Salausratkaisujen tarpeellisuudesta päättäminen nähdään osana kokonaisprosessia, johon sisältyvät riskien arviointi ja muiden hallintatehtävien määrittely.

Organisaatio on laatinut yleisen salauspolitiikan, jota noudatetaan aina tietoa suojattaessa salauksen avulla.

Salauspolitiikka määrittelee:

• yleiset periaatteet salauksen hallintakeinojen käytölle koko organisaatiossa
• tarvittavan salaustason määrittelytavat omaisuuden riskien arvioinnin perusteella
• salauksen käytön mobiililaitteissa
• tavat salausavainten suojaukseen ja salatun tiedon palauttamiseen avainten kadotessa
• roolit ja velvollisuudet salaukseen liittyen
• salauksen vaikutukset muihin tietoturvan hallintajärjestelmän tehtäviin

Mobiililaitteiden käyttöä varten on luotu omat ohjeistukset henkilöstölle. Ohjeissa käsitellään:

• rajoituksia ohjelmistojen asentamiselle sekä eri palvelujen käyttämiselle organisaation laitteilla
• toimintatapoja uusien laitteiden rekisteröintiin
• vaatimuksia laitteiden fyysisestä suojaamisesta ja päivitysten asentamisesta
• pääsynhallintaa koskevia vaatimukset
• organisaation tietojen suojausta salauksen, haittaohjelmasuojauksen sekä varmuuskopioinnin avulla
• organisaation mahdollisuuksia etähallita laitetta

Käytämme vahvaa salausta salasanojen siirron ja tallennuksen aikana kaikissa kehittämissämme palveluissa.

Kannettavat tietokoneet on suojattu full-disk -salauksella.

Työkäyttöön tarkoitetuiksi älypuhelimiksi ja tableteiksi valitaan laitteita, jotka tukevat full-device -salausta ja salaukset asetetaan päälle.

Luottamuksellisen tiedon varastoimista siirrettävissä tietovälineissä pyritään välttämään. Kun siirrettäviä tietovälineitä käytetään luottamuksellisen tiedon siirtämiseen, käytetään asiallista suojausta (esim. koko levyn salausta pre-boot autentikoinnilla).

Palvelinten levy- ja tiedostojärjestelmä on suojattu salauksella, jotta palvelinten fyysisen varkauden aiheuttamia vaikutuksia voidaan hallita.

Kun varmuuskopioiden luottamuksellisuus on tärkeää, varmuuskopiot suojataan salauksella. Varmuuskopioiden salaamisen tarve voi korostua, kun varmuuskopioita säilytetään fyysisessä sijainnissa, jonka turvallisuuskäytännöistä ei ole varmuutta.

Käytettäviä salaustapoja valittaessa olisi otettava huomioon mm. seuraavat seikat:

• salauksen käyttökustannukset
• salauksen taso (esim. salausalgoritmin tyyppi, voimakkuus ja laatu)
• suojattavan omaisuuden arvo

Salaushallintakeinojen valinnassa harkitaan aina ulkoisten asiantuntijoiden neuvojen tarpeellisuutta.

Organisaatiomme on määritellyt toimintatavat salausavainten luomiseen, säilyttämiseen, jakamiseen ja poistamiseen.

Salausavainten pituudet ja käyttökäytännöt pyritään valitsemaan parhaiden yleisten käytäntöjen mukaisesti seuraamalla alan kehitystä.

Jotta sopimattoman käytön todennäköisyyttä saataisiin pienennettyä, salausavaimille määritellään aktivoitumis- ja vanhentumispäivämäärät, jotta avaimia voidaan käyttää ainoastaan niin kauan kuin on määritelty.