A.10 密码 | ||
A.10.1 密码控制 | ||
目标:确保适当和有效地使用密码技术以保护信息的保密性、真实性和(或)完整性。 | ||
A.10.1.1 | 密码控制的使用策略 | 控制 应开发和实现用于保护信息的密码控制使用策略。 |
A.10.1.2 | 密钥管理 | 控制 应制定和实现贯穿其全生命周期的密钥使用、保护和生存期策略。 |
控制解析:
- 本控制所说的“密码”与“口令”是有区别的,这里的“密码”与《中华人民共和国密码法》中的“密码”是同一个东西,因此任何组织在研发、销售和使用密码产品时,需要符合《中华人民共和国密码法》等相关法律法规。
- 实施本控制需要形成书面的密码使用策略,如公司核心商业秘密,采用HASH密码加密,普通商业秘密采用对称密码AES256加密等;
- 实施本控制需要形成书面的《密码管理规范》,其中包含密钥管理相关内容,如密钥的生成、分发、撤销、恢复等管理,以及密钥丢失处理方法等。
实施本控制应输出的文档:
- 密码使用策略、《密码管理规范》。
- 密钥申请、分发和销毁记录。
本控制审核要点:
- 检查密码使用策略,是否与《数据安全管理规范》一致;
- 审核《密码管理规范》密钥生命周期管理,是否有按照文件要求对密钥进行管控。