Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin kohta A.3.26: Kryptografian käyttö

Kontrolli A.3.26 edellyttää organisaatioilta, että ne määrittelevät ja ottavat käyttöön säännöt henkilötietojen käsittelyyn liittyvän kryptografian tehokkaalle käytölle, mukaan lukien kryptografisten avainten hallinta. Tämä jaettu valvonta suojaa henkilötietojen luottamuksellisuutta ja eheyttä salauksen ja siihen liittyvien tekniikoiden avulla.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.26 edellyttää?

Henkilötietojen käsittelyyn liittyvän kryptografian tehokasta käyttöä, mukaan lukien kryptografisten avainten hallinta, koskevat säännöt on määriteltävä ja pantava täytäntöön.

Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja edellyttää organisaatioilta jäsenneltyä, käytäntöihin perustuvaa lähestymistapaa kryptografiaan. Pelkkä tietojen salaaminen ei riitä – organisaation on määriteltävä säännöt, jotka määrittävät, milloin kryptografiaa tarvitaan, mitkä algoritmit ja avainten pituudet ovat hyväksyttäviä, miten avaimia hallitaan niiden elinkaaren aikana ja miten kryptografisista ominaisuuksista tiedotetaan asiakkaille.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.3.26) annetaan seuraavat ohjeet:

  • Lainkäyttöalueen vaatimukset — Joillakin lainkäyttöalueilla voidaan vaatia kryptografian käyttöä tietynlaisten henkilötietojen, kuten terveystietojen, asukkaiden rekisteröintinumeroiden, passinumeroiden ja ajokorttinumeroiden, suojaamiseksi.
  • Asiakkaan läpinäkyvyys — Organisaation tulisi antaa asiakkaalle tietoa olosuhteista, joissa se käyttää kryptografiaa käsittelemiensä henkilötietojen suojaamiseen.
  • Asiakkaan itsepalvelun salaus — Organisaation tulisi myös tarjota tietoa tarjoamistaan ​​ominaisuuksista, jotka voivat auttaa asiakasta heidän oman kryptografisen suojauksensa soveltamisessa.
  • Katso myös A.3.22: Käyttäjän päätelaitteet asiaankuuluvia vaatimuksia varten
  • Katso myös A.3.25: Lokikirjaus asiaankuuluvia vaatimuksia varten

Ohjeistus korostaa kahta tärkeää ulottuvuutta: laissa määrättyä pakollista salausta (joka vaihtelee lainkäyttöalueen ja henkilötietojen tyypin mukaan) ja läpinäkyvyyttä asiakkaille siitä, mitä salausta käytetään ja mitä vaihtoehtoja on saatavilla. Erityisesti käsittelijöiden on oltava valmiita selittämään salausarkkitehtuurinsa rekisterinpitäjille.

Miten tämä vastaa GDPR:ää?

Kontrolli A.3.26 vastaa seuraavaa GDPR artikkeli:

  • 32 artikla (1) a) — Vaatimus asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta, mukaan lukien henkilötietojen pseudonymisointi ja salaus

Artiklan 32(1)(a) mukaan salaus mainitaan nimenomaisesti asianmukaisena teknisenä toimenpiteenä, mikä tekee kryptografiasta yhden harvoista tässä asetuksessa suoraan mainituista erityistekniikoista. GDPRSalaus mainitaan myös yleisen tietosuoja-asetuksen johdanto-osan 83 kappaleessa, ja se voi vähentää 34(3)(a) artiklan mukaisia ​​tietomurtoilmoitusvelvoitteita, jos tiedot tehdään luvattomille henkilöille lukukelvottomaksi.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdissa 6.7.1.1 (kryptografisten hallintakeinojen käyttöä koskeva käytäntö) ja 6.7.1.2 (avainten hallinta). Vuoden 2025 painos yhdistää molemmat kohdiksi A.3.26 ja sisältää yhtenäiset toteutusohjeet kohdissa B.3.26. Ohjeistus painottaa nyt enemmän kryptografisten ominaisuuksien viestimistä asiakkaille ja asiakkaan soveltaman salauksen tukemista. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



Löydä vaatimustenmukaisuusvarmuutesi ISMS.onlinen avulla

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.26 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Kryptografiakäytäntö — Dokumentoitu käytäntö, jossa määritellään, milloin salausta tarvitaan, hyväksytyt algoritmit ja avainten pituudet, avaintenhallintamenettelyt ja kryptografisista suojaustoimenpiteistä vastaavat roolit
  • Salaus levossa — Todiste siitä, että henkilötiedot on salattu säilytystilassa hyväksyttyjen algoritmien avulla, mukaan lukien tietokannan salaus, levysalaus ja varmuuskopiosalaus
  • Salaus kuljetuksen aikana — Todiste siitä, että henkilötiedot on salattu siirron aikana TLS 1.2 -salauksella tai uudemmalla kaikilla tiedonsiirtokanavilla
  • Keskeiset hallintamenettelyt — Dokumentoidut avainten luonti-, jakelu-, tallennus-, kierrätys-, peruutus- ja tuhoamismenettelyt
  • Lainkäyttövallan noudattaminen — Todiste siitä, että sovellettavien lainkäyttöalueiden asettamat salausvaatimukset täyttyvät asiaankuuluvien henkilötietojen luokkien osalta

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.20 Tallennusvälineet Henkilötietoja sisältävien siirrettävien tallennusvälineiden tulisi käyttää salausta aina kun se on mahdollista
A.3.7 Tiedonsiirto Henkilötietojen siirrot tulee suojata salauksella siirron aikana.
A.3.24 Tietojen varmuuskopiointi Henkilötietoja sisältävät varmuuskopiotiedot tulee salata
A.3.28 Sovelluksen tietoturvavaatimukset Sovellustason salausvaatimukset määräytyvät kryptografiakäytännön mukaan.
A.1.4.10 PII-lähetysohjaimet Ohjaimen tiedonsiirron hallinta perustuu kryptografiseen suojaukseen

Ketä tämä valvonta koskee?

A.3.26 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Rekisterinpitäjien on määriteltävä ja toteutettava salaussäännöt omalle henkilötietojen käsittelylleen. Käsittelijöillä on lisävelvoitteita tiedottaa kryptografian käytöstään asiakkaille ja tarjota ominaisuuksia, joiden avulla asiakkaat voivat käyttää omaa salaustaan ​​tarvittaessa.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online kryptografian hallintaa varten?

ISMS.online tarjoaa käytännön työkaluja kryptografiaohjelmasi hallintaan:

  • Kryptografiakäytäntömallit — Valmiita käytäntöpohjia, jotka kattavat hyväksytyt algoritmit, avainten pituudet, käyttötapaukset ja avaintenhallintavaatimukset, mukautettavissa organisaatiollesi
  • Avainhallintarekisteri — Seuraa kryptografisia avaimia järjestelmissäsi elinkaaren hallinnan avulla: luonti, jakelu, kierrätys, vanheneminen ja tuhoaminen
  • Vaatimustenmukaisuuden kartoitus — Yhdistä kryptografiset hallintasi lainkäyttöalueen vaatimuksiin, GDPR:n 32 artiklaan ja ISO 27701 -standardin A.3.26-valvontaan yhdessä näkymässä
  • Todisteiden hallinta — Säilytä salauskonfiguraatiotodisteet, avaintenhallintatietueet ja käytäntöjen vahvistukset jäsennellyssä, auditointivalmiissa muodossa
  • Arviointien ajoitus — Aikatauluta kryptografiakäytäntöjesi ja avaintenhallintakäytäntöjesi säännölliset tarkistukset automaattisten muistutusten avulla

UKK

Mitä salausalgoritmeja suositellaan?

Standardi ei määrää tiettyjä algoritmeja, mutta alan parhaiden käytäntöjen mukaan symmetriselle salaukselle levossa käytetään AES-256-salausta, siirron aikaiselle salaukselle TLS 1.2- tai 1.3-salausta ja epäsymmetriselle salaukselle RSA-2048-salausta (tai uudempaa) tai elliptisen käyrän vastineita. Organisaatioiden tulisi tutustua kansallisten kryptografisten viranomaisten (kuten NCSC:n Isossa-Britanniassa tai NIST:n Yhdysvalloissa) ohjeisiin ja tarkastella hyväksymiään algoritmejaan säännöllisesti kryptografisten standardien kehittyessä.

Vähentääkö salaus GDPR-tietomurron ilmoitusvelvollisuutta?

GDPR:n artiklan 34(3)(a) mukaan rekisteröidyille ei tarvitse ilmoittaa, jos organisaatio on ottanut käyttöön asianmukaiset tekniset suojaustoimenpiteet, kuten salauksen, jotka tekevät henkilötiedoista lukukelvottomia henkilöille, joilla ei ole oikeutta päästä niihin käsiksi. Tämä ei kuitenkaan poista velvollisuutta ilmoittaa valvontaviranomaiselle 33 artiklan nojalla. Salaus voi siis vähentää tietoturvaloukkauksesta ilmoittamisen laajuutta ja vaikutusta, mutta ei poista sitä kokonaan.

Mitä avaintenhallintaan kuuluu?

Avainhallinta kattaa kryptografisten avainten koko elinkaaren: luomisen (käyttäen turvallisia satunnaislukugeneraattoreita), jakelun (vain suojatuissa kanavissa), tallennuksen (laitteiston suojausmoduuleissa tai vastaavissa turvallisissa tallennustiloissa), kierrätyksen (avainten korvaaminen määritellyin väliajoin tai epäillyn vaarantumisen jälkeen), peruutuksen (vaarantuneiden tai tarpeettomien avainten poistaminen käytöstä) ja tuhoamisen (avainten turvallinen poistaminen niiden käyttöiän lopussa). Huono avainhallinta voi täysin heikentää muuten vahvan salauksen.

Dokumentoi salausmenetelmäsi Ilmoitus soveltuvuudesta.

Katso tarkastusevidenssivaatimusten opas mitä kryptografisia todisteita tarkastajat odottavat.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.