Salausavainten hallintajärjestelmällä (CKMS) käsitellään, hallitaan ja varastoidaan salausavamia sekä valvotaan niihin liittyiviä toimenpiteitä. Hallintajärjestelmä voi olla toteutettu automatisoituna työkaluna tai manuaalisempana toteutuksena.

Organisaatiolla on oltava keinot, joilla salausavainten hallintajärjestelmän avulla seurataan ja raportoidaan kaikista salauksen materiaaleista ja niiden statuksista. Salausavainten hallintajärjestelmää tulisi käyttää ainakin:

• Salaustilojen muutosten seurantaan
• Salausavainten luomiseen ja jakeluun
• Public-key -sertifikaattien luomisee
• Tunnistamattoman salatun omaisuuden valvontaan
• Salausavainten luettelointiin, arkistointiin ja varmuuskopiointiin
• Ylläpitää tietokantaa liitoksista organisaation sertifikaatti- ja salausavainrakenteisiin

Kun varmuuskopioiden luottamuksellisuus on tärkeää, varmuuskopiot suojataan salauksella. Varmuuskopioiden salaamisen tarve voi korostua, kun varmuuskopioita säilytetään fyysisessä sijainnissa, jonka turvallisuuskäytännöistä ei ole varmuutta.

Kannettavat tietokoneet on suojattu full-disk -salauksella.

Organisaatiolla tulee olla tekniset säännöt, jotka sisältävät tietojen salausta koskevat vaatimukset tietojen luokittelun perusteella.

Organisaation tulee määritellä menettely salausmenetelmien soveltamista varten. Tähän olisi sisällyttävä:

• käytetyt salausmenetelmät
• avaimen vahvuus
• Menettelyt avainten hallintaa varten niiden koko elinkaaren ajan (mukaan lukien generointi, varastointi, arkistointi, haku, jakelu, deaktivointi, uusiminen ja poistaminen).

Avainmateriaalin palauttamista varten tulisi luoda hätäprosessi.

Siirrettävä data täytyy suojata käyttämällä kryptografisia menetelmiä. Siirrettävän datan luottamuksellisuuden ja eheyden suojaaminen koskee sisäisiä ja ulkoisia verkko sekä kaikkia järjestelmiä, jotka voivat siirtää tietoa. Näitä ovat esimerkiksi:

• Palvelimet
• Tietokoneet
• Mobiililaitteet
• Tulostimet

Siirrettävä data voidaan suojata fyysisin tai loogisin keinoin.

• Fyysinen suojaus saadaan suojatusta jakelujärjestelmästä esimerkiksi valokuitulinjasta, jossa on riittävä suojaus estämään esimerkiksi sähkömagneettista vuotoa ja kontrollit estämään sen luvaton käyttö.
• Looginen suojaus saavutetaan tietoliikenteen vahvalla salaamisella.

Salausratkaisujen tarpeellisuudesta päättäminen nähdään osana kokonaisprosessia, johon sisältyvät riskien arviointi ja muiden hallintatehtävien määrittely.

Organisaatio on laatinut yleisen salauspolitiikan, jota noudatetaan aina tietoa suojattaessa salauksen avulla.

Salauspolitiikka määrittelee:

• yleiset periaatteet salauksen hallintakeinojen käytölle koko organisaatiossa
• tarvittavan salaustason määrittelytavat omaisuuden riskien arvioinnin perusteella
• salauksen käytön mobiililaitteissa
• tavat salausavainten suojaukseen ja salatun tiedon palauttamiseen avainten kadotessa
• roolit ja velvollisuudet salaukseen liittyen
• salauksen vaikutukset muihin tietoturvan hallintajärjestelmän tehtäviin