Home » Informatiebeveiliging » Domein 11: Securitymanagement » Norm SM.10

Norm SM.10 Cryptografisch sleutelmanagement

Er zijn beleid en procedures voor het genereren, veranderen, intrekken, vernietigen, verspreiden, certificeren, opslaan, invoeren, gebruik en de archivering van cryptografische sleutels om de sleutels te beschermen tegen aanpassing en ongeautoriseerde toegang.

Waarom is dit nodig?

CryptografieDe technologie van het omzetten van informatie naar een vorm die alleen door de beoogde ontvangers te lezen is. Een voorbeeld hiervan is geheimschrift: alleen als je de codering weet, kun je het bericht ontcijferen. Wanneer je cryptografische sleutels gebruikt, zul je hierop een vorm van beheer moeten voeren. Dit heet Cryptographic Key Management of Key Lifecycle Management. (versleutelingDe technologie van het omzetten van informatie naar een vorm die alleen door de beoogde ontvangers te lezen is. Een voorbeeld hiervan is geheimschrift: alleen als je de codering weet, kun je het bericht ontcijferen. Wanneer je cryptografische sleutels gebruikt, zul je hierop een vorm van beheer moeten voeren. Dit heet Cryptographic Key Management of Key Lifecycle Management.) wordt gebruikt om gegevens over te dragen die niet leesbaar zijn voor andere partijen. Cryptografische sleutels worden gebruikt om versleutelde gegevens weer leesbaar te maken. Zo bescherm je de vertrouwelijkheid, authenticiteit en integriteit van informatie. Goed beheer van de sleutels voorkomt dat informatie in verkeerde handen komt. Daarmee beperk je het risico op diefstal, corruptie en onjuist of ongeautoriseerd gebruik van informatie.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er is geen beleid of procedure voor key lifecycle management.

2 Herhaalbaar

Er zijn informeel beleid en procedures voor key lifecycle management.

3 Bepaald (streefniveau)

Er zijn formeel vastgelegd beleid en procedures voor key lifecycle management.
Beschermende maatregelen zijn ingevoerd om informatie veilig met elkaar te kunnen delen, bijvoorbeeld door toepassing van encryptieEncryptie is het versleutelen van persoonsgegevens. Door de versleuteling kan een derde partij de gegevens niet inzien. Alleen de juiste zender en ontvanger beschikken over de sleutel..
De vertrouwelijkheid en integriteit van private keys wordt afgedwongen.

4 Beheerst

Aanvullend op niveau 3:

De effectiviteit van de procedures voor cryptografisch sleutelmanagement wordt periodiek geëvalueerd.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Op basis van de periodieke assessments worden de procedures voor het beheer van cryptografische sleutels geëvalueerd en verbeterd. Tekortkomingen worden gerapporteerd aan het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

Maakt een schoolbestuur gebruik van cryptografische sleutels bij encryptie (of de ondertekening van documenten)? Stel dan beleid op voor sleutelmanagement en pas het toe.

Gerelateerde wetten en normen

Norm SM.10 Cryptografisch sleutelmanagement is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022

A8.24

Certificeringsschema IBP ROSA

Vertrouwelijkheid/Transport en fysieke opslag

Afdrukken