A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen

Norm

Rationale

Deze maatregel borgt dat gegevens versleuteld worden uitgewisseld met versleuteling zoals beschreven in de Architectuur van Zorgeloos Vastgoed. Dit heeft als doel dat de vertrouwelijkheid en integriteit van de gegevens gewaarborgd is, ook indien een onbevoegd persoon toegang verkrijgt tot de datadrager of logische dataopslag.

Implementatie

Alle gegevens die worden uitgewisseld binnen het afsprakenstelsel worden beschermd door middel van encryptie. Hiervoor wordt verwezen naar deĀ aanbevelingenĀ die gelden voor 'near-term protection' en 'long-term protection', zieĀ Keylength - Cryptographic Key Length Recommendation.

Toelichting

  1. Deze maatregel mag uitgesloten worden indien Softwareleverancier Consument onder zijn verantwoording geen persoonlijke gegevens opslaat.

  2. Een overzicht van publicaties is te vinden opĀ Keylength - Cryptographic Key Length Recommendation.

  3. Er kan gebruik gemaakt worden van de ECRYPT-CSA-, NIST- of BSI-aanbevelingen.

  4. Deze norm betreft alle opgeslagen persoonlijke gegevens, inclusief logfiles, backups en/of archieven.

ISO 27001

A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen

Beoordeling

Auditmethode

  • Stel op basis van de architecturele inrichting vast of er wordt voldaan aan de aanbevelingen die gelden voor 'near-term protection' en 'long-term protectionā€™ volgens de door Aangeslotene gekozen invulling van encryptiestandaarden en -sleutels, bijvoorbeeld ECRYPT-CSA, NIST of BSI (zie Keylength - Cryptographic Key Length Recommendation). De Aangeslotene zal moeten aangeven welke encryptiestandaarden, sleutellengtes en derdelijke er gekozen zijn voor de opslag van gegevens.Ā 

  • Stel op basis van een steekproef vast of aanbevelingen ook daadwerkelijk geĆÆmplementeerd zijn.

Verificatie

  • Welke versie van de aanbevelingen is gehanteerd.

  • Welke architecturele inrichting incl. versienummer) zijn ingezien.

  • Met wie gesproken is ter bevestiging van toepassing van de maatregelen.

  • Bewijslast m.b.t. de daadwerkelijke implementatie.

Rollen

SLD

SLD

SLC

BH

Ā 

BO

Ā 

SLD = Softwareleverancier Dienstverlener, SLC = Softwareleverancier Consument, BH = Bronhouder, BO = Beheerorganisatie