anonym.legal
Zpět na blogTechnické

ISO 27001 a Zero-Knowledge: Hodnocení dodavatelů pro...

ISO 27001 certifikace je nezbytná, ale nestačí pro ZK bezpečnost. Naučte se, jak kombinovat ISO 27001 s technickým ZK hodnocením pro kompletní...

March 19, 20267 min čtení
ISO 27001 certificationvendor assessmentCISO procuremententerprise securityzero-knowledge

Proč ISO 27001 nestačí pro ZK hodnocení

ISO 27001 je zlatý standard pro řízení bezpečnosti informací. Ale certifikace ISO 27001 nepotvrzuje Zero-Knowledge architekturu – tyto jsou ortogonální koncepty.

Organizace může mít:

  • ISO 27001 certifikaci a robustní ZK implementaci (ideální)
  • ISO 27001 certifikaci bez ZK (typičtější)
  • ZK implementaci bez ISO 27001 (méně časté u zralých produktů)

Co ISO 27001 pokrývá

ISO 27001 Annex A obsahuje 93 kontrol pokrývajících:

  • Politiky bezpečnosti informací
  • Lidské zdroje bezpečnost
  • Fyzická bezpečnost
  • Kontrola přístupu
  • Kryptografie
  • Bezpečnost provozu
  • Bezpečnost komunikace
  • Řízení incidentů

Pro kryptografii, ISO 27001 Kontrola 8.24 vyžaduje „definování a implementaci pravidel pro efektivní použití kryptografie". Ale nespecifikuje:

  • Zda klíče jsou client-side nebo server-side
  • Jakou KDF použít
  • Zda je ZK architektura vyžadována

Kombinovaný rámec hodnocení

Pro komplexní bezpečnostní hodnocení kombinujte:

Vrstva 1: ISO 27001 (certifikace + audit)

Verifikujte:

  • Platný certifikát vydaný akreditovanou certifikační autoritou
  • Scope certifikátu zahrnuje relevantní systémy
  • Žádné otevřené non-conformity

Vrstva 2: SOC 2 Type II (operační kontroly)

SOC 2 přidává operační důkazy, že bezpečnostní kontroly fungují v průběhu času. Typ II (12 měsíců) je silnější než Typ I (v jednom bodě).

Vrstva 3: Technický ZK dotazník

Použijte otázky z ZK dotazníku pro verifikaci specificky kryptografické architektury.

Vrstva 4: Penetrační test výsledky

Zeptejte se o nedávném pen testu a zjistěte zda výsledky jsou k dispozici (typicky pod NDA).

ISO 27001 Kontrola 8.24 a ZK

Kontrola 8.24 – Používání kryptografie – vyžaduje organizace:

  • Definovat politiku kryptografie
  • Identifikovat potřeby kryptografické ochrany
  • Spravovat kryptografické klíče

Pro ZK dodavatele, kontrola 8.24 by měla pokrývat:

  • Client-side key generation policy
  • Key storage requirements (never server-side)
  • Key lifecycle management

Zeptejte se ZK dodavatelů: „Jak vaše ISO 27001 ISMS pokrývá client-side key management?"

Praktický příklad: Hodnocení anonym.legal

Kritériumanonym.legal Status
ISO 27001V přípravě (2025)
SOC 2 Type IIV přípravě (2025)
Kryptografická architekturaZdokumentovaná veřejně
Nezávislý auditPlánován 2025
ZK dotazníkPlně zodpovězeno
Klíče client-side✅ Ano
Personál přístup❌ Kryptograficky nemožné

Závěr

ISO 27001 je vynikajícím základem pro bezpečnostní hodnocení dodavatelů, ale musí být doplněn technickým ZK hodnocením pro dodavatele tvrdící ZK architekturu.

Kombinujte certifikaci, operační důkazy a technické hodnocení pro úplný obraz.

Související články

Technické

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Technické

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Technické

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce