Verschlüsselungsrichtlinie - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselungsrichtlinie

Der Zweck einer Verschlüsselungsrichtlinie besteht darin, auf Führungsebene die Geschäfts- und Compliance-Erwartungen festzulegen, die das Unternehmen erfüllen muss. Die Richtlinie dient als Ausgangspunkt für die Definition einer geeigneten Verschlüsselungsstrategie. Die Politik sollte abstrakt genug sein, um Freiheit und Flexibilität bei der Umsetzung zu bieten. Gleichzeitig muss es spezifisch genug sein, um die Grenzen einer akzeptablen Implementierung zu definieren, die den organisatorischen Zielen entspricht. Im Allgemeinen sind Richtlinien technologieunabhängig und werden nur sehr selten geändert, da sie die grundlegenden Merkmale Ihrer Unternehmensverschlüsselungsstrategie definieren.

In der Regel enthalten Verschlüsselungsrichtlinien Folgendes, sind aber nicht darauf beschränkt:

  • Alle regulatorischen Vorschriften oder Compliance-Regelungen, die Ihr Unternehmen erfüllen muss

  • Alle geschäftlichen Verpflichtungen oder Erwartungen in Bezug auf Datenverschlüsselung

  • Die Art der Daten, die verschlüsselt werden müssen

  • Kriterien dafür, wann andere Datenschutztechniken als Verschlüsselung verwendet werden sollten, wie Hashing oder Tokenisierung

In der Regel definiert und genehmigt die oberste Managementebene des Unternehmens, wie der CIO, der CTO und der CISO, die Verschlüsselungsrichtlinie.

Bitte beachten Sie beim Erstellen Ihrer Verschlüsselungsrichtlinie Folgendes:

  • Ihr Geschäftsbereich bestimmt, welche Compliance- und Regulierungsvorschriften Sie einhalten müssen. Diese Regelungen schreiben die Anforderungen an die Datenverschlüsselung vor. Entscheidungen auf Führungsebene, das Geschäft in neue Regionen auszudehnen oder das Produktangebot zu erweitern, können sich darauf auswirken, welche Vorschriften für Ihre Daten gelten. Wenn eine Bank beispielsweise beschließt, ihren Kunden Kreditkarten anzubieten, müssen diese wahrscheinlich den Data Security Standard (PCI-DSS) der Zahlungskartenbranche einhalten, der eine Datenverschlüsselung erfordert.

  • Ihre Richtlinie sollte angeben, welche Art von Daten verschlüsselt werden muss. Dies hängt von den Compliance-Anforderungen und den Datenverarbeitungszielen Ihres Unternehmens ab. Ihre Richtlinie könnte beispielsweise vorsehen, dass alle Daten, die das Unternehmen erfasst oder besitzt, im Speicher verschlüsselt werden müssen.

  • Ihre Verschlüsselungsrichtlinie muss Ihren internen Datenkategorisierungsstandards entsprechen. Um eine effektive Verschlüsselungsrichtlinie zu formulieren, ist die Festlegung von Datenkategorien auf Metadatenebene erforderlich. Ihre Kategorien können beispielsweise öffentliche, interne, vertrauliche, geheime oder Kundendaten enthalten.

  • Geben Sie Kriterien an, wie festgelegt werden kann, welche Daten verschlüsselt und welche Daten mit einer anderen Technik wie Tokenisierung oder Hashing geschützt werden sollten. In Ihrer Richtlinie könnte beispielsweise festgelegt werden, dass alle personenbezogenen Daten (PII), die in die Audit-, Trace- oder Anwendungsprotokolle aufgenommen werden, tokenisiert werden müssen.