Cryptografiebeleid voor communicatie

De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019: Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden. De Privacy Baseline krijgt een nieuwe versie.

Beveiligingsprincipe
ID:	CommVZ_B.03
Versie:	1.0
Status:	Actueel
Publicatiedatum:	01-02-2019
Redactionele wijzigingsdatum:	01-02-2019
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Gedrag

Verwante principes

→ BIO Thema Communicatievoorzieningen

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

In ISO27002 worden ten aanzien van communicatievoorzieningen de volgende principes expliciet genoemd:

het, met inbegrip van methoden voor het beveiligen van de toegang op afstand, beschikbaar stellen van passende communicatievoorzieningen;
tijdens hun gehele levenscyclus dient beleid te worden ontwikkeld en geïmplementeerd ter bescherming van informatie en voor de bescherming, het gebruik en de levensduur van cryptografische beheersmaatregelen (zoals crypto-sleutels).

Criterium

Ter bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Beleid
valt binnen de IFGS-indeling IFGS Gedrag
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 10

Onderliggende normen

ID	Conformiteitsindicator	Stelling	Pagina
CommVZ_B.03.1	cryptografiebeleid	In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt: wanneer cryptografie ingezet wordt; wie verantwoordelijk is voor de implementatie van cryptografie; wie verantwoordelijk is voor het sleutelbeheer; welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast; de wijze waarop het beschermingsniveau wordt vastgesteld; het onderling vaststellen van het beleid bij inter-organisatie communicatie.	In het cryptografiebeleid uitgewerkte onderwerpen
CommVZ_B.03.2	cryptografiebeleid	Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende: welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd moet voor welke communicatievorm worden versleuteld; welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd elektronisch worden ondertekend; aan welke standaarden de cryptografische toepassingen dienen te voldoen; in hoeverre backwards compatibility voor algoritmen en protocollen t.b.v. netwerken mag worden toegepast.	Aanvullende onderdelen in het cryptografiebeleid