5.2.6 密码学
密码学包含1个控制目标2个控制措施。
当实施组织的密码策略时,宜考虑我国应用密码技术使用的规定和限制,以及加密信息跨越国界时的问组织应制定和实施在密钥生命周期中使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要求,包括密钥的生成、存储、归档、检索、分配、删除和销毁。宜根据最好的实际效果选择加密算法、密钥长度和其他相关参数。适合的密钥管理要求密钥在生成、存储、归档、检索、分配、删除和销毁过程中的安全。宜保护所有的密钥免遭修改和丢失。另外,对称加密算法中使用的秘钥和非对称加密算法中使用的私有密钥需要防范非授权的泄露,用来生成、存储和归档密钥的设备(例如密码芯片、加密机等)宜进行物理保护。