华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27000认证 > “A.10 密码”条款理解与应用

ISO27000:“A.10 密码”条款理解与应用

文章录入:华道众合   文章来源:华道众合   添加时间:2021-1-23
【标准条款】
A.10 密码
A. 10.1 密码控制
目的∶确保适当和有效地使用密码技术以保护信息的保密性、真实性和(或)完整性。
A.10.1.1 密码控制的使用策略
应开发和实现用于保护信息的密码控制使用策略。
【理解与应用】
制定密码策略时,宜考虑下列内容∶
(1)组织内使用密码控制的管理方法,包括保护业务信息的一般原则;
(2)基于风险评估,来识别需要的保护级别,同时考虑需要的加密算法的类型、强度和质量;
(3)对通过移动介质、可拆卸的介质设备或通信线路来传输的信息使用加密保护;
(4)密钥管理方法,包括密钥保护方法,以及在密钥丢失、损害或毁坏后加密信息的恢复方法;
(5)角色和责任,例如,谁负责∶
1)策略的实现;
2)密钥管理,包括密钥生成(见 A.10.1.2 密钥管理);
(6)为在整个组织内有效实现而采用的标准(针对那些业务过程,使用哪些解决方案);
(7)使用加密后的信息对依赖于内容检查的控制(例如恶意软件检测)的影响。当实现组织的密码策略时,宜考虑我国应用密码技术的规定和限制,以及加密信息跨越国界时的问题(见 A.18.1.5 密码控制规则)。
密码控制可用于达到不同的安全目的,例如∶
(1)保密性∶使用信息加密以保护存储或传输中的敏感或关键信息;
(2)完整性/真实性∶使用数字签名或消息鉴别码以验证存储和传输中的敏感或关键信息的真实性和完整性;
(3)抗抵赖性∶使用密码技术以提供一个事态或行为发生或未发生的证据;
(4)可鉴别性∶使用密码技术以鉴别对系统的用户、实体和资源进行请求访问或交互的用户和其他系统实体。
 
【标准条款】
A.10.1.2 密钥管理
应制定和实现贯穿其全生命周期的密钥使用、保护和生存期策略。
【理解与应用】
策略宜包括密钥在其全生命周期中的管理要求,包括密钥生成、存储、归档、恢复、分发、废止和销毁。
宜根据最佳实践选择密码算法、密钥长度和使用惯例。适合的密钥管理要求具有密钥生成、存储、归档、恢复、分发、废止和损坏的安全过程。
宜保护所有的密钥免遭修改和丢失。另外,私密密钥和私钥需要防范非授权的泄露和使用。用来生成、存储和归档密钥的设备宜进行物理保护。
密钥管理系统宜基于已商定的标准、规程和安全方法,以便∶
(1)生成用于不同密码系统和不同应用的密钥;
(2)发布和获得公钥证书;
(3)分发密钥给预期实体,包括在收到密钥时要如何激活;
(4)存储密钥,包括已授权用户如何访问密钥;
(5)变更或更新密钥,包括要何时变更密钥和如何变更密钥的规则;
(6)处理泄露的密钥;
(7)撤销密钥,包括要如何撤消或吊销密钥,例如,当密钥泄露或当用户离开组织时(在这种情况下,密钥也要归档);
(8)恢复已丢失或损坏的密钥;
(9)备份或归档密钥;
(10)销毁密钥;
(11)记录和审核与密钥管理相关的活动。
为了减少密钥不恰当使用的可能性,宜规定密钥的激活日期和吊销日期,以使它们只能用于由相关的密钥管理策略确定的时间周期。
除了安全地管理私密密钥和私钥外,还宜考虑公钥的真实性。公钥真实性的鉴别过程可以由认证机构正式颁发的公钥证书来完成,该认证机构宜是一个具有合适的控制和规程以提供所需的信任度的公认组织。
与外部密钥服务提供者(例如与认证机构)签订的服务级别协议或合同的内容,宜涵盖服务责任、服务可靠性和提供服务的响应次数等若干问题(见A.15.2供应商服务交付管理)。
想了解更多的关于ISO27000信息可以经常关注我们