- Se ISO 27002:2022 Kontroll 8.24 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 10.1.1 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 10.1.2 for mer informasjon.
Vedlegg A 8.24 Forklart: Implementering av sikre kryptografiske kontroller
Ved overføring av informasjon mellom nettverk og enheter kan cyberangripere forsøke å stjele sensitive data, endre innhold, etterligne avsendere/mottakere for å få uautorisert tilgang, eller avskjære utvekslingen.
Cyberkriminelle kan ansette mann-i-midten (MITM) angrep, avskjæring av dataoverføringer og maskert som server for å få avsenderen til å avsløre påloggingsinformasjon. Med disse legitimasjonene kan de få tilgang til systemer og sette sensitive data i fare.
Kryptografi, for eksempel kryptering, kan effektivt sikre konfidensialitet, integritet og tilgjengelighet til informasjon under transport.
Kryptografiske teknikker kan holde informasjonsressurser sikre når de ikke er i bruk. De sikrer at dataene er beskyttet mot enhver uautorisert tilgang eller modifikasjon.
ISO 27001:2022 vedlegg A 8.24 skisserer hvordan organisasjoner kan lage og anvende forskrifter og prosesser angående bruk av kryptografi.
Formål med ISO 27001:2022 vedlegg A 8.24
ISO 27001: 2022 Vedlegg A 8.24 tillater organisasjoner å sikre konfidensialitet, integritet, autentisitet og tilgjengelighet til informasjonsressurser gjennom korrekt bruk av kryptografi og oppfylle følgende kriterier:
- Forretningskrav er et must.
- Sikre informasjonssikkerhet gjennom implementering av strenge krav.
- Lovfestede, kontraktsmessige og organisatoriske mandater krever bruk av kryptografi.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Eierskap på vedlegg A 8.24
Overholdelse av vedlegg A 8.24 nødvendiggjør implementering av en policy for kryptografi, etablering av en effektiv nøkkelbehandlingsprosess og bestemmelse av typen kryptografisk teknikk som gjelder for dataklassifiseringen til en gitt informasjonsressurs.
Ocuco Sjef for informasjonssikkerhet må holdes ansvarlig for å sette opp riktige forskrifter og protokoller angående kryptografiske nøkler.
Generell veiledning for ISO 27001:2022 vedlegg A 8.24 Samsvar
ISO 27001: 2022 Vedlegg A Kontroll 8.24 fastsetter syv krav som organisasjoner må overholde når de bruker kryptografiske metoder:
- Organisasjoner bør ha en policy på plass når det gjelder bruk av kryptografi, for å maksimere fordelene og redusere risikoen. Denne policyen bør også skissere generelle prinsipper for beskyttelse av informasjon.
- Organisasjoner må ta hensyn til hvor delikate informasjonsressursene deres er, samt informasjonsklassifiseringsnivået som er utpekt til dem, når de velger type, styrke og kvalitet på krypteringsalgoritmen.
- Organisasjoner bør bruke kryptografiske tilnærminger når de overfører informasjon til bærbare enheter, medieutstyr, eller når den er lagret på dem.
- Organisasjoner må takle alle forhold knyttet til nøkkeladministrasjon, som å danne og skjerme kryptografiske nøkler og ha en ordning for datagjenoppretting i tilfelle nøklene mangler eller er sårbare.
- Organisasjoner bør definere roller og ansvar for følgende:
- Reglene for bruk av kryptografiske teknikker må etableres og håndheves.
- Håndtering av nøkler, inkludert generering av dem.
- Organisasjonen vedtar og godkjenner standarder som omfatter kryptografiske algoritmer, chifferstyrke og brukspraksis for kryptografi.
- Organisasjoner bør vurdere den potensielle innvirkningen av kryptering på effektiviteten til kontrollene for innholdsinspeksjon, for eksempel oppdagelse av skadelig programvare.
ISO 27001:2022 vedlegg A 8.24 understreker at organisasjoner bør vurdere lovkrav og restriksjoner som kan påvirke bruken av kryptografi, inkludert internasjonal overføring av kryptert informasjon.
Organisasjoner bør ta hensyn til ansvar og kontinuitet i tjenestene når de inngår tjenesteavtaler med eksterne leverandører av kryptografiske tjenester.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Veiledning om nøkkelledelse
Organisasjoner må sette opp og følge sikre prosesser for generering, lagring, henting og avhending av kryptografiske nøkler.
Organisasjoner bør installere et solid nøkkelstyringssystem som inneholder forskrifter, prosedyrer og kriterier for:
- Generering av kryptografiske nøkler for en rekke systemer og applikasjoner er nødvendig.
- Utstedelse og innhenting av offentlige nøkkelsertifikater.
- Distribuer nøkler til tiltenkte mottakere, inkludert prosedyren for nøkkelaktivering.
- Nøkler skal oppbevares trygt. De som er autorisert til å få tilgang til dem, kan gjøre det med nødvendig legitimasjon.
- Bytte av nøkler.
- Håndtering av kompromitterte nøkler bør tas på alvor.
- Hvis nøkler er kompromittert eller et autorisert personell forlater en organisasjon, bør de trekkes tilbake.
- Gjenoppretting av tapte nøkler.
- Sikkerhetskopiering og arkivering av nøkkel bør utføres regelmessig.
- Ødelegge nøkler.
- Hold oversikt over alle aktiviteter knyttet til hver nøkkel.
- Etablere aktiverings- og deaktiveringsdatoene for nøkler.
- Tilgang til nøkler som svar på juridiske forespørsler.
Til slutt er det viktig at organisasjoner er klar over de tre hovedrisikoene som denne tilleggsveiledningen skisserer:
- Sikre og private nøkler bør beskyttes mot uautorisert bruk.
- Beskyttelse av utstyr som brukes til å lage eller lagre krypteringsnøkler bør gjøres med fysisk sikkerhet målinger.
- Organisasjoner bør sikre gyldigheten til deres offentlige nøkler.
Hva er fordelene med kryptografi?
ISO 27001:2022 vedlegg A 8.24 sier at kryptografi kan brukes for å hjelpe organisasjoner med å oppnå fire informasjonssikkerhetsmål. Disse målene inkluderer å verifisere ektheten til offentlige nøkler gjennom prosesser for administrasjon av offentlige nøkler:
- Kryptografi sikrer at konfidensialiteten til data, både under overføring og lagring, bevares.
- Digitale signaturer og autentiseringskoder garanterer at informasjonen som formidles er ekte og pålitelig.
- Kryptografiske metoder gir forsikring om at alle hendelser eller handlinger som utføres, inkludert mottak av informasjon, ikke vil bli avvist.
- Autentisering gjennom kryptografiske metoder lar organisasjoner validere identiteten til brukere som søker tilgang til systemer og applikasjoner.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 8.24 erstatter ISO 27001:2013 vedlegg A 10.1.1 og 10.1.2 i den reviderte 2022-standarden.
Innholdet i de to er nesten det samme, selv om det er noen strukturelle modifikasjoner.
Mens 2013-versjonen hadde to separate kontroller, 10.1.1 og 10.1.2, for bruk av kryptografi, konsoliderte 2022-versjonen disse i én vedlegg A-kontroll, 8.24.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvordan ISMS.online Hjelp
ISMS.Online er den fremste ISO 27001-programvaren for styringssystem, og hjelper bedrifter med å følge ISO 27001:2022 og sikre at deres sikkerhetspolicyer og prosedyrer er i samsvar med standarden.
Dette skybasert plattform tilbyr et omfattende sett med verktøy for å hjelpe organisasjoner med å implementere et styringssystem for informasjonssikkerhet (ISMS) i tråd med ISO 27001.
Nå ut og bestill en demonstrasjon i dag.