ISO 27701:n lausekkeen 6.7 ymmärtäminen: Henkilökohtaisten tunnistetietojen suojauksen salaushallinta
Salaus (salaus) yhdessä roolipohjaisen käytön kanssa on tärkein tapa suojata henkilökohtaisia tunnistetietoja ja yksityisyyteen liittyviä tietoja luvattomalta käytöltä.
Salausvalvonta on edellytys lähes kaikille henkilötietoihin liittyville toimille, joissa yksityistä tietoa siirretään järjestelmien, sovellusten, käyttäjien ja kolmansien osapuolten välillä.
Mitä ISO 27701:n lauseke 6.7 kattaa
ISO 27701 6.7 sisältää kaksi alalausetta, jotka molemmat perustuvat samat ohjeet standardista ISO 27002 8.2.4, joka tarjoaa salauskehyksen organisaatioille, jotka voivat toimia:
- ISO 27002 6.7.1.1 – Salausohjaimien käyttöä koskeva käytäntö (viitteet ISO 27002 Control 8.24)
- ISO 27002 6.7.1.2 – Avainten hallinta (viitteet ISO 27002 Control 8.24)
ISO 27002 6.7.1.1 sisältää ohjeita, jotka kuuluvat Yhdistyneen kuningaskunnan GDPR-lainsäädännön piiriin. Asiaankuuluvat artikkelit on toimitettu avuksesi.
Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 6.7.1.1 – Salaushallintalaitteiden käyttöä koskeva käytäntö
Viitteet ISO 27002 Control 8.24
Organisaatioiden tulee käyttää salausta suojatakseen luottamuksellisuus, aitous ja eheys henkilökohtaisia tunnistetietoja ja yksityisyyteen liittyviä tietoja sekä noudattaa erilaisia sopimusvelvoitteitaan, lakisääteisiä tai säännöksiä koskevia velvoitteitaan.
Salaus on kauaskantoinen käsite – ei ole olemassa "yksi koko sopii kaikille" -lähestymistapaa. Organisaatioiden tulee arvioida tarpeensa ja valita salausratkaisu, joka täyttää niiden ainutlaatuiset kaupalliset ja toiminnalliset tavoitteet.
Yleinen Ohjeistus
Organisaatioiden tulee harkita:
- Kehitä a aihekohtainen lähestymistapa salaukseen, jossa otetaan huomioon erilaiset osastokohtaiset, roolipohjaiset ja toiminnalliset vaatimukset.
- Asianmukainen suojaustaso (sekä salattavan tiedon tyyppi).
- Mobiililaitteet ja tallennusvälineet.
- Salausavainten hallinta (tallennus, käsittely jne.).
- Erikoisroolit ja vastuut salaustoiminnoista, mukaan lukien toteutus ja avainten hallinta (katso ISO 27002 8.24).
- Tekniset salausstandardit, jotka on otettava käyttöön, mukaan lukien algoritmit, salauksen vahvuus ja parhaiden käytäntöjen ohjeet.
- Kuinka salaus toimii yhdessä muiden kyberturvallisuustoimien, kuten haittaohjelmasuojauksen ja yhdyskäytävän suojauksen kanssa.
- Rajat ylittävät ja rajat ylittävät lait ja ohjeet (katso ISO 27002 5.31).
- Sopimukset kolmansien osapuolien salauskumppaneiden kanssa, jotka kattavat kokonaan tai osittain vastuun, luotettavuuden ja vasteajat.
Avaintenhallinta
Keskeiset hallintamenettelyt tulisi jakaa seitsemään päätoimintoon:
- Sukupolvi.
- Varastointi.
- Arkistointi.
- Haku.
- Jakeluun.
- Eläkkeelle.
- Tuhoaminen.
Organisaation avainten hallintajärjestelmien tulisi:
- Hallitse kaikkien salausmenetelmien avainten luomista.
- Ota käyttöön julkisen avaimen varmenteita.
- Varmista, että kaikille asiaankuuluville ihmisille ja muille kuin ihmisille on myönnetty tarvittavat avaimet.
- Säilytä avaimet.
- Muuta avaimia tarpeen mukaan.
- Ota käyttöön menettelyt mahdollisesti vaarantuneiden avainten käsittelemiseksi.
- Poista avaimet käytöstä tai peruuta käyttöoikeus käyttäjäkohtaisesti.
- Palauta kadonneet tai vialliset avaimet joko varmuuskopioista ja avainarkistoista.
- Tuhoa avaimet, joita ei enää tarvita.
- Hallitse aktivoinnin ja deaktivoinnin elinkaarta niin, että tietyt avaimet ovat käytettävissä vain sen ajan, jonka niitä tarvitaan.
- Käsittele lainvalvontaviranomaisilta tai tietyissä olosuhteissa sääntelyviranomaisilta peräisin olevia virallisia pääsypyyntöjä.
- Sisältävät pääsynhallintalaitteet, jotka suojaavat fyysistä pääsyä avaimiin ja salattuihin tietoihin.
- Harkitse julkisten avainten aitoutta ennen käyttöönottoa (varmenneviranomaiset ja julkiset varmenteet).
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.31
- ISO 27002 8.24
Sovellettavat GDPR-artikkelit
- 32 artikla – 1 kohdan a alakohta
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701, lauseke 6.7.1.2 – Avainten hallinta
Viitteet ISO 27002 Control 8.24
Katso yllä oleva kohta Avainten hallinta (ISO 27701 6.7.1.1).
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.7.1.1 | Kryptografisten hallintalaitteiden käyttöä koskeva käytäntö | 8.24 – Salauksen käyttö ISO 27002:lle | Artikkeli (32) |
| 6.7.1.2 | Avaintenhallinta | 8.24 – Salauksen käyttö ISO 27002:lle | Ei eristetty |
Miten ISMS.online auttaa
Miten autamme?
ISO 27701 näyttää, kuinka voit rakentaa tietosuojatietojen hallintajärjestelmän, joka on useimpien tietosuojasäännösten mukainen, mukaan lukien EU:n GDPR, BS 10012 ja Etelä-Afrikan POPIA.
Yksinkertaistetun, turvallisen ja kestävän ohjelmistomme avulla voit helposti noudattaa kansainvälisesti tunnustetun standardin määrittelemää lähestymistapaa.
Kaikki tarvitsemasi ominaisuudet:
- ROPA on tehty helpoksi
- Sisäänrakennettu riskipankki
- Turvallinen tila DRR:lle
Selvitä, kuinka paljon aikaa ja rahaa säästät matkallasi yhdistettyyn ISO 27002- ja 27701 -sertifiointiin käyttämällä ISMS.onlinea. varata demo.
Hyppää aiheeseen
