10 Phát triển và duy trì hệ thống
10.3.1 Chính sách về việc sử dụng các kiểm sốt mật mã hóa
Đưa ra quyết định liệu một giải pháp mã hố có thích hợp được xem như một phần của một quá trình đánh giá rủi ro và lựa chọn kiểm soát rộng hơn. Đánh giá rủi ro nên được tiến hành để xác định mức độ bảo vệ thông tin. Đánh giá này sau đó có thể được sử dụng để xác định xem một kiểm soát mã hố liệu có phù hợp, loại kiểm sốt nào nên được áp dụng và cho mục đích và các q trình kinh doanh nào.
Một tổ chức nên phát triển một chính sách về việc sử dụng các kiểm sốt mã hố để bảo vệ thơng tin. Một chính sách như vậy là cần thiết để tối đa lợi ích và giảm thiểu rủi ro của việc sử dụng các kỹ thuật mã hố và để tránh việc sử dụng khơng thích hợp hoặc khơng đúng. Khi phát triển một chính sách, các điều sau nên được xem xét:
a) phương pháp quản lý hướng tới việc sử dụng các kiểm sốt mật mã hóa trên tồn bộ tổ chức, bao gồm các quy tắc chung theo đó thơng tin của doanh nghiệp được bảo vệ;
b) tiếp cận với quản lý khóa, bao gồm bao gồm xử lý khôi phục thông tin được mật mã trong trường hợp các khóa bị mất, hư hỏng hoặc tổn thất;
c) vai trị và trách nhiệm, ví dụ người chịu trách nhiệm; d) thực thi chính sách đó;
e) quản lý khóa;
d) mức bảo vệ mã hố thích hợp được xác định như thế nào;
g) các tiêu chuẩn được đưa vào để thực hiện có hiệu quả trong tồn tổ chức (giải pháp nào được sử dụng cho cá quá trình kinh doanh nào).