anonym.legal
Quay lại BlogKỹ Thuật

ISO 27001 và Đánh giá Nhà cung cấp Zero-Knowledge...

ISO 27001 đặt ra các yêu cầu cho quản lý nhà cung cấp bảo mật, nhưng nó không kiểm tra cụ thể zero-knowledge hoặc mã hóa end-to-end.

March 19, 20267 phút đọc
ISO 27001 certificationvendor assessmentCISO procuremententerprise securityzero-knowledge

ISO 27001 và Đánh giá Nhà cung cấp Zero-Knowledge: Cách Đánh giá Cấp độ Bảo mật

ISO 27001 yêu cầu các tổ chức đánh giá bảo mật của nhà cung cấp, nhưng tiêu chuẩn không cụ thể về zero-knowledge hoặc mã hóa end-to-end.

Phần ISO 27001

Tiêu chuẩn A.14.2.1

"Tổ chức phải xác định, đánh giá và giảm thiểu rủi ro bảo mật thông tin liên quan đến quản lý nhà cung cấp."

Điều này bao gồm:

  • Kiểm tra bảo mật của nhà cung cấp
  • Thỏa thuận mức dịch vụ (SLA) với thời hạn bảo mật
  • Quyền kiểm tra truy cập dữ liệu
  • Yêu cầu phá hủy dữ liệu

Nhưng không cụ thể nó yêu cầu zero-knowledge hay mã hóa end-to-end.

Những Câu hỏi Mã hóa Bổ sung

Ngoài ISO 27001, các tổ chức phải hỏi:

1. Kiến trúc Mã hóa

Q: "Bạn mã hóa dữ liệu ở đâu?"

  • In transit (lúc gửi): HTTPS là tiêu chuẩn
  • At rest (lúc lưu): Điều này là tùy chọn
  • End-to-end: Chỉ có người dùng mới có khóa

Trả lời Bảo mật: "Chúng tôi mã hóa dữ liệu khi gửi (TLS 1.3), khi lưu (AES-256), và end-to-end (user holds key)."

2. Quản lý Khóa

Q: "Ai tạo khóa mã hóa?"

  • Nếu nhà cung cấp tạo → nhà cung cấp có thể truy cập
  • Nếu người dùng tạo → zero-knowledge tiềm năng

Q: "Người dùng có thể xuất khóa của họ không?"

  • Nếu không → khóa bị khóa vào hệ thống của nhà cung cấp
  • Nếu có → tiếng nói người dùng hơn

3. Tuân thủ Pháp lý

Q: "Nếu bộ phận tư pháp yêu cầu dữ liệu, bạn có thể cung cấp nó không?"

  • Nếu zero-knowledge: Không thể, ngay cả nhà cung cấp cũng không có khóa
  • Nếu end-to-end encrypted: Chỉ người dùng mới có thể cung cấp (không phải nhà cung cấp)
  • Nếu mã hóa bởi nhà cung cấp: Nhà cung cấp có thể cung cấp (nhưng GDPR có thể cấm)

ISO 27001 implication: Nếu bạn không thể cung cấp dữ liệu cho cơ quan pháp lý, hãy ghi chú điều này trong đánh giá rủi ro.

4. Kiểm tra Bảo mật Độc lập

Q: "Bạn đã thực hiện kiểm tra bảo mật ngoài hay cấp phép mã hóa không?"

  • Nếu có → tích cực (bảo mật có xác minh)
  • Nếu không → câu hỏi nên được đặt ra trong đánh giá rủi ro

Mẫu Bảng Câu hỏi

Câu hỏiTrả lời tốtTrả lời kémISO 27001 Impact
Mã hóa in transitTLS 1.3HTTPKhông đáp ứng A.14.2.1
Mã hóa at restAES-256Không được mã hóaRủi ro cao
End-to-endKhóa của người dùngKhóa của nhà cung cấpRủi ro của bên thứ ba
Kiểm tra bảo mậtCông bố, độc lậpKhông cóKhông có bằng chứng
Phục hồi KhóaChỉ người dùngNhà cung cấp giúpRủi ro "master key"

Tài liệu Tham khảo

Các Bài viết Liên quan

Kỹ Thuật

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Kỹ Thuật

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Kỹ Thuật

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Sẵn sàng bảo vệ dữ liệu của bạn?

Bắt đầu ẩn danh PII với 285+ loại thực thể trên 48 ngôn ngữ.

Bắt đầu Dùng Thử Miễn PhíXem Tính Năng