ISO27001认证
热线:
Q Q:ISO/IEC27040标准静态加密数据
发布时间:2020-07-01 作者:广汇联合 来源:广汇联合
ISO/IEC27040标准静态加密数据
一、条款、目标、控制措施
a)应使用专门为存储技术而设计的加密算法和操作模式;
b) 限制密钥以明文形式存在的时间,并防止用户查看明文密钥 ;
c) 加密密钥只能用于一个目的,特别是不要使用密钥加密密钥(也称为密钥包装密钥)来加密数据或使用数据加密密钥来加密其他密钥;
d) 从整个按键空间中随机选择按键;
e) 检查并避免使用已知的弱键;
f) 数据加密密钥应限制在有限的加密期(通常不超过2年)或处理的最大数据量;
g) 在可能的情况下,存储系统和基础设施应使用可互操作的集中密钥管理基础设施;
h) 存储系统和基础架构应使用OASIS批准的、符合KMIP的客户端来访问和使用密钥管理基础架构。
二、企业要做的内容
1.准备《静态加密数据安全策略》
2.准备《加密和密钥管理安全策略》
三、审核员关注的内容
1. 是否依据《静态加密数据安全策略》实施保护
2. 是否依据《加密和密钥管理安全策略》实施保护
