ISO/IEC27040標準數(shù)據(jù)保密性控制措施

一、條款、目標、控制措施

1）基于存儲的加密不應是敏感數(shù)據(jù)的主要加密形式

2）加密點的選擇應受到災難恢復和業(yè)務連續(xù)性、數(shù)據(jù)縮減和數(shù)據(jù)保護考慮因素的影響

3）選擇和部署加密時應考慮數(shù)據(jù)保留需求

4）加密解決方案的安全強度應至少為112位，建議的最小值為128位

5）應使用公認的標準驗證用于保護敏感或受監(jiān)管數(shù)據(jù)的加密模塊

6）可以使用多個加密步驟，例如當為隱私目的而加密的數(shù)據(jù)為了安全目的被自加密驅動器進一步加密時

7）確保加密機制創(chuàng)建適當?shù)膶徍巳罩卷棧せ?、驗證、完整性檢查、重新設置密鑰等）

8）事先就審計日志材料證明（使合規(guī)人員滿意）正確執(zhí)行加密的內容達成一致

9）執(zhí)行定期和審計檢查，確保加密格式正確，并考慮外部認證

10）利用集中的密鑰管理

11）盡可能完全自動化密鑰管理

12）稀疏使用壽命長的密鑰（即接近推薦的最大加密周期，通常不超過1-2年，具體取決于密鑰類型）

13）實施嚴格的訪問控制，以限制用戶的能力和密鑰生成、更改和分發(fā)的職責分離約束（例如，安全角色）

14）對于敏感或高值數(shù)據(jù)，加密應該是端到端的（即運動中的數(shù)據(jù)和靜止的數(shù)據(jù)）

1.準備《數(shù)據(jù)保密性和完整性安全策略》

2. 準備《加密和密鑰管理安全策略》

3.準備《業(yè)務持續(xù)性管理程序》

4. 準備《信息安全監(jiān)控安全策略》

5.準備《安全審計、會計和監(jiān)控安全策略》

1. 是否依據(jù)《數(shù)據(jù)保密性和完整性安全策略》實施管理

2. 是否依據(jù)《加密和密鑰管理安全策略》實施管理

3. 是否依據(jù)《業(yè)務持續(xù)性管理程序》實施管理

4. 是否依據(jù)《信息安全監(jiān)控安全策略》實施管理

5. 是否依據(jù)《安全審計、會計和監(jiān)控安全策略》實施管理