Kategori 8 av 10 · Art. 21(2)(h)

Kryptografi og kryptering

Virksomheten skal ha retningslinjer for bruk av kryptografi, inkludert kryptering av data under overføring og lagring der det er hensiktsmessig.

8.1

Er data kryptert under overføring (f.eks. HTTPS, VPN, kryptert e-post)?

Kritisk

All kommunikasjon med kunder, partnere og internt bør gå over krypterte kanaler. HTTPS for nettsider, VPN for fjerntilgang, og TLS for e-post er standard forventninger.

8.2

Er sensitive data kryptert ved lagring (at rest)?

Viktig

Kryptering av lagret data (databaser, filer, backup) beskytter mot datatyveri selv om noen får fysisk tilgang. Mange skytjenester tilbyr dette som standard — men det bør verifiseres.

8.3

Har dere en policy for bruk av kryptografi som beskriver når og hvordan kryptering skal brukes?

Viktig

En policy trenger ikke være kompleks. Den bør beskrive minimumskrav (f.eks. "all ekstern kommunikasjon skal krypteres") og hvem som har ansvar for å sikre dette.

8.4

Har dere rutiner for håndtering av krypteringsnøkler (key management)?

Viktig

Kryptering er bare så sterk som nøkkelhåndteringen. Oppbevares nøkler trygt? Hvem har tilgang? Roteres de? For SMBer som bruker skytjenester, håndteres ofte mye av dette av leverandøren — men dere bør forstå ansvarsfordelingen.

8.5

Bruker dere krypterte kanaler for deling av sensitiv informasjon internt og eksternt?

Standard

Sensitiv informasjon (kontrakter, personopplysninger, passord) bør ikke sendes i klartekst-e-post. Bruker dere sikre delingsløsninger?