ISO 27001加密控制终极指南

在信息安全领域之外询问最重要的部分是什么，你会得到很多不同的答案，但其中会包括密码学。使用强加密来隐藏信息，使其在没有适当授权的情况下无法访问，这很有意义，强加密的概念已经渗透到流行文化中。

当然，在现实中，像ISO 27001这样的安全框架确实包含密码学，但它只是整体信息安全的一小部分。事实上，它只是附录A控制中一个小节的一个子部分。

这很合理，对吧？广义上说，加密要么有要么没有。你不是从基本原理开发独特的加密算法，也不是培训每个员工如何加密和解密通信。大多数人甚至不知道他们正在处理的数据或他们使用的通信方法是否加密。

这就是为什么ISO 27001如此关注组织策略、个人培训、物理访问和其他更可变和灵活的安全机制。这也是为什么许多威胁都针对这些向量。用背心和剪贴板绕过前台比破解AES-256容易得多。

尽管如此，ISO 27001确实有关于加密和密码学使用的具体控制措施，如果你想达到ISO标准的合规性，就需要遵循这些措施。

BLUF - 底线在前

ISO 27001要求使用密码学，但没有指定类型，允许根据具体需求灵活选择。与CMMC不同，ISO 27001强调选择合适的加密，而不规定具体算法。该标准侧重于建立策略、密钥管理以及保护静态和传输中的数据。合规性涉及持续维护、审计和证据收集。ISO 27002提供了关于有效实施密码学的进一步指导，包括密钥管理和确保遵守法律和合同义务。

ISO 27001是否需要密码学？

是的。

然而，ISO 27001没有指定你需要实施什么加密。这反映了ISO 27001的制定方式。

ISO 27001作为一个标准和一套要实现的目标存在，而不是一个需要实施的具体规定清单。事实上，密码学方面的使用就是一个很好的例子。

对于像CMMC这样的框架，你也需要使用密码学，但它们告诉你要使用哪种类型。具体来说，CMMC要求你使用"FIPS验证的密码学"，这是一整套涵盖几种特定加密算法的标准。

ISO 27001只是说你需要使用适合你需求的加密。

由你决定这些需求是什么以及需要什么级别的加密。

在实践中，由于监管机构、政府以及法律或法定要求的高标准，这些列表将是相似的。然而，方法上的差异使得在面对行业发展时具有更大的灵活性。

如果发布了新的加密算法，遵守CMMC等标准的人必须等待FIPS验证该算法。而ISO 27001的用户如果满足需求，可以立即采用。

不过，ISO/IEC并没有让你悬着；ISO 27002作为ISO 27001的补充出版物，提供了更具体的指导。

ISO 27001说了什么？

ISO 27001本身没有具体提到密码学；这留给了附录A的控制列表。

附录A部分8.24这样说：

“根据业务和信息安全需求，并考虑与密码学相关的法律、法规和合同要求，确保适当有效地使用密码学来保护信息的机密性、真实性或完整性。”

基本上，它告诉你要考虑应该在何时何地使用密码学，哪些法规和法律强制执行某些密码学标准，以及哪些密码学机制最适合你的需求。使用绝对最好的加密算法可能不必要甚至不合适。

ISO 27002说了什么？

ISO 27002是概述适当实施ISO 27001的更具体信息和要求的补充文件。那么，它具体说了什么？这里有更多的数据，你最好购买文档自己查看，但总结如下：

“控制：应定义并实施有效使用密码学的规则，包括加密密钥管理。”

它还提供了跨几个部分的指导。

考虑组织定义的主题特定策略，包括保护信息的一般原则。关于使用密码学的主题特定策略是必要的。
考虑信息的类型和保护需求，以确定要使用的加密算法的类型、强度和质量。
考虑使用密码学来保护移动终端设备或存储介质上持有的信息，以及在传输到这些设备时的信息。
考虑密钥管理的方法，从密钥的生成和保护到密钥丢失、泄露或损坏时加密信息的恢复。
考虑实施这些规则和密钥管理所涉及的角色和职责。
考虑可能被组织批准或要求的算法和密码的具体内容。
考虑密码学对其他需要检查数据的安全机制的影响，如恶意软件扫描和内容过滤。
考虑你所在行业和国家的法律法规，以及数据是否跨境传输。
考虑SLA和其他合同的内容，这些合同可能会增加要求。

还有一整套专门围绕密钥管理的额外信息和指导，列出了诸如生成、签发、分发、存储、更改、恢复、撤销、销毁和记录密钥等考虑事项。

ISO 27002中关于密码学的整体第8.24节大约有三页长，所以我们显然不会在这里复制整个内容。要获取实际文本，请获取完整文档。

如何正确实施密码学以满足ISO 27001

根据ISO 27001，没有一刀切的密码学解决方案。相反，该框架挑战你思考来自各种来源的要求，以及维护适当标准所需的策略和程序。

这并不新鲜；ISO 27001的所有内容都是这样，所以你应该熟悉以这种方式思考安全。

首先，从分析外部要求开始。

法律要求：关于你可以和不能使用的密码学的法律可能来自地方、州或国家政府，它们可以通过各种轴应用于你，例如因为你在一个国家内的位置、你在一个国家内开展业务的能力、你在给定行业内的地位以及类似的方向。一般来说，最好请法律专业人士提供建议，并保留该建议的证据，以备日后受到质疑。
信息分类：你整体ISMS开发的一部分是确定你处理的信息类型以及它们需要如何保护。这本质上类似于为其他框架确定影响级别和范围考虑因素。ISO 27001附录A第5.12节涉及信息分类，是一个很好的起点。
公司策略：你用ISO 27001开发的ISMS的一部分是你制定的一系列公司规则和策略，这些策略作为你更技术实施的指南。如果你还没有制定关于密码学的策略，你应该这样做；如果你有，请参考它们，确保它们当前有效，并在必要时更新它们。

你还需要考虑何时何地需要应用密码学。

首先是静态数据。存储中的数据，例如在公司共享网络驱动器中、在公司服务器或个人计算机上，或在云存储桶中，都需要在静态时适当保护。许多第三方服务已经具有静态加密，但对于任何你自己的本地解决方案，都需要适当应用密码学。

这里最大的挑战之一是你可能需要有效地用现代密码学改造现有系统。这可能会导致集成困难，包括这些系统本身和需要访问它们的其他应用程序。加密（或更具体地说，加密和解密信息的行为）也会消耗资源，并可能减慢这些系统的性能。

第二是传输中的数据。当数据从点A移动到点B时，无论是员工访问驱动器、来回发送文件，还是其他方式传输和处理数据，都需要加密。

一个常见的攻击向量是位于点A和点B之间的恶意软件，只是窥探和复制数据。这些"中间人"攻击可以通过加密传输中的数据来阻止，这样任何被窥探的数据都是无法理解的。

第三是密钥管理。密钥管理要求你的加密密钥足够强大和随机以保护你的数据，但又不能资源密集到对你的资源造成重大压力。现成的现代加密应用程序通常经过平衡以使这一切变得容易，因为如果一个系统太难使用，人们会找到绕过它的方法，这意味着它不安全。

密钥存储也是其中的一部分。密钥需要存储才有价值，但存储它们本身需要保护。对此也有技术解决方案，例如硬件安全模块、加密密钥存储和其他安全存储方式。这也与访问控制相关联，因此你的密钥受到限制，防止未经授权的访问。

密钥管理的另一个元素是密钥轮换。密钥通常需要不时更改以防止泄露和未经授权使用，但你也希望确保轮换对组织的干扰最小。

选择合适的加密算法

你可能注意到，到目前为止，我们还没有提到特定的加密产品或算法。这是因为正确实施ISO 27001加密要求的一部分就是做出这个决定。

ISO/IEC避免指定你应该使用的确切算法，作为使其标准面向未来的一种手段。密码学是世界上最重要的军备竞赛之一， incomprehensible 的计算能力被用于破坏现有密码学和开发新密码学。从量子计算到人工智能研究的各个方面都已被这场斗争的双方武器化，并将无限期地继续这样做。

这意味着不同类型的加密算法（RSA、AES等）和这些算法的不同强度级别可能会随时间变化。

所有这些也由ISO 27001的其他元素指导，例如8.3信息安全风险处理和9.1监控、测量、分析和评估。

基本上，选择当前可用的最佳算法，该算法满足你根据法律和你保护的信息类型确定的要求，并确保使用它不会给你的系统带来太大压力。如果你不能使用最低要求，你可能需要在适当保护之前升级系统。

不要忘记还要考虑面向未来；如果你处于最低要求并且需要每年更新，你现在面临的风险将比追求更高级别安全性要大得多。

通过证据维护合规性

与任何安全框架或标准（如ISO 27001）一样，实施后你工作的很大一部分是维护。你不仅需要实施证明，还需要执行持续维护和升级，并保留该维护的证明。从那里，你还需要执行测试和审计、验证培训、维护策略，并使整个ISMS保持在持续改进的状态。

Ignyte Assurance Platform可以帮助解决这个问题。我们将该平台设计为一种跟踪和维护你在许多不同安全框架下的合规状态的方法，可根据你的需求定制。当你开发ISMS时，你将收集证据工件和实施证明，以及审计日志和记录、事件报告等。所有这些都可以在我们的平台中跟踪。

要了解Ignyte Platform能为你做什么，请安排通话以查看实际操作。我们很乐意在此过程中回答你可能遇到的任何问题。