Der Zweck einer ISMS Policy ist, eine Unternehmenserklärung zur Informationssicherheit unternehmensinternen Gruppen (z. B. Mitarbeiter, Eigentümer) sowie unternehmensexternen (z.B. Kunden, Lieferanten, Behörden) bereitzustellen. Hierbei macht die ISO 27001 Policy Vorgaben, welche sicherstellen, dass die strategische Ausrichtung des Unternehmens die Aspekte der Informationssicherheit umfasst und auch den gesetzlichen Anforderungen genüge getan wird. Die ISMS Policy ISO 27001 sollte verbindlich für alle Mitarbeiter der Firma sowie aller Tochtergesellschaften sein. Gegen Mitarbeiter, die nach Feststellung gegen diese Richtlinien verstoßen haben, werden disziplinarische Maßnahmen ergriffen, die bis zu einer Kündigung reichen können.
Nutzung von Algorithmen im Rahmen der ISO 27001 Policy
Bewährte Standard Algorithmen, wie DES, Blowfish, RSA, RC5 und IDEA, sollten Sie als Basis einer ISMS ISO 27001 Policy benutzen. Diese Algorithmen repräsentieren die Codeschlüssel, welche Sie für die genehmigte Anwendung benutzen. Zum Beispiel Network Associate’s Pretty Good Privacy (PGP) benutzt eine Kombination aus IDEA und RSA oder Diffie-Hellman, während Secure Socket Layer (SSL) die RSA Verschlüsselung benutzt. Symmetrische Kryptosystem Schlüssellängen müssen mindestens 128 Bit lang sein. Asymmetrische Kryptosystem Schlüssel müssen von gleichwertiger Verschlüsselungsstärke sein. Daher müssen Sie die Voraussetzungen für Schlüssellängen jährlich überprüfen und verbessern, wenn es die Technologie erlaubt. Die Benutzung von Proprietären Verschlüsselungsalgorithmen ist für keinen Zweck gestattet, ausgenommen wenn sie durch externe qualifizierte Experten überprüft und durch InfoSec genehmigt sind.
Bitte beachten Sie dabei, dass der Export von Verschlüsselungstechnologien Restriktionen seitens der U.S. Regierung unterliegt. Bürger anderer Staaten (nicht USA) sollten sich mit den Verschlüsselungstechnologie Gesetzen der jeweiligen Länder in denen sie wohnen, vertraut machen. Jeder Nutzer trägt selbst die Verantwortung dafür, welche Daten er bei Speicherung oder Übermittlung verschlüsseln muss.
Ihre Ausbildungen im Informationssicherheitsmanagement ISO 27001
Steigen Sie mit dem Basiswissen zur ISO 27001 in die Grundlagen des Informationssicherheitsmanagements ein und qualifizieren Sie sich anschließend zum internen Auditor ISO 27001 oder ISMS Beauftragten ISO 27001 – wir bereiten Sie dabei praxisnah auf kommende Aufgaben vor!
Einige der Ausbildungen können Sie dabei auch als E-Learning absolvieren. Laden Sie sich für eine komplette Übersicht einfach unseren Katalog kostenfrei herunter.
Vorgaben der ISO 27001 Verschlüsselungspolicy hinsichtlich des Zugriffs auf Daten
Es ist dafür zu sorgen, dass alle Berechtigten Zugriff auf verschlüsselte Daten haben. Die Zuordnung von einem öffentlichen Schlüssel zu einer Person/Dienst oder System muss validiert sein. Es dürfen nur zertifizierte oder validierte Schlüssel eingesetzt werden. Daten dürfen durch eine Verschlüsselung nicht verloren gehen. Dies sollte durch organisatorische oder technische Maßnahmen stets sichergestellt sein. Entsprechend den gängigen Regelungen ist eine Zugriffsmöglichkeit für berechtigte Stellen vorzusehen. Zur Verschlüsselung sowie Digitalen Signatur dürfen ausschließlich vom jeweiligen Unternehmen freigegebene Verfahren und Produkte zum Einsatz kommen. Besonders bei archivierten Daten müssen Sie darauf achten, dass Sie gemäß den gesetzlichen oder betrieblichen Regelungen auch nach mehreren Jahren auf die Daten zugreifen können oder Signaturen prüfen können. Beim Einsatz von drahtloser Kommunikation muss diese grundsätzlich verschlüsselt erfolgen. Für WLAN ist eine Verschlüsselung ohne Ausnahme einzusetzen.
Wichtige Definitionen
Proprietäre Verschlüsselung
Ein Algorithmus, welcher nicht veröffentlicht bzw. nicht durch die Öffentlichkeit überprüft ist. Der Entwickler des Algorithmus kann ein Unternehmen, eine Einzelperson oder eine Regierung sein.
Symmetrisches Kryptosystem
Eine Methode einer Verschlüsselung, in welcher der gleiche Schlüssel für die Ver- bzw. Entschlüsselung von Daten verwendet wird.
Asymmetrisches Kryptosystem
Eine Methode einer Verschlüsselung, in welche zwei verschiedene Schlüssel benutzt werden: eine Methode für die Verschlüsselung und eine andere Methode zur Entschlüsselung der Daten (z.B.: public Key Verschlüsselung).
Ihre ISO 27001 Ausbildung
Alle Ausbildungsinfos zum direkten Download
Sie möchten sich im Bereich Managementsysteme ausbilden?
Wir haben zahlreiche Schulungen in unserem Ausbildungsprogramm – bspw. in den Bereichen Qualitätsmanagement, Automotive, Energie, Umwelt und viele mehr! Schauen Sie sich in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!
Dabei haben Sie bereits heute bei vielen Schulungen die Wahl zwischen: Präsenzschulung, E-Learning oder Hybrid Lehrgang!