本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 加密標準
<a name="standards"></a>

標準衍生自您的政策。這些範圍較窄，有助於定義實作的架構和架構。例如，如果您組織的政策是加密靜態資料，則標準會定義所需的加密類型，並提供有關如何遵守政策的一般指示。

加密標準通常會指定下列項目：
+ 應使用的加密類型
+ 加密金鑰的最低規格
+ 誰有權存取加密金鑰
+ 應存放加密金鑰的位置
+ 選擇加密或雜湊技術時，選擇適當金鑰強度的條件
+ 金鑰輪換頻率

雖然您很少需要更新加密政策，但加密標準可能會有所變更。網路安全產業不斷發展，以滿足不斷變化的威脅態勢。因此，您的標準應變更為採用最新的技術和最佳實務，以便為企業資料提供最佳的保護。

在企業組織中，副總裁、主管或資料管理員通常會定義加密標準，而合規主管通常會審查和核准加密標準。

在您的組織中定義和維護加密標準時，請考慮以下幾類因素：
+ [成本和效能考量](#cost-performance)
+ [金鑰存取控制](#access-control)
+ [加密類型](#encryption-types)
+ [加密金鑰規格](#encryption-key-specifications)
+ [金鑰儲存位置](#key-storage-location)

## 成本和效能考量
<a name="cost-performance"></a>

在判斷靜態資料的加密標準時，請考慮下列操作因素：
+ 可用的硬體資源必須能夠大規模支援您的標準。
+ 加密成本會根據金鑰的長度、資料量，以及執行加密所需的時間而有所不同。例如，與對稱加密相比，非對稱加密使用較長的金鑰，需要更多時間。
+ 考慮企業應用程式的效能需求。如果您的應用程式需要低延遲和高輸送量，則您可能想要使用對稱加密。

## 金鑰存取控制
<a name="access-control"></a>

根據最低權限原則識別加密金鑰的存取控制政策。*最低權限*是授予使用者執行工作職能所需的最低存取權的安全最佳實務。在您的標準中，定義存取控制政策：
+ 識別管理金鑰加密金鑰和資料金鑰的角色。
+ 定義金鑰許可並將其對應至角色。例如，它會定義誰具有金鑰管理員權限，以及誰具有 和金鑰使用者權限。金鑰管理員可以建立或修改金鑰加密金鑰，而金鑰使用者可以加密和解密資料並產生資料金鑰。

## 加密類型
<a name="encryption-types"></a>

在您的標準中，定義哪些加密類型和功能適合您的組織：
+ 記錄何時使用對稱和非對稱加密演算法。如需詳細資訊，請參閱*常見問答集*[何時需要非對稱加密？](faq.md#faq-asymmetric-encryption)一節中的 [何時需要對稱加密？](faq.md#faq-symmetric-encryption)和 。
+ 決定您是否應使用信封加密，並定義情況。如需詳細資訊，請參閱*常見問答集*一節[何時需要信封加密？](faq.md#faq-envelope-encryption)中的 。
+ 定義何時使用加密替代方案的條件，例如權杖化和雜湊。

## 加密金鑰規格
<a name="encryption-key-specifications"></a>

定義加密金鑰的必要規格，例如金鑰強度和演算法。這些規格必須符合 政策中定義的法規和合規機制。請考慮定義下列規格：
+ 定義對稱和非對稱加密類型的最小金鑰強度和演算法。金鑰強度的因素包括長度、隨機性和唯一性。
+ 定義何時要實作新版本的加密演算法。例如，您的標準可能狀態*為在發行後的 30 天內實作最新版本的演算法，*或*一律使用比最新版本舊的版本*。
+ 定義輪換加密金鑰的間隔。

## 金鑰儲存位置
<a name="key-storage-location"></a>

在您的標準中，決定要存放加密金鑰的位置時，請考慮下列事項：
+ 合規和法規要求可能會決定您的加密金鑰可存放的位置。
+ 決定您要將金鑰存放在集中位置，還是使用其對應的資料。如需詳細資訊，請參閱*常見問答集*[為什麼我應該集中管理加密金鑰？](faq.md#faq-central-management)一節中的 。
+ 如果您選擇集中式儲存，請決定要將金鑰存放在企業受管基礎設施中，例如硬體安全模組 (HSM) 或受管服務供應商，例如 AWS Key Management Service。如需詳細資訊，請參閱*常見問答集*[何時需要使用硬體安全模組 (HSM)？](faq.md#faq-hsm)一節中的 。