Verschlüsselungsrichtlinie - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselungsrichtlinie

Der Zweck einer Verschlüsselungsrichtlinie besteht darin, auf der Führungsebene die Geschäfts- und Compliance-Erwartungen festzulegen, die das Unternehmen erfüllen muss. Die Richtlinie dient als Ausgangspunkt für die Definition einer geeigneten Verschlüsselungsstrategie. Die Politik sollte abstrakt genug sein, um Freiheit und Flexibilität bei der Umsetzung zu bieten. Gleichzeitig muss sie spezifisch genug sein, um die Grenzen einer akzeptablen Umsetzung zu definieren, die den organisatorischen Zielen entspricht. Im Allgemeinen sind Richtlinien technologieunabhängig und werden nur sehr selten geändert, da sie die grundlegenden Merkmale der Verschlüsselungsstrategie Ihres Unternehmens definieren.

In der Regel beinhalten Verschlüsselungsrichtlinien Folgendes, sind aber nicht darauf beschränkt:

  • Alle regulatorischen oder Compliance-Vorschriften, die Ihr Unternehmen erfüllen muss

  • Jegliche geschäftlichen Verpflichtungen oder Erwartungen in Bezug auf Datenverschlüsselung

  • Die Art der Daten, die verschlüsselt werden müssen

  • Kriterien für den Einsatz anderer Datenschutztechniken als Verschlüsselung, wie Hashing oder Tokenisierung

Die höchste Managementebene des Unternehmens, wie der CIO, der CTO und der CISO, definiert und genehmigt in der Regel die Verschlüsselungsrichtlinie.

Beachten Sie bei der Erstellung Ihrer Verschlüsselungsrichtlinie Folgendes:

  • Ihre Branche bestimmt die Einhaltung von Vorschriften und Vorschriften, die Sie einhalten müssen. Diese Regeln diktieren die Anforderungen an die Datenverschlüsselung. Entscheidungen auf Führungsebene, das Geschäft auf neue Regionen auszudehnen oder das Produktangebot zu erweitern, können sich darauf auswirken, welche Vorschriften für Ihre Daten gelten. Wenn eine Bank beispielsweise beschließt, ihren Kunden Kreditkarten anzubieten, muss sie wahrscheinlich den Datensicherheitsstandard (PCI-DSS) der Kreditkartenbranche einhalten, der Datenverschlüsselung vorschreibt.

  • In Ihrer Richtlinie sollte festgelegt sein, welche Art von Daten verschlüsselt werden müssen. Dies hängt von den Compliance-Anforderungen und den Zielen Ihres Unternehmens im Umgang mit Daten ab. Ihre Richtlinie könnte beispielsweise vorsehen, dass alle Daten, die das Unternehmen erfasst oder besitzt, im Ruhezustand verschlüsselt werden müssen.

  • Ihre Verschlüsselungsrichtlinie muss Ihren internen Datenkategorisierungsstandards entsprechen. Um eine effektive Verschlüsselungsrichtlinie zu formulieren, ist die Festlegung von Datenkategorien auf Metadatenebene erforderlich. Zu Ihren Kategorien können beispielsweise öffentliche, interne, vertrauliche, geheime oder Kundendaten gehören.

  • Geben Sie Kriterien an, nach denen bestimmt wird, welche Daten verschlüsselt und welche Daten mit einer anderen Technik wie Tokenisierung oder Hashing geschützt werden sollen. In Ihrer Richtlinie könnte beispielsweise festgelegt sein, dass alle persönlich identifizierbaren Informationen (PII), die in die Audit-, Trace- oder Anwendungsprotokolle aufgenommen werden, tokenisiert werden müssen.