密码学是通过数学算法保护信息机密性、完整性和真实性的技术集合。
在ISO 27001背景下,密码学(ISO 27002:2022控制A.8.24)涵盖加密控制策略和密钥管理。包括静态和传输加密、数字签名、哈希和密钥生命周期管理。
敏感数据在存储和传输时都必须使用AES-256等最新算法加密。
策略必须涵盖加密密钥的生成、分发、存储、轮换、撤销和安全销毁。
GDPR、PCI DSS和当地数据保护法要求加密作为个人和财务数据的强制性技术措施。
ISO 27002要求公认的最新算法。AES-256用于对称加密,RSA-2048+用于非对称加密。
仅靠密码学不够。必须辅以访问控制、监控、事件管理和人员意识。
需要此领域的评估?