9 Kiểm soát truy cập
10.3.1 Chính sách trong việc sử dụng những kiểm soát mật mã
Việc tạo quyết định như là; giải pháp mật mã có phù hợp hay không; sẽ được nhìn nhận như là một phần của quá trình rộng lớn của việc đánh giá rủi ro và chọn lựa những kiểm soát. Việc đánh giá rủi ro nên được thực hiện để xác định mức độ bảo vệ mà thông tin sẽ được đưa ra. Sự đánh giá này sau đó có thể được dùng để xác định sự kiểm soát mật mã có phù hợp hay không, kiểu kiểm soát nào nên được áp dụng và cho mục đích và các quá trình thương mại nào.
Tổ chức nên phát triển chính sách về việc dùng các kiểm soát mật mã cho việc bảo vệ thông tin. Chính sách đó rất cần để tối đa hoá các lợi ích và giảm thiểu các rủi ro của việc sử dụng những công nghệ mật mã, và để chống lại việc sử dụng không hợp lí hoặc sai trái. Khi phát triển chính sách những điều sau cần được quan tâm: a) phương pháp quản lí đối với việc sử dụng các kiểm soát mật mã toàn bộ tổ chức, bao gồm các nguyên tắc chung mà với chúng, thông tin thương mại sẽ được bảo vệ;
b) phương pháp quản lí khoá, bao gồm các phương pháp để giải quyết việc phục hồi thông tin được mã hoá trong trường hợp các khoá bị mất, bị làm hỏng hoặc bị phá hoại;
c) vai trò và trách nhiệm, ví dụ, ai chịu trách nhiệm cho: d) việc thực hiện chính sách;
e) việc quản lí khoá;
f) mức độ bảo vệ mật mã thích hợp được xác định như thế nào;
g) các tiêu chuẩn được thừa nhận cho việc thực hiện hiệu quả trong toàn bộ tổ chức (giải pháp nào được dùng cho các quá trình thương mại nào).
Sự mã hoá là công nghệ mật mã mà có thể được dùng để bảo vệ độ tin cậy của thông tin. Nên quan tâm tới việc bảo vệ thông tin nhạy cảm hoặc quan trọng. Dựa vào việc đánh giá rủi ro, mức độ bảo vệ cần thiết nên được xác định, đưa vào trong trương mục kiểu và chất lượng của thuật toán mã hoá được dùng, và độ dài của các khoá mật mã được sử dụng.
Khi thực hiện chính sách mật mã của tổ chức, nên quan tâm tới những điều chỉnh và các hạn chế quốc gia mà có thể áp dụng việc sử dụng những công nghệ mật mã ở những nơi khác nhau trên thế giới, và tới những vấn đề về dòng chảy thông tin mã hoá xuyên biên giới. Thêm vào đó, nên chú ý tới những kiểm soát mà áp dụng việc xuất và nhập công nghệ mật mã (cũng xem 12.1.6).
Nên xin những lời khuyên của các chuyên gia để xác định mức độ bảo vệ thích hợp, để chọn các sản phẩm phù hợp mà sẽ cung cấp sự bảo vệ cần thiết và việc thực hiện của hệ thống quản lí khoá an toàn (cũng xem 10.3.5). Thêm vào đó, văn bản hợp pháp có thể cần đạt được, chú ý đến những luật định và các điều chỉnh mà có thể áp dụng vào việc sử dụng dự tính kĩ thuật mã hoá của tổ chức.