ISO/IEC27040標(biāo)準(zhǔn)數(shù)據(jù)保密性控制措施

一、條款、目標(biāo)、控制措施

1）基于存儲(chǔ)的加密不應(yīng)是敏感數(shù)據(jù)的主要加密形式

2）加密點(diǎn)的選擇應(yīng)受到災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性、數(shù)據(jù)縮減和數(shù)據(jù)保護(hù)考慮因素的影響

3）選擇和部署加密時(shí)應(yīng)考慮數(shù)據(jù)保留需求

4）加密解決方案的安全強(qiáng)度應(yīng)至少為112位，建議的最小值為128位

5）應(yīng)使用公認(rèn)的標(biāo)準(zhǔn)驗(yàn)證用于保護(hù)敏感或受監(jiān)管數(shù)據(jù)的加密模塊

6）可以使用多個(gè)加密步驟，例如當(dāng)為隱私目的而加密的數(shù)據(jù)為了安全目的被自加密驅(qū)動(dòng)器進(jìn)一步加密時(shí)

7）確保加密機(jī)制創(chuàng)建適當(dāng)?shù)膶徍巳罩卷?xiàng)（激活、驗(yàn)證、完整性檢查、重新設(shè)置密鑰等）

8）事先就審計(jì)日志材料證明（使合規(guī)人員滿(mǎn)意）正確執(zhí)行加密的內(nèi)容達(dá)成一致

9）執(zhí)行定期和審計(jì)檢查，確保加密格式正確，并考慮外部認(rèn)證

10）利用集中的密鑰管理

11）盡可能完全自動(dòng)化密鑰管理

12）稀疏使用壽命長(zhǎng)的密鑰（即接近推薦的最大加密周期，通常不超過(guò)1-2年，具體取決于密鑰類(lèi)型）

13）實(shí)施嚴(yán)格的訪問(wèn)控制，以限制用戶(hù)的能力和密鑰生成、更改和分發(fā)的職責(zé)分離約束（例如，安全角色）

14）對(duì)于敏感或高值數(shù)據(jù)，加密應(yīng)該是端到端的（即運(yùn)動(dòng)中的數(shù)據(jù)和靜止的數(shù)據(jù)）

1.準(zhǔn)備《數(shù)據(jù)保密性和完整性安全策略》

2. 準(zhǔn)備《加密和密鑰管理安全策略》

3.準(zhǔn)備《業(yè)務(wù)持續(xù)性管理程序》

4. 準(zhǔn)備《信息安全監(jiān)控安全策略》

5.準(zhǔn)備《安全審計(jì)、會(huì)計(jì)和監(jiān)控安全策略》

1. 是否依據(jù)《數(shù)據(jù)保密性和完整性安全策略》實(shí)施管理

2. 是否依據(jù)《加密和密鑰管理安全策略》實(shí)施管理

3. 是否依據(jù)《業(yè)務(wù)持續(xù)性管理程序》實(shí)施管理

4. 是否依據(jù)《信息安全監(jiān)控安全策略》實(shí)施管理

5. 是否依據(jù)《安全審計(jì)、會(huì)計(jì)和監(jiān)控安全策略》實(shí)施管理