Begrijpen van ISO 27701 Clausule 6.7: Cryptografische controles voor PII-bescherming
Cryptografie (encryptie) is, samen met op rollen gebaseerde toegang, de belangrijkste methode om PII en privacygerelateerde informatie te beveiligen tegen ongeoorloofd gebruik.
Cryptografische controles zijn een voorwaarde voor bijna alle PII-gerelateerde activiteiten, waarbij privé-informatie wordt overgedragen tussen systemen, applicaties, gebruikers en derde partijen.
Wat wordt er behandeld in ISO 27701, clausule 6.7
ISO 27701 6.7 bevat twee subclausules, die beide afhankelijk zijn van de dezelfde richtlijnen uit ISO 27002 8.2.4, dat een cryptografisch raamwerk biedt waarmee organisaties kunnen opereren binnen:
- ISO 27002 6.7.1.1 – Beleid inzake het gebruik van cryptografische controles (Referenties ISO 27002 Controle 8.24)
- ISO 27002 6.7.1.2 – Sleutelbeheer (referenties ISO 27002 Controle 8.24)
ISO 27002 6.7.1.1 bevat richtlijnen die vallen onder de Britse AVG-wetgeving. Voor uw gemak zijn de relevante artikelen verstrekt.
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.7.1.1 – Beleid inzake het gebruik van cryptografische controles
Referenties ISO 27002 Controle 8.24
Organisaties moeten encryptie gebruiken om de vertrouwelijkheid, echtheid en integriteit van PII en privacygerelateerde informatie, en om te voldoen aan hun verschillende contractuele, wettelijke of regelgevende verplichtingen.
Encryptie is een verstrekkend concept; er bestaat geen 'one size fits all'-aanpak. Organisaties moeten hun behoeften beoordelen en een cryptografische oplossing kiezen die voldoet aan hun unieke commerciële en operationele doelstellingen.
Algemene richtlijnen
Organisaties moeten overwegen:
- Het ontwikkelen van een onderwerpspecifiek benadering van cryptografie, die rekening houdt met verschillende afdelings-, rolgebaseerde en operationele vereisten.
- Het passende beschermingsniveau (samen met het type informatie dat moet worden gecodeerd).
- Mobiele apparaten en opslagmedia.
- Beheer van cryptografische sleutels (opslag, verwerking enz.).
- Gespecialiseerde rollen en verantwoordelijkheden voor cryptografische functies, inclusief implementatie en sleutelbeheer (zie ISO 27002 8.24).
- De technische encryptiestandaarden die moeten worden toegepast, inclusief algoritmen, coderingssterkte en richtlijnen voor beste praktijken.
- Hoe encryptie zal werken naast andere inspanningen op het gebied van cyberbeveiliging, zoals bescherming tegen malware en gateway-beveiliging.
- Grensoverschrijdende en rechtsgebiedoverschrijdende wetten en richtlijnen (zie ISO 27002 5.31).
- Contracten met externe cryptografiepartners die de aansprakelijkheid, betrouwbaarheid en responstijden geheel of gedeeltelijk dekken.
Sleutelbeheer
Sleutelbeheerprocedures moeten over zeven hoofdfuncties worden verdeeld:
- Generation.
- Storage.
- Archiveren.
- Ophalen.
- Distribution.
- Met pensioen gaan.
- Verwoesting.
Organisatorische sleutelbeheersystemen moeten:
- Beheer de sleutelgeneratie voor alle versleutelingsmethoden.
- Implementeer publieke sleutelcertificaten.
- Zorg ervoor dat alle relevante menselijke en niet-menselijke entiteiten de vereiste sleutels ontvangen.
- Sleutels opbergen.
- Wijzig de sleutels, indien nodig.
- Zorg voor procedures voor het omgaan met mogelijk gecompromitteerde sleutels.
- Sleutels buiten gebruik stellen of toegang per gebruiker intrekken.
- Herstel verloren of defecte sleutels, vanuit back-ups en sleutelarchieven.
- Vernietig sleutels die niet langer nodig zijn.
- Beheer de activatie- en deactiveringslevenscyclus, zodat bepaalde sleutels alleen beschikbaar zijn gedurende de periode dat ze nodig zijn.
- Verwerk officiële verzoeken om toegang van wetshandhavingsinstanties of, in bepaalde omstandigheden, regelgevende instanties.
- Bevat toegangscontroles die de fysieke toegang tot sleutels en gecodeerde informatie beschermen.
- Houd rekening met de authenticiteit van publieke sleutels, voorafgaand aan de implementatie (certificaatautoriteiten en publieke certificaten).
Relevante ISO 27002-controles
- ISO 27002 5.31
- ISO 27002 8.24
Toepasselijke AVG-artikelen
- Artikel 32 – (1)(a)
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.7.1.2 – Sleutelbeheer
Referenties ISO 27002 Controle 8.24
Zie het bovenstaande gedeelte over Sleutelbeheer (ISO 27701 6.7.1.1).
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.7.1.1 | Beleid inzake het gebruik van cryptografische controles | 8.24 – Gebruik van cryptografie voor ISO 27002 | Artikel (32) |
| 6.7.1.2 | Sleutelbeheer | 8.24 – Gebruik van cryptografie voor ISO 27002 | Geen |
Hoe ISMS.online helpt
Hoe helpen we?
ISO 27701 laat zien hoe u een privacy-informatiebeheersysteem kunt bouwen dat voldoet aan de meeste privacyregelgeving, waaronder de AVG van de EU, BS 10012 en de POPIA van Zuid-Afrika.
Onze vereenvoudigde, veilige, duurzame software helpt u eenvoudig de aanpak te volgen die wordt geschetst door de internationaal erkende standaard.
Alle functies die u nodig heeft:
- ROPA gemakkelijk gemaakt
- Ingebouwde risicobank
- Veilige ruimte voor DRR
Ontdek hoeveel tijd en geld u bespaart op uw reis naar een gecombineerde ISO 27002- en 27701-certificering met behulp van ISMS.online door een demo boeken.
