5.2.6  密碼學

密碼學包含1個控制目標2個控制措施。

當實施組織的密碼策略時，宜考慮我國應用密碼技術使用的規定和限制，以及加密信息跨越國界時的問組織應制定和實施在密鑰生命周期中使用和保護密鑰的方針。方針應包括密鑰在其全部生命周期中的管理要求，包括密鑰的生成、存儲、歸檔、檢索、分配、刪除和銷毀。宜根據最好的實際效果選擇加密算法、密鑰長度和其他相關參數。適合的密鑰管理要求密鑰在生成、存儲、歸檔、檢索、分配、刪除和銷毀過程中的安全。宜保護所有的密鑰免遭修改和丟失。另外，對稱加密算法中使用的秘鑰和非對稱加密算法中使用的私有密鑰需要防范非授權的泄露，用來生成、存儲和歸檔密鑰的設備（例如密碼芯片、加密機等）宜進行物理保護。