- nähdä ISO 27002:2022 Control 8.24 lisätietoja.
- nähdä ISO 27001:2013 Liite A 10.1.1 lisätietoja.
- nähdä ISO 27001:2013 Liite A 10.1.2 lisätietoja.
Liite A 8.24 Selitys: Secure Cryptographic Controls -järjestelmän käyttöönotto
Siirretessään tietoja verkkojen ja laitteiden välillä verkkohyökkääjät voivat yrittää varastaa arkaluontoisia tietoja, muuttaa sisältöä, jäljitellä lähettäjiä/vastaanottajia päästäkseen luvattomasti sisään tai siepata tiedonsiirtoa.
Verkkorikolliset voivat työllistää mies keskellä (MITM) hyökkäyksiä, siepata tiedonsiirtoja ja naamioitunut palvelimeksi saadakseen lähettäjän paljastamaan kirjautumistiedot. Näillä valtuustiedoilla he voivat päästä käsiksi järjestelmiin ja vaarantaa arkaluontoiset tiedot.
Salaus, kuten salaus, voi tehokkaasti turvata tiedon luottamuksellisuuden, eheyden ja saatavuuden siirron aikana.
Salaustekniikat voivat pitää tietovarat turvassa, kun niitä ei käytetä. He varmistavat, että tiedot on suojattu luvattomalta käytöltä tai muutoksilta.
ISO 27001:2022 Liite A 8.24 hahmottelee, kuinka organisaatiot voivat luoda ja soveltaa salauksen käyttöä koskevia määräyksiä ja prosesseja.
ISO 27001:2022 liitteen A tarkoitus 8.24
ISO 27001: 2022 Liite A 8.24 antaa organisaatioille mahdollisuuden turvata tietovarojen luottamuksellisuus, eheys, aitous ja saatavuus käyttämällä oikeaa kryptografiaa ja täyttämällä seuraavat kriteerit:
- Liiketoiminnan vaatimukset ovat pakollisia.
- Varmistaa tietoturva tiukkojen vaatimusten täytäntöönpanon kautta.
- Lakisääteiset, sopimukset ja organisatoriset toimeksiannot edellyttävät salauksen käyttöä.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Liitteen A omistusoikeus 8.24
Liitteen A kohdan 8.24 noudattaminen edellyttää kryptografiaa koskevan politiikan toteuttamista, tehokkaan avaintenhallintaprosessin luomista ja tietyn tietoresurssin tietojen luokitteluun sovellettavan salaustekniikan tyypin määrittelyä.
- Tietoturvajohtaja on pidettävä vastuussa salausavaimia koskevien asianmukaisten määräysten ja protokollien luomisesta.
Yleiset ohjeet standardista ISO 27001:2022 Liite A 8.24 Vaatimustenmukaisuus
ISO 27001: 2022 Liite A Ohjaus 8.24 määrittelee seitsemän vaatimusta, jotka organisaatioiden on noudatettava salausmenetelmiä käyttäessään:
- Organisaatioilla tulisi olla salauksen käyttöä koskeva politiikka, jotta sen hyödyt voidaan maksimoida ja riskejä pienentää. Tässä politiikassa tulisi myös hahmotella yleiset tietojen suojaamisen periaatteet.
- Organisaatioiden tulee ottaa salausalgoritmin tyyppiä, vahvuutta ja laatua valitessaan huomioon tietoresurssien herkkyys ja niille määrätty tiedon luokittelutaso.
- Organisaatioiden tulisi käyttää salausmenetelmiä siirrettäessä tietoja kannettaviin laitteisiin, medialaitteisiin tai kun niitä tallennetaan niihin.
- Organisaatioiden on puututtava kaikkiin avaintenhallintaan liittyviin asioihin, kuten salausavainten muodostamiseen ja suojaamiseen sekä tietojen palautussuunnitelmaan siinä tapauksessa, että avaimet puuttuvat tai ovat haavoittuvia.
- Organisaatioiden tulee määritellä roolit ja vastuut seuraaville asioille:
- Salaustekniikoiden käyttöä koskevat säännöt on laadittava ja niitä on valvottava.
- Avainten käsittely, mukaan lukien niiden luominen.
- Organisaatio ottaa käyttöön ja hyväksyy standardeja, jotka kattavat salausalgoritmit, salauksen vahvuuden ja salauksen käyttökäytännöt.
- Organisaatioiden tulee harkita salauksen mahdollista vaikutusta sisällöntarkastusten tehokkuuteen, kuten haittaohjelmien havaitsemiseen.
ISO 27001:2022 Liite A 8.24 korostaa, että organisaatioiden tulee ottaa huomioon lailliset vaatimukset ja rajoitukset, jotka voivat vaikuttaa kryptografian käyttöön, mukaan lukien salatun tiedon kansainvälinen siirto.
Organisaatioiden tulee ottaa huomioon vastuu ja palvelujen jatkuvuus tehdessään palvelusopimuksia ulkopuolisten salauspalveluiden tarjoajien kanssa.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Ohjeita avainten hallintaan
Organisaatioiden on määritettävä ja noudatettava suojattuja prosesseja salausavainten luomiseksi, tallentamiseksi, hakemiseksi ja hävittämiseksi.
Organisaatioiden tulee asentaa vankka avaintenhallintajärjestelmä, joka sisältää säännöt, menettelyt ja kriteerit:
- Salausavainten luominen erilaisille järjestelmille ja sovelluksille on välttämätöntä.
- Julkisen avaimen varmenteiden myöntäminen ja hankkiminen.
- Jaa avaimet aiotuille vastaanottajille, mukaan lukien avaimen aktivointimenettely.
- Avaimet tulee säilyttää turvallisesti. Ne, joilla on oikeus käyttää niitä, voivat tehdä sen tarvittavilla tunnistetiedoilla.
- Avainten vaihto.
- Vaarallisten avainten käsittelyyn tulee suhtautua vakavasti.
- Jos avaimet vaarantuvat tai valtuutettu henkilöstö lähtee organisaatiosta, ne tulee peruuttaa.
- Kadonneiden avainten palautus.
- Avainten varmuuskopiointi ja arkistointi on suoritettava säännöllisesti.
- Avainten tuhoaminen.
- Pidä kirjaa kaikista kuhunkin avaimeen liittyvistä toiminnoista.
- Avainten aktivointi- ja deaktivointipäivämäärien määrittäminen.
- Avainten käyttö laillisten pyyntöjen perusteella.
Lopuksi on tärkeää, että organisaatiot ovat tietoisia kolmesta pääriskistä, jotka tässä täydentävässä ohjeessa hahmotellaan:
- Suojatut ja yksityiset avaimet tulee suojata luvattomalta käytöltä.
- Salausavainten luomiseen tai tallentamiseen käytettävien suojalaitteiden kanssa tulee käyttää fyysinen turvallisuus toimenpiteet.
- Organisaatioiden tulee varmistaa julkisten avaimiensa kelpoisuus.
Mitkä ovat kryptografian edut?
ISO 27001:2022 liitteen A kohdassa 8.24 todetaan, että kryptografiaa voidaan käyttää auttamaan organisaatioita saavuttamaan neljä tietoturvatavoitetta. Näihin tavoitteisiin kuuluu julkisten avainten aitouden varmistaminen julkisen avaimen hallintaprosessien avulla:
- Salaus takaa tietojen luottamuksellisuuden säilymisen sekä siirrettäessä että tallennettaessa.
- Digitaaliset allekirjoitukset ja todennuskoodit takaavat, että välitetyt tiedot ovat aitoja ja luotettavia.
- Salausmenetelmät takaavat, että kaikkia tapahtumia tai toimia, mukaan lukien tiedon vastaanottaminen, ei kielletä.
- Salausmenetelmien avulla tapahtuva todennus antaa organisaatioille mahdollisuuden vahvistaa niiden käyttäjien henkilöllisyyden, jotka etsivät pääsyä järjestelmiin ja sovelluksiin.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot standardista ISO 27001:2013
ISO 27001:2022 liite A 8.24 korvaa ISO 27001:2013 liitteen A 10.1.1 ja 10.1.2 tarkistetussa 2022 standardissa.
Näiden kahden sisältö on lähes sama, vaikka rakenteellisia muutoksia onkin.
Kun vuoden 2013 versiossa oli kaksi erillistä ohjausobjektia, 10.1.1 ja 10.1.2, salauksen käyttöä varten, vuoden 2022 versiossa ne yhdistettiin yhdeksi liitteen A hallintaan, 8.24.
Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista
Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 |
Liite A 5.1.1 Liite A 5.1.2 |
Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 |
Liite A 6.1.5 Liite A 14.1.1 |
Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 |
Liite A 8.1.1 Liite A 8.1.2 |
Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 |
Liite A 8.1.3 Liite A 8.2.3 |
Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 |
Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 |
Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 |
Liite A 9.1.1 Liite A 9.1.2 |
Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 |
Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 |
Todennustiedot |
| Organisaation valvonta | Liite A 5.18 |
Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 |
Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 |
Liite A 15.2.1 Liite A 15.2.2 |
Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 |
Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 |
Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 |
Liite A 18.1.1 Liite A 18.1.5 |
Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 |
Liite A 18.2.2 Liite A 18.2.3 |
Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 |
Liite A 16.1.2 Liite A 16.1.3 |
Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 |
Liite A 11.1.2 Liite A 11.1.6 |
Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 |
Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 |
Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 |
Liite A 6.2.1 Liite A 11.2.8 |
Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 |
Liite A 12.6.1 Liite A 18.2.3 |
Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 |
Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 |
Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttöoikeudet |
| Tekniset säädöt | Liite A 8.19 |
Liite A 12.5.1 Liite A 12.6.2 |
Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 |
Liite A 10.1.1 Liite A 10.1.2 |
Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 |
Liite A 14.1.2 Liite A 14.1.3 |
Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet Tietoturvapoikkeamista oppiminen |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 |
Liite A 14.2.8 Liite A 14.2.9 |
Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 |
Liite A 12.1.4 Liite A 14.2.6 |
Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 |
Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 |
Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
Miten ISMS.online Ohje
ISMS.Online on johtava ISO 27001 -hallintajärjestelmäohjelmisto, joka auttaa yrityksiä noudattamaan ISO 27001:2022 -standardia ja varmistamaan, että niiden turvallisuuspolitiikka ja -menettelyt ovat standardin mukaisia.
Tämä pilvipohjainen alusta tarjoaa kattavan valikoiman työkaluja, jotka auttavat organisaatioita ottamaan käyttöön ISO 27001 -standardin mukaisen tietoturvan hallintajärjestelmän (ISMS).
Ojenna kätesi ja varaa esittely tänään.