ISO 27001:2022 Vedlegg A Kontroll 8.24

Bruk av kryptografi

Bestill en demonstrasjon

nærbilde,gruppe,unge,kolleger,sammen,diskuterer,kreativt,prosjekt,under,arbeid

Ved overføring av informasjon mellom nettverk og enheter kan cyberangripere forsøke å stjele sensitive data, endre innhold, etterligne avsendere/mottakere for å få uautorisert tilgang, eller avskjære utvekslingen.

Cyberkriminelle kan ansette mann-i-midten (MITM) angrep, avskjæring av dataoverføringer og maskert som server for å få avsenderen til å avsløre påloggingsinformasjon. Med disse legitimasjonene kan de få tilgang til systemer og sette sensitive data i fare.

Kryptografi, for eksempel kryptering, kan effektivt sikre konfidensialitet, integritet og tilgjengelighet til informasjon under transport.

Kryptografiske teknikker kan holde informasjonsressurser sikre når de ikke er i bruk. De sikrer at dataene er beskyttet mot enhver uautorisert tilgang eller modifikasjon.

ISO 27001:2022 vedlegg A 8.24 skisserer hvordan organisasjoner kan lage og anvende forskrifter og prosesser angående bruk av kryptografi.

Formål med ISO 27001:2022 vedlegg A 8.24

ISO 27001: 2022 Vedlegg A 8.24 tillater organisasjoner å sikre konfidensialitet, integritet, autentisitet og tilgjengelighet til informasjonsressurser gjennom korrekt bruk av kryptografi og oppfylle følgende kriterier:

  • Forretningskrav er et must.

  • Sikre informasjonssikkerhet gjennom implementering av strenge krav.

  • Lovfestede, kontraktsmessige og organisatoriske mandater krever bruk av kryptografi.

Eierskap på vedlegg A 8.24

Overholdelse av vedlegg A 8.24 nødvendiggjør implementering av en policy for kryptografi, etablering av en effektiv nøkkelbehandlingsprosess og bestemmelse av typen kryptografisk teknikk som gjelder for dataklassifiseringen til en gitt informasjonsressurs.

De Sjef for informasjonssikkerhet må holdes ansvarlig for å sette opp riktige forskrifter og protokoller angående kryptografiske nøkler.

Gå til emnet

Generell veiledning for ISO 27001:2022 vedlegg A 8.24 Samsvar

ISO 27001: 2022 Vedlegg A Kontroll 8.24 fastsetter syv krav som organisasjoner må overholde når de bruker kryptografiske metoder:

  1. Organisasjoner bør ha en policy på plass når det gjelder bruk av kryptografi, for å maksimere fordelene og redusere risikoen. Denne policyen bør også skissere generelle prinsipper for beskyttelse av informasjon.

  2. Organisasjoner må ta hensyn til hvor delikate informasjonsressursene deres er, samt informasjonsklassifiseringsnivået som er utpekt til dem, når de velger type, styrke og kvalitet på krypteringsalgoritmen.

  3. Organisasjoner bør bruke kryptografiske tilnærminger når de overfører informasjon til bærbare enheter, medieutstyr, eller når den er lagret på dem.

  4. Organisasjoner må takle alle forhold knyttet til nøkkeladministrasjon, som å danne og skjerme kryptografiske nøkler og ha en ordning for datagjenoppretting i tilfelle nøklene mangler eller er sårbare.

  5. Organisasjoner bør definere roller og ansvar for følgende:

    • Reglene for bruk av kryptografiske teknikker må etableres og håndheves.

    • Håndtering av nøkler, inkludert generering av dem.

  6. Organisasjonen vedtar og godkjenner standarder som omfatter kryptografiske algoritmer, chifferstyrke og brukspraksis for kryptografi.

  7. Organisasjoner bør vurdere den potensielle innvirkningen av kryptering på effektiviteten til kontrollene for innholdsinspeksjon, for eksempel oppdagelse av skadelig programvare.

ISO 27001:2022 vedlegg A 8.24 understreker at organisasjoner bør vurdere lovkrav og restriksjoner som kan påvirke bruken av kryptografi, inkludert internasjonal overføring av kryptert informasjon.

Organisasjoner bør ta hensyn til ansvar og kontinuitet i tjenestene når de inngår tjenesteavtaler med eksterne leverandører av kryptografiske tjenester.

Veiledning om nøkkelledelse

Organisasjoner må sette opp og følge sikre prosesser for generering, lagring, henting og avhending av kryptografiske nøkler.

Organisasjoner bør installere et solid nøkkelstyringssystem som inneholder forskrifter, prosedyrer og kriterier for:

  • Generering av kryptografiske nøkler for en rekke systemer og applikasjoner er nødvendig.

  • Utstedelse og innhenting av offentlige nøkkelsertifikater.

  • Distribuer nøkler til tiltenkte mottakere, inkludert prosedyren for nøkkelaktivering.

  • Nøkler skal oppbevares trygt. De som er autorisert til å få tilgang til dem, kan gjøre det med nødvendig legitimasjon.

  • Bytte av nøkler.

  • Håndtering av kompromitterte nøkler bør tas på alvor.

  • Hvis nøkler er kompromittert eller et autorisert personell forlater en organisasjon, bør de trekkes tilbake.

  • Gjenoppretting av tapte nøkler.

  • Sikkerhetskopiering og arkivering av nøkkel bør utføres regelmessig.

  • Ødelegge nøkler.

  • Hold oversikt over alle aktiviteter knyttet til hver nøkkel.

  • Etablere aktiverings- og deaktiveringsdatoene for nøkler.

  • Tilgang til nøkler som svar på juridiske forespørsler.

Til slutt er det viktig at organisasjoner er klar over de tre hovedrisikoene som denne tilleggsveiledningen skisserer:

  1. Sikre og private nøkler bør beskyttes mot uautorisert bruk.

  2. Beskyttelse av utstyr som brukes til å lage eller lagre krypteringsnøkler bør gjøres med fysisk sikkerhet målinger.

  3. Organisasjoner bør sikre gyldigheten til deres offentlige nøkler.

Hva er fordelene med kryptografi?

ISO 27001:2022 vedlegg A 8.24 sier at kryptografi kan brukes for å hjelpe organisasjoner med å oppnå fire informasjonssikkerhetsmål. Disse målene inkluderer å verifisere ektheten til offentlige nøkler gjennom prosesser for administrasjon av offentlige nøkler:

  1. Kryptografi sikrer at konfidensialiteten til data, både under overføring og lagring, bevares.

  2. Digitale signaturer og autentiseringskoder garanterer at informasjonen som formidles er ekte og pålitelig.

  3. Kryptografiske metoder gir forsikring om at alle hendelser eller handlinger som utføres, inkludert mottak av informasjon, ikke vil bli avvist.

  4. Autentisering gjennom kryptografiske metoder lar organisasjoner validere identiteten til brukere som søker tilgang til systemer og applikasjoner.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.24 erstatter ISO 27001:2013 vedlegg A 10.1.1 og 10.1.2 i den reviderte 2022-standarden.

Innholdet i de to er nesten det samme, selv om det er noen strukturelle modifikasjoner.

Mens 2013-versjonen hadde to separate kontroller, 10.1.1 og 10.1.2, for bruk av kryptografi, konsoliderte 2022-versjonen disse i én vedlegg A-kontroll, 8.24.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.Online er den fremste ISO 27001-programvaren for styringssystem, og hjelper bedrifter med å følge ISO 27001:2022 og sikre at deres sikkerhetspolicyer og prosedyrer er i samsvar med standarden.

Dette skybasert plattform tilbyr et omfattende sett med verktøy for å hjelpe organisasjoner med å implementere et styringssystem for informasjonssikkerhet (ISMS) i tråd med ISO 27001.

Nå ut og bestill en demonstrasjon i dag.

Jeg har gjort ISO 27001 på den harde måten, så jeg setter stor pris på hvor mye tid det sparte oss for å oppnå ISO 27001-sertifisering.

Carl Vaughan
Infosec-leder, MetCloud

Bestill demoen din

Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer