ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Forstå ISO 27701 klausul 6.7: Kryptografiske kontroller for PII-beskyttelse
Kryptografi (kryptering), sammen med rollebasert tilgang, er den fremste metoden for å sikre PII og personvernrelatert informasjon mot uautorisert bruk.
Kryptografiske kontroller er en forutsetning for nesten alle PII-relaterte aktiviteter, hvor privat informasjon overføres mellom systemer, applikasjoner, brukere og tredjeparter.
Hva dekkes av ISO 27701 klausul 6.7
ISO 27701 6.7 inneholder to underklausuler, som begge er avhengige av samme veiledningsnotater fra ISO 27002 8.2.4, som gir et kryptografisk rammeverk for organisasjoner å operere innenfor:
- ISO 27002 6.7.1.1 – Retningslinjer for bruk av kryptografiske kontroller (Referanser ISO 27002 Kontroll 8.24)
- ISO 27002 6.7.1.2 – Nøkkelstyring (Referanser ISO 27002 Kontroll 8.24)
ISO 27002 6.7.1.1 inneholder veiledning som faller inn under britisk GDPR-lovgivning. De relevante artiklene er gitt for enkelhets skyld.
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.7.1.1 – Retningslinjer for bruk av kryptografiske kontroller
Referanser ISO 27002 Kontroll 8.24
Organisasjoner bør bruke kryptering for å beskytte konfidensialitet, autentisitet og integritet av PII og personvernrelatert informasjon, og for å overholde deres ulike kontraktsmessige, juridiske eller regulatoriske forpliktelser.
Kryptering er et vidtrekkende konsept – det finnes ingen «one size fits all»-tilnærming. Organisasjoner bør vurdere sine behov og velge en kryptografisk løsning som oppfyller deres unike kommersielle og operasjonelle mål.
Generell veiledning
Organisasjoner bør vurdere:
- Utvikle en emnespesifikk tilnærming til kryptografi, som tar hensyn til ulike avdelingsmessige, rollebaserte og operasjonelle krav.
- Det riktige beskyttelsesnivået (sammen med typen informasjon som skal krypteres).
- Mobile enheter og lagringsmedier.
- Kryptografisk nøkkelhåndtering (lagring, prosessering etc).
- Spesialiserte roller og ansvar for kryptografiske funksjoner, inkludert implementering og nøkkeladministrasjon (se ISO 27002 8.24).
- De tekniske krypteringsstandardene som skal vedtas, inkludert algoritmer, chifferstyrke, retningslinjer for beste praksis.
- Hvordan kryptering vil fungere sammen med andre cybersikkerhetstiltak, for eksempel beskyttelse mot skadelig programvare og gatewaysikkerhet.
- Grenseoverskridende og tverrjurisdiksjonelle lover og retningslinjer (se ISO 27002 5.31).
- Kontrakter med tredjeparts kryptografipartnere som dekker helt eller delvis ansvar, pålitelighet og responstider.
Nøkkeladministrasjon
Nøkkelstyringsprosedyrer bør fordeles på 7 hovedfunksjoner:
- Generasjon.
- Oppbevaring.
- Arkivering.
- Henting.
- Distribusjon.
- Pensjonist.
- Ødeleggelse.
Organisatoriske nøkkelstyringssystemer bør:
- Administrer nøkkelgenerering for alle krypteringsmetoder.
- Implementer offentlige nøkkelsertifikater.
- Sørg for at alle relevante menneskelige og ikke-menneskelige enheter er utstedt med de nødvendige nøklene.
- Lagre nøkler.
- Endre nøkler etter behov.
- Ha prosedyrer på plass for å håndtere potensielt kompromitterte nøkler.
- Ta ut nøkler, eller tilbakekall tilgang på en bruker-for-bruker basis.
- Gjenopprett tapte eller defekte nøkler, enten fra sikkerhetskopier og nøkkelarkiver.
- Ødelegg nøkler som ikke lenger er nødvendige.
- Administrer aktiverings- og deaktiveringslivssyklusen, slik at enkelte nøkler kun er tilgjengelige i den tidsperioden de er nødvendige.
- Behandle offisielle forespørsler om tilgang, fra rettshåndhevende byråer eller, under visse omstendigheter, reguleringsbyråer.
- Inneholder tilgangskontroller som beskytter fysisk tilgang til nøkler og kryptert informasjon.
- Vurder ektheten til offentlige nøkler før implementering (sertifikatmyndigheter og offentlige sertifikater).
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
Gjeldende GDPR-artikler
- Artikkel 32 – (1)(a)
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.7.1.2 – Nøkkelstyring
Referanser ISO 27002 Kontroll 8.24
Se avsnittet ovenfor om Key Management (ISO 27701 6.7.1.1).
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.7.1.1 | Retningslinjer for bruk av kryptografiske kontroller | 8.24 – Bruk av kryptografi for ISO 27002 | Artikkel (32) |
| 6.7.1.2 | Nøkkeladministrasjon | 8.24 – Bruk av kryptografi for ISO 27002 | none |
Hvordan ISMS.online hjelper
Hvordan hjelper vi?
ISO 27701 viser deg hvordan du bygger et styringssystem for personverninformasjon som overholder de fleste personvernforskrifter, inkludert EUs GDPR, BS 10012 og Sør-Afrikas POPIA.
Vår forenklede, sikre, bærekraftige programvare hjelper deg enkelt å følge tilnærmingen skissert av den internasjonalt anerkjente standarden.
Alle funksjonene du trenger:
- ROPA gjort enkelt
- Innebygd risikobank
- Sikre plass for DRR
Finn ut hvor mye tid og penger du vil spare på reisen til en kombinert ISO 27002- og 27701-sertifisering ved å bruke ISMS.online av bestille en demo.
