∎ 암호키 생성, 이용, 보관, 배포, 파기에 대해 다음과 같은 항목이 포함된 정책 및 절차를 수립하고 이행하여야 한다.
- 암호키 관리 담당 지정
- 암호키 생성 방법
- 암호키 보관 방법
- 암호키 배포 방법
- 암호키 사용 유효기간
- 암호키 복구 방법
- 암호키 폐기 방법
※ 암호 키 관리 안내서(KISA 발간) 참고
※ 암호 알고리즘 및 키 길이 이용 안내서 (KISA 발간) 참고

∎ 생성된 암호키는 암호키 손상 시 시스템 또는 암호화된 정보의 복구를 위하여 별도의 매체에 저장 후 안전한 장소에 보관(소산 백업 포함)하여야 한다.
※ 소산 보관 : 천재지변 등 비상사태를 대비하여 일정거리 이상 떨어진 장소에 보관하는 방법
- 암호 키를 소스코드에 하드코딩하여 사용하는 것은 허용되지 않음
- 시스템에서 사용되는 암호 키는 접근통제, 숨김처리, KEK를 이용한 암호화 등 안전하게 보호
- 메모리에 상주하여 이용되는 암호 키의 경우 자체 인코딩 등을 적용하여 암호 키 노출 차단

∎ 암호키 변경과 관련한 지침은 암호화 정책에 포함하여 수립하여야 한다. ∎ 암호키의 사용 기간은 최대 2년 유효기간은 최대 5년을 권고하고 있으나, 암호키 변경 시 비용과 기업의 정보자산 및 업무 중요도를 고려하여 자체적으로 정하여 적용할 수 있다. ∎ 암호키의 유효기간 만료가 가까워지는 경우, 암호키가 유출되거나 유출이 의심되는 경우, 즉시 암호키를 변경하여야 한다.