Cryptographic Key Management(kms)加密密钥管理【引用知名手机厂商的内部名称1】
Cryptographic Key Management密钥管理图
一、手机厂商审核平台上的要求,如图:
手机生产商的评审平台对加密密钥管理要求图
(以下为翻译内容) 对供应商的信息安全建议内容:
建议实现以下属性,并提供验证证据-
确保以下部分是您文档的一部分。
--该组织是用于与苹果交换加密数据的加密密钥的保管人?
--组织是否采用密钥管理系统(KMS)来管理加密密钥的生命周期?
--密钥管理策略的组织策略文档
--密钥管理过程应具有以下属性:
--1.加密密钥的安全存储在逻辑上或物理上与存储数据的位置分开
--2.基于最小权限限制对加密密钥的访问
--3.密钥将在指定的时间范围内失效或替换
--4.如果存在已知的损坏,则更换钥匙
--5.实施业界领先的算法(最低256位AES加密)
--6.限制、记录和监视对加密密钥访问的过程
--7.所有证书及其负责保管人的清单
--8.对加密密钥进行备份,密钥备份的严格程度与加密操作中使用的实际密钥值相同
--9.解密密钥与服务或系统用户帐户不关联
二、手机生产厂商IT审核后的最新回复,如图:
手机厂商IT对Cryptographic Key Management密钥管理审核要求图
(以下为翻译内容)
请提供补救措施,并评审要求中提到的供应商已经对加密密钥管理控制的证据。
三、作为手机生产商的供应商后续需要提供内容,以作进一步安全评审。
提供有符合要求的密钥管理系统的证据(截屏为主)来证明公司如何处理这部分以上未解决的信息安全问题。安策工程师建议采用合适的KMS,以持续符合手机厂商越来越严格的供应链安全要求,我们提供的解决方案能够在评审供应商体系中获得一致的认可,包括具备国际大公司公认的国际安全认证(FIPS-140-2),具体密管方案可以浏览产品网页,谢谢。
稳定可靠的供应商安全管理已经许多伟大公司的很核心的战略要素,对供应商的要求会比较高,特别是对供应链上的公司在信息安全上会有特殊的要求,本文主要介绍某知名的手机厂商对供应商的信息安全评审要求并提供具体建设方案参考:集中管理加密密钥要求
