeling en compenserende maatregelen. Jaarlijkse auditing van cryptografische beheersmaatregelen, strikte escalatie bij niet-naleving of sleutelcompromittering en formele disciplinaire of contractuele herstelmaatregelen zijn standaardprocedure. Het beleid wordt regelmatig herzien en bijgewerkt als reactie op nieuwe cryptografische kwetsbaarheden, regelgevende wijzigingen, operationele audits of significante tool-upgrades, met gecentraliseerde communicatie en versiebeheer via het ISMS Document Control Register.