Salausavainten hallintajärjestelmällä (CKMS) käsitellään, hallitaan ja varastoidaan salausavamia sekä valvotaan niihin liittyiviä toimenpiteitä. Hallintajärjestelmä voi olla toteutettu automatisoituna työkaluna tai manuaalisempana toteutuksena.

Organisaatiolla on oltava keinot, joilla salausavainten hallintajärjestelmän avulla seurataan ja raportoidaan kaikista salauksen materiaaleista ja niiden statuksista. Salausavainten hallintajärjestelmää tulisi käyttää ainakin:

• Salaustilojen muutosten seurantaan
• Salausavainten luomiseen ja jakeluun
• Public-key -sertifikaattien luomisee
• Tunnistamattoman salatun omaisuuden valvontaan
• Salausavainten luettelointiin, arkistointiin ja varmuuskopiointiin
• Ylläpitää tietokantaa liitoksista organisaation sertifikaatti- ja salausavainrakenteisiin

Kun varmuuskopioiden luottamuksellisuus on tärkeää, varmuuskopiot suojataan salauksella. Varmuuskopioiden salaamisen tarve voi korostua, kun varmuuskopioita säilytetään fyysisessä sijainnissa, jonka turvallisuuskäytännöistä ei ole varmuutta.

Kannettavat tietokoneet on suojattu full-disk -salauksella.

Organisaatiolla tulee olla tekniset säännöt, jotka sisältävät tietojen salausta koskevat vaatimukset tietojen luokittelun perusteella.

Organisaation tulee määritellä menettely salausmenetelmien soveltamista varten. Tähän olisi sisällyttävä:

• käytetyt salausmenetelmät
• avaimen vahvuus
• Menettelyt avainten hallintaa varten niiden koko elinkaaren ajan (mukaan lukien generointi, varastointi, arkistointi, haku, jakelu, deaktivointi, uusiminen ja poistaminen).

Avainmateriaalin palauttamista varten tulisi luoda hätäprosessi.

Siirrettävä data täytyy suojata käyttämällä kryptografisia menetelmiä. Siirrettävän datan luottamuksellisuuden ja eheyden suojaaminen koskee sisäisiä ja ulkoisia verkko sekä kaikkia järjestelmiä, jotka voivat siirtää tietoa. Näitä ovat esimerkiksi:

• Palvelimet
• Tietokoneet
• Mobiililaitteet
• Tulostimet

Siirrettävä data voidaan suojata fyysisin tai loogisin keinoin.

• Fyysinen suojaus saadaan suojatusta jakelujärjestelmästä esimerkiksi valokuitulinjasta, jossa on riittävä suojaus estämään esimerkiksi sähkömagneettista vuotoa ja kontrollit estämään sen luvaton käyttö.
• Looginen suojaus saavutetaan tietoliikenteen vahvalla salaamisella.

Organisaation henkilöstölle tarjotaan ratkaisu turvallisuusluokittelemattoman salassa pidettävän tiedon suojaamiseksi salaamisella, kun tietoa siirretään fyysisesti suojattujen alueiden ulkopuolelle verkon kautta. Ratkaisussa ei ole tunnettuja haavoittuvuuksia ja se tukee valmistajalta saatujen tietojen mukaan moderneja salausvahvuuksia ja -asetuksia.

Henkilöstön osaamisesta salausratkaisun turvalliseen käyttöön on varmistuttu (esimerkiksi ohjeistus, koulutus ja valvonta).

Organisaatiomme on määritellyt toimintatavat salausavainten luomiseen, säilyttämiseen, jakamiseen ja poistamiseen.

Salausavainten pituudet ja käyttökäytännöt pyritään valitsemaan parhaiden yleisten käytäntöjen mukaisesti seuraamalla alan kehitystä.

Luottamuksellisen tiedon varastoimista siirrettävissä tietovälineissä pyritään välttämään. Kun siirrettäviä tietovälineitä käytetään luottamuksellisen tiedon siirtämiseen, käytetään asiallista suojausta (esim. koko levyn salausta pre-boot autentikoinnilla).

Salausratkaisujen tarpeellisuudesta päättäminen nähdään osana kokonaisprosessia, johon sisältyvät riskien arviointi ja muiden hallintatehtävien määrittely.

Organisaatio on laatinut yleisen salauspolitiikan, jota noudatetaan aina tietoa suojattaessa salauksen avulla.

Salauspolitiikka määrittelee:

• yleiset periaatteet salauksen hallintakeinojen käytölle koko organisaatiossa
• tarvittavan salaustason määrittelytavat omaisuuden riskien arvioinnin perusteella
• salauksen käytön mobiililaitteissa
• tavat salausavainten suojaukseen ja salatun tiedon palauttamiseen avainten kadotessa
• roolit ja velvollisuudet salaukseen liittyen
• salauksen vaikutukset muihin tietoturvan hallintajärjestelmän tehtäviin

Käytettäviä salaustapoja valittaessa olisi otettava huomioon mm. seuraavat seikat:

• salauksen käyttökustannukset
• salauksen taso (esim. salausalgoritmin tyyppi, voimakkuus ja laatu)
• suojattavan omaisuuden arvo

Salaushallintakeinojen valinnassa harkitaan aina ulkoisten asiantuntijoiden neuvojen tarpeellisuutta.