ISMS Verschlüsselungspolicy ISO 27001

ISO 27001 Verschlüsselungspolicy

Der Zweck einer ISMS Policy ist, einen Leitfaden bereitzustellen, welcher die Benutzung von Verschlüsselungssystemen auf jene Algorithmen beschränkt, welche in substantieller Weise durch die Öffentlichkeit überprüft worden und für effizient befunden worden sind. Zusätzlich macht die ISO 27001 Policy Vorgaben, welche sicherstellen, dass den gesetzlichen Anforderungen Genüge getan wird und eine Freigabe für die Benutzung und die Weitergabe von Verschlüsselungstechnologien erteilt wird. Die ISMS Policy ISO 27001 sollte verbindlich für alle Mitarbeiter der Firma und aller Tochtergesellschaften sein. Gegen Mitarbeiter, die nach Feststellung gegen diese Richtlinien verstoßen haben, werden disziplinarische Maßnahmen ergriffen, die bis zu einer Kündigung hinreichen können.


Nutzung von Algorithmen im Rahmen der ISO 27001 Verschlüsselungspolicy

Bewährte Standard Algorithmen, wie DES, Blowfish, RSA, RC5 und IDEA, sollten als Basis einer ISMS ISO 27001 Verschlüsselungspolicy benutzt werden. Diese Algorithmen repräsentieren die Codeschlüssel, welche für die genehmigte Anwendung benutzt werden. Zum Beispiel Network Associate’s Pretty Good Privacy (PGP) benutzt eine Kombination aus IDEA und RSA oder Diffie-Hellman, während Secure Socket Layer (SSL) die RSA Verschlüsselung benutzt. Symmetrische Kryptosystem Schlüssellängen müssen mindestens 128 Bit lang sein. Asymmetrische Kryptosystem Schlüssel müssen von gleichwertiger Verschlüsselungsstärke sein.  Schlüssellängen Voraussetzungen werden jährlich überprüft und verbessert, wenn es die Technologie erlaubt. Die Benutzung von Proprietären Verschlüsselungsalgorithmen ist für keinen Zweck gestattet, ausgenommen wenn sie durch externe qualifizierte Experten (welche nicht mit dem fraglichen Hersteller assoziiert werden) überprüft und durch InfoSec genehmigt sind. Bitte beachten Sie, der Export von Verschlüsselungstechnologien unterliegt Restriktionen seitens der U.S. Regierung. Bürger anderer Staaten (nicht USA) sollten sich mit den Verschlüsselungstechnologie Gesetzen der jeweiligen Länder in denen sie wohnen, vertraut machen. Jeder Nutzer trägt selbst die Verantwortung dafür, welche Daten bei Speicherung oder Übermittlung verschlüsselt werden müssen.


Unser Tipp
Gratis Vorlage:
Mit der gratis Vorlage Erstellung einer Prozessbeschreibung zeigen wir Ihnen, wie Sie Ihre Geschäftsprozessse zielführend beschreiben und in Visualisierungsmodellen darstellen, um Ihren Mitarbeitern Arbeitsabläufe verständlich aufzuzeigen.

Ausbildung: Oder besuchen Sie unsere Ausbildung Basiswissen Informationssicherheitsmanagement ISO 27001 und steigen Sie in die ISMS Grundlagen ein. Wir machen Sie dabei mit der ISO 27001 vertraut und zeigen, wie Sie deren Anforderungen in Ihrem ISMS umsetzen.


Vorgaben der ISO 27001 Verschlüsselungspolicy hinsichtlich des Zugriffs auf Daten

Es ist dafür zu sorgen, dass alle Berechtigten Zugriff auf verschlüsselte Daten haben. Die Zuordnung von einem öffentlichen Schlüssel zu einer Person/Dienst oder System muss validiert sein. Es dürfen nur zertifizierte oder validierte Schlüssel eingesetzt werden. Daten dürfen durch eine Verschlüsselung nicht verloren gehen. Dies sollte durch organisatorische oder technische Maßnahmen stets sichergestellt sein. Entsprechend den gängigen Regelungen ist eine Zugriffsmöglichkeit für berechtigte Stellen vorzusehen. Zur Verschlüsselung sowie Digitalen Signatur dürfen ausschließlich vom jeweiligen Unternehmen freigegebene Verfahren und Produkte zum Einsatz kommen. Besonders bei archivierten Daten ist darauf zu achten, dass gemäß den gesetzlichen oder betrieblichen Regelungen auch nach mehreren Jahren auf die Daten zugegriffen werden kann oder Signaturen geprüft werden können. Beim Einsatz von drahtloser Kommunikation muss diese grundsätzlich verschlüsselt erfolgen. Für WLAN ist eine Verschlüsselung ohne Ausnahme einzusetzen.

Video: Arbeitsanweisung – Lebenszyklus und Erstellung
Video: 7 Punkte zur Erstellung einer Arbeitsanweisung


Wichtige Definitionen für die ISMS ISO 27001 Verschlüsselungspolicy

Proprietäre Verschlüsselung
Ein Algorithmus, welcher nicht veröffentlicht oder nicht durch die Öffentlichkeit überprüft worden ist. Der Entwickler des Algorithmus kann ein Unternehmen, eine Einzelperson oder eine Regierung sein.

Symmetrisches Kryptosystem
Eine Methode einer Verschlüsselung, in welcher der gleiche Schlüssel für die Ver- bzw. Entschlüsselung von Daten verwendet wird.

Asymmetrisches Kryptosystem
Eine Methode einer Verschlüsselung, in welche zwei verschiedene Schlüssel benutzt werden: eine Methode für die Verschlüsselung und eine andere Methode zur Entschlüsselung der Daten (z.B.: public Key Verschlüsselung).