Norm SM.10 Cryptografisch sleutelmanagement

Er zijn beleid en procedures voor het genereren, veranderen, intrekken, vernietigen, verspreiden, certificeren, opslaan, invoeren, gebruik en de archivering van cryptografische sleutels om de sleutels te beschermen tegen aanpassing en ongeautoriseerde toegang.

Waarom is dit nodig?

Cryptografie (versleuteling) wordt gebruikt om gegevens over te dragen die niet leesbaar zijn voor andere partijen. Cryptografische sleutels worden gebruikt om versleutelde gegevens weer leesbaar te maken. Zo bescherm je de vertrouwelijkheid, authenticiteit en integriteit van informatie. Goed beheer van de sleutels voorkomt dat informatie in verkeerde handen komt. Daarmee beperk je het risico op diefstal, corruptie en onjuist of ongeautoriseerd gebruik van informatie.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen beleid of procedure voor key lifecycle management.
2 Herhaalbaar
  • Er zijn informeel beleid en procedures voor key lifecycle management.
3 Bepaald (streefniveau)
  • Er zijn formeel vastgelegd beleid en procedures voor key lifecycle management.
  • Beschermende maatregelen zijn ingevoerd om informatie veilig met elkaar te kunnen delen, bijvoorbeeld door toepassing van encryptie.
  • De vertrouwelijkheid en integriteit van private keys wordt afgedwongen.
4 Beheerst

Aanvullend op niveau 3:

  • De effectiviteit van de procedures voor cryptografisch sleutelmanagement wordt periodiek geëvalueerd.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Op basis van de periodieke assessments worden de procedures voor het beheer van cryptografische sleutels geëvalueerd en verbeterd. Tekortkomingen worden gerapporteerd aan het schoolbestuur of de schoolleiding.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

  • Maakt een schoolbestuur gebruik van cryptografische sleutels bij encryptie (of de ondertekening van documenten)? Stel dan beleid op voor sleutelmanagement en pas het toe.

Gerelateerde wetten en normen

Norm SM.10 Cryptografisch sleutelmanagement is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022

  • A8.24

Certificeringsschema IBP ROSA

  • Vertrouwelijkheid/Transport en fysieke opslag
Afdrukken

Op deze pagina