Grundlegendes zu ISO 27701, Abschnitt 6.7: Kryptografische Kontrollen zum Schutz personenbezogener Daten
Kryptographie (Verschlüsselung) ist neben dem rollenbasierten Zugriff die wichtigste Methode zum Schutz personenbezogener Daten und datenschutzbezogener Informationen vor unbefugter Nutzung.
Kryptografische Kontrollen sind eine Voraussetzung für fast alle PII-bezogenen Aktivitäten, bei denen private Informationen zwischen Systemen, Anwendungen, Benutzern und Dritten übertragen werden.
Was in ISO 27701 Abschnitt 6.7 behandelt wird
ISO 27701 6.7 enthält zwei Unterabschnitte, die beide auf dem basieren Dieselben Leitlinien aus ISO 27002 8.2.4, das ein kryptografisches Framework für Organisationen bereitstellt, in dem sie agieren können:
- ISO 27002 6.7.1.1 – Richtlinie zur Verwendung kryptografischer Kontrollen (Referenzen ISO 27002 Kontrolle 8.24)
- ISO 27002 6.7.1.2 – Schlüsselverwaltung (Referenzen ISO 27002 Control 8.24)
ISO 27002 6.7.1.1 enthält Leitlinien, die unter die britische DSGVO-Gesetzgebung fallen. Die relevanten Artikel wurden für Sie bereitgestellt.
Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.7.1.1 – Richtlinie zur Verwendung kryptografischer Kontrollen
Referenzen ISO 27002-Steuerung 8.24
Organisationen sollten Verschlüsselung verwenden, um die zu schützen Vertraulichkeit, Authentizität kombiniert mit einem nachhaltigen Materialprofil. Integrität von PII und datenschutzbezogenen Informationen sowie zur Einhaltung verschiedener vertraglicher, gesetzlicher oder behördlicher Verpflichtungen.
Verschlüsselung ist ein weitreichendes Konzept – es gibt keinen einheitlichen Ansatz. Unternehmen sollten ihre Bedürfnisse beurteilen und eine kryptografische Lösung wählen, die ihren individuellen kommerziellen und betrieblichen Zielen entspricht.
Allgemeine Anleitung
Organisationen sollten Folgendes berücksichtigen:
- Entwickeln Sie ein themenspezifisch Ansatz zur Kryptographie, der verschiedene abteilungsbezogene, rollenbasierte und betriebliche Anforderungen berücksichtigt.
- Das angemessene Schutzniveau (zusammen mit der Art der zu verschlüsselnden Informationen).
- Mobile Geräte und Speichermedien.
- Verwaltung kryptografischer Schlüssel (Speicherung, Verarbeitung usw.).
- Spezialisierte Rollen und Verantwortlichkeiten für kryptografische Funktionen, einschließlich Implementierung und Schlüsselverwaltung (siehe ISO 27002 8.24).
- Die technischen Verschlüsselungsstandards, die übernommen werden sollen, einschließlich Algorithmen, Verschlüsselungsstärke und Best-Practice-Richtlinien.
- Wie Verschlüsselung zusammen mit anderen Cybersicherheitsbemühungen wie Malware-Schutz und Gateway-Sicherheit funktioniert.
- Grenz- und länderübergreifende Gesetze und Richtlinien (siehe ISO 27002 5.31).
- Verträge mit externen Kryptografiepartnern, die Haftung, Zuverlässigkeit und Reaktionszeiten ganz oder teilweise abdecken.
Schlüsselverwaltung
Wichtige Verwaltungsverfahren sollten auf sieben Hauptfunktionen verteilt sein:
- Generation.
- Lagerung.
- Archivierung.
- Abruf.
- Verteilung.
- Ruhestand.
- Zerstörung.
Organisatorische Schlüsselverwaltungssysteme sollten:
- Verwalten Sie die Schlüsselgenerierung für alle Verschlüsselungsmethoden.
- Implementieren Sie Public-Key-Zertifikate.
- Stellen Sie sicher, dass alle relevanten menschlichen und nichtmenschlichen Einheiten die erforderlichen Schlüssel erhalten.
- Schlüssel aufbewahren.
- Ändern Sie die Schlüssel nach Bedarf.
- Halten Sie Verfahren für den Umgang mit potenziell kompromittierten Schlüsseln bereit.
- Deaktivieren Sie Schlüssel oder entziehen Sie den Zugriff für jeden einzelnen Benutzer.
- Stellen Sie verlorene oder fehlerhafte Schlüssel wieder her, entweder aus Backups oder Schlüsselarchiven.
- Vernichten Sie nicht mehr benötigte Schlüssel.
- Verwalten Sie den Aktivierungs- und Deaktivierungslebenszyklus, sodass bestimmte Schlüssel nur für den Zeitraum verfügbar sind, in dem sie benötigt werden.
- Bearbeiten Sie offizielle Zugangsanfragen von Strafverfolgungsbehörden oder unter bestimmten Umständen von Aufsichtsbehörden.
- Enthalten Zugriffskontrollen, die den physischen Zugriff auf Schlüssel und verschlüsselte Informationen schützen.
- Berücksichtigen Sie vor der Implementierung die Authentizität öffentlicher Schlüssel (Zertifizierungsstellen und öffentliche Zertifikate).
Relevante ISO 27002-Kontrollen
- ISO 27002 5.31
- ISO 27002 8.24
Anwendbare DSGVO-Artikel
- Artikel 32 – (1)(a)
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.7.1.2 – Schlüsselverwaltung
Referenzen ISO 27002-Steuerung 8.24
Siehe Abschnitt oben Schlüsselverwaltung (ISO 27701 6.7.1.1).
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.7.1.1 | Richtlinie zur Verwendung kryptografischer Kontrollen | 8.24 – Verwendung der Kryptographie für ISO 27002 | Artikel (32) |
| 6.7.1.2 | Schlüsselverwaltung | 8.24 – Verwendung der Kryptographie für ISO 27002 | Non |
Wie ISMS.online hilft
Wie helfen wir?
ISO 27701 zeigt Ihnen, wie Sie ein Datenschutzinformationsmanagementsystem aufbauen, das den meisten Datenschutzbestimmungen entspricht, einschließlich der EU-DSGVO, BS 10012 und Südafrikas POPIA.
Unsere vereinfachte, sichere und nachhaltige Software hilft Ihnen, den Ansatz des international anerkannten Standards problemlos zu befolgen.
Alle Funktionen, die Sie brauchen:
- ROPA leicht gemacht
- Eingebaute Risikobank
- Sicherer Platz für DRR
Finden Sie heraus, wie viel Zeit und Geld Sie auf Ihrem Weg zu einer kombinierten ISO 27002- und 27701-Zertifizierung mit ISMS.online sparen eine Demo buchen.
