ISMS Policy – ISO 27001 Verschlüsselungspolicy

Bewährte Standard Algorithmen wie DES, Blowfish, RSA, RC5 und IDEA sollten als Basis einer Verschlüsselungs ISMS ISO 27001 Policy Verschlüsselungspolicy benutzt werden. Diese Algorithmen repräsentieren die Codeschlüssel, welche für die genehmigte Anwendung benutzt werden. Zum Beispiel Network Associate’s Pretty Good Privacy (PGP) benutzt eine Kombination aus IDEA und RSA oder Diffie-Hellman, während Secure Socket Layer (SSL) die RSA Verschlüsselung benutzt. Symmetrische Kryptosystem Schlüssellängen müssen mindestens 128 Bit lang sein. Asymmetrische Kryptosystem Schlüssel müssen von gleichwertiger Verschlüsselungsstärke sein.  Schlüssellängen Voraussetzungen werden jährlich überprüft und verbessert, wenn es die Technologie erlaubt.

Die Benutzung von Proprietären Verschlüsselungsalgorithmen ist für keinen Zweck gestattet, ausgenommen wenn sie durch externe qualifizierte Experten (welche nicht mit dem fraglichen Hersteller assoziiert werden) überprüft und durch InfoSec genehmigt sind. Bitte beachten Sie, der Export von Verschlüsselungstechnologien unterliegt Restriktionen seitens der U.S. Regierung. Bürger anderer Staaten (nicht USA) sollten sich mit den ISMS Policy – Verschlüsselungstechnologie Gesetzen der jeweiligen Länder in denen sie wohnen, vertraut machen. Jeder Nutzer trägt selbst die Verantwortung dafür, welche Daten bei Speicherung oder Übermittlung verschlüsselt werden müssen.

Es ist dafür zu sorgen, dass alle Berechtigten Zugriff auf verschlüsselte Daten haben. Die Zuordnung von einem öffentlichen Schlüssel zu einer Person/Dienst oder System muss validiert sein. Es dürfen nur zertifizierte oder validierte Schlüssel eingesetzt werden. Daten dürfen durch eine Verschlüsselung nicht verloren gehen. Dies sollte durch organisatorische oder technische Maßnahmen stets sichergestellt sein. Entsprechend den gängigen Regelungen ist eine Zugriffsmöglichkeit für berechtigte Stellen vorzusehen. Zur Verschlüsselung sowie Digitalen Signatur dürfen ausschließlich von der „Mustermann AG“ freigegebene Verfahren und Produkte zum Einsatz kommen. Besonders bei archivierten Daten ist darauf zu achten, dass gemäß den gesetzlichen oder betrieblichen Regelungen auch nach mehreren Jahren auf die Daten zugegriffen werden kann oder Signaturen geprüft werden können. Beim Einsatz von drahtloser Kommunikation muss diese grundsätzlich verschlüsselt erfolgen. Für WLAN ist eine Verschlüsselung ohne Ausnahme einzusetzen.

GRATIS VORLAGE: Nutzen Sie die gratis Vorlage ISMS Verfahrensanweisung ISO 27001 für die rechtzeitige Erkennung von Risiken in Ihrem Unternehmen.

Zweck & Gültigkeitsbereich der Richtlinie / Verschlüsselungspolicy

Der Zweck dieser Richtlinie ist, einen Leitfaden bereitzustellen, welcher die Benutzung von Verschlüsselungssystemen auf jene Algorithmen beschränkt, welche in substantieller Weise durch die Öffentlichkeit überprüft worden und für effizient befunden worden sind. Zusätzlich macht diese Richtlinie Vorgaben, welche sicherstellen, dass den gesetzlichen Anforderungen Genüge getan wird und eine Freigabe für die Benutzung und die Weitergabe von Verschlüsselungstechnologien erteilt wird.

Diese Policy ist verbindlich für alle Mitarbeiter von <Firmenname> und aller Tochtergesellschaften.

Gegen Mitarbeiter, die nach Feststellung gegen diese Richtlinien verstoßen haben, werden disziplinarische Maßnahmen ergriffen, die bis zu einer Kündigung hinreichen können.

AUSBILDUNG: Mit der Ausbildung ISMS Beauftragter – ISO/IEC 27001 – Informationssicherheitsmanagement betreuen Sie Ihr ISMS erfolgreich.

Zum Seitenanfang

Definitionen der Richtlinie / ISMS ISO 27001 Policy Verschlüsselungspolicy

Proprietäre Verschlüsselung
Ein Algorithmus, welcher nicht veröffentlicht oder nicht durch die Öffentlichkeit überprüft worden ist. Der Entwickler des Algorithmus kann ein Unternehmen, eine Einzelperson oder eine Regierung sein.

Symmetrisches Kryptosystem
Eine Methode einer Verschlüsselung, in welcher der gleiche Schlüssel für die Ver- bzw. Entschlüsselung von Daten verwendet wird.

Asymmetrisches Kryptosystem
Eine Methode einer Verschlüsselung, in welche zwei verschiedene Schlüssel benutzt werden: eine Methode für die Verschlüsselung und eine andere Methode zur Entschlüsselung der Daten (z.B.: public Key Verschlüsselung).