ISMS Policy

ISO 27001 Verschlüsselungspolicy

Der Zweck einer ISMS Policy ist, einen Leitfaden bereitzustellen, welcher die Benutzung von Verschlüsselungssystemen auf jene Algorithmen beschränkt, welche in substantieller Weise durch die Öffentlichkeit überprüft worden und für effizient befunden worden sind. Zusätzlich macht die ISO 27001 Policy Vorgaben, welche sicherstellen, dass den gesetzlichen Anforderungen Genüge getan wird und eine Freigabe für die Benutzung und die Weitergabe von Verschlüsselungstechnologien erteilt wird. Die ISMS Policy ISO 27001 sollte verbindlich für alle Mitarbeiter der Firma und aller Tochtergesellschaften sein. Gegen Mitarbeiter, die nach Feststellung gegen diese Richtlinien verstoßen haben, werden disziplinarische Maßnahmen ergriffen, die bis zu einer Kündigung hinreichen können.

Nutzung von Verschlüsselungsalgorithmen im Rahmen der ISO 27001 Verschlüsselungspolicy

Bewährte Standard Algorithmen, wie DES, Blowfish, RSA, RC5 und IDEA, sollten als Basis einer ISMS ISO 27001 Verschlüsselungspolicy benutzt werden. Diese Algorithmen repräsentieren die Codeschlüssel, welche für die genehmigte Anwendung benutzt werden. Zum Beispiel Network Associate’s Pretty Good Privacy (PGP) benutzt eine Kombination aus IDEA und RSA oder Diffie-Hellman, während Secure Socket Layer (SSL) die RSA Verschlüsselung benutzt. Symmetrische Kryptosystem Schlüssellängen müssen mindestens 128 Bit lang sein. Asymmetrische Kryptosystem Schlüssel müssen von gleichwertiger Verschlüsselungsstärke sein.  Schlüssellängen Voraussetzungen werden jährlich überprüft und verbessert, wenn es die Technologie erlaubt. Die Benutzung von Proprietären Verschlüsselungsalgorithmen ist für keinen Zweck gestattet, ausgenommen wenn sie durch externe qualifizierte Experten (welche nicht mit dem fraglichen Hersteller assoziiert werden) überprüft und durch InfoSec genehmigt sind. Bitte beachten Sie, der Export von Verschlüsselungstechnologien unterliegt Restriktionen seitens der U.S. Regierung. Bürger anderer Staaten (nicht USA) sollten sich mit den Verschlüsselungstechnologie Gesetzen der jeweiligen Länder in denen sie wohnen, vertraut machen. Jeder Nutzer trägt selbst die Verantwortung dafür, welche Daten bei Speicherung oder Übermittlung verschlüsselt werden müssen.

Unser Tipp
Gratis Vorlage & E-Learning:
Nutzen Sie unsere gratis Anleitung Erstellung einer Arbeitsanweisung, um einheitliche Arbeitsanweisungen zu erstellen und sicherzustellen, dass Mitarbeiter ihre Aufgaben qualitätskonform durchführen. Oder absolvieren Sie alternativ den gratis E-Learning Kurs Arbeitsanweisung erstellen und erfahren Sie alles über die Vorteile, Struktur sowie die erfolgreiche Erstellung von Arbeitsanweisungen.

Vorgaben der ISO 27001 Verschlüsselungspolicy hinsichtlich des Zugriffs auf Daten

Es ist dafür zu sorgen, dass alle Berechtigten Zugriff auf verschlüsselte Daten haben. Die Zuordnung von einem öffentlichen Schlüssel zu einer Person/Dienst oder System muss validiert sein. Es dürfen nur zertifizierte oder validierte Schlüssel eingesetzt werden. Daten dürfen durch eine Verschlüsselung nicht verloren gehen. Dies sollte durch organisatorische oder technische Maßnahmen stets sichergestellt sein. Entsprechend den gängigen Regelungen ist eine Zugriffsmöglichkeit für berechtigte Stellen vorzusehen. Zur Verschlüsselung sowie Digitalen Signatur dürfen ausschließlich vom jeweiligen Unternehmen freigegebene Verfahren und Produkte zum Einsatz kommen. Besonders bei archivierten Daten ist darauf zu achten, dass gemäß den gesetzlichen oder betrieblichen Regelungen auch nach mehreren Jahren auf die Daten zugegriffen werden kann oder Signaturen geprüft werden können. Beim Einsatz von drahtloser Kommunikation muss diese grundsätzlich verschlüsselt erfolgen. Für WLAN ist eine Verschlüsselung ohne Ausnahme einzusetzen.

Zum Seitenanfang

Wichtige Definitionen für die ISMS ISO 27001 Verschlüsselungspolicy

Proprietäre Verschlüsselung
Ein Algorithmus, welcher nicht veröffentlicht oder nicht durch die Öffentlichkeit überprüft worden ist. Der Entwickler des Algorithmus kann ein Unternehmen, eine Einzelperson oder eine Regierung sein.

Symmetrisches Kryptosystem
Eine Methode einer Verschlüsselung, in welcher der gleiche Schlüssel für die Ver- bzw. Entschlüsselung von Daten verwendet wird.

Asymmetrisches Kryptosystem
Eine Methode einer Verschlüsselung, in welche zwei verschiedene Schlüssel benutzt werden: eine Methode für die Verschlüsselung und eine andere Methode zur Entschlüsselung der Daten (z.B.: public Key Verschlüsselung).

Popup-Banner-Katalog

Unser Schulungskatalog als PDF-Version

Sie möchten sich oder Ihre Mitarbeiter im Bereich Managementsysteme ausbilden? Wir haben zahlreiche Schulungen in unserem Schulungsprogramm – bspw. in den Bereichen Qualitätssicherung, QM Automotive, Energiemanagement, QM für Medizinprodukte und mehr! Auch im Bereich E-Learning erweitern wir stetig unser Angebot, damit Sie bei möglichst vielen Schulungen die Wahl haben:
Präsenzschulung, E-Learning oder Hybrid Lehrgang!

Schauen Sie sich hierfür einfach in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!

Gratis PDF-Katalog