ISO 27001:2022 Bilag A 5.8 – Informationssikkerhed i projektledelse

• Se ISO 27002:2022 Kontrol 5.8 for mere information.
• Se ISO 27001:2013 Bilag A 6.1.5 for mere information.
• Se ISO 27001:2013 Bilag A 14.1.1 for mere information.

Hvad er formålet med ISO 27001:2022 Annex A 5.8?

Med henblik på ISO 27001:2022 Bilag A Kontrol 5.8 skal sikre, at projektledelsen inkorporerer informationssikkerhedsforanstaltninger.

I henhold til ISO 27001:2022 har denne bilag A-kontrol til formål at sikre, at informationssikkerhedsrisici i forbindelse med projekter og leverancer håndteres effektivt under projektledelsen.

Projektledelse og projektsikkerhed er centrale overvejelser.

Fordi mange projekter involverer opdateringer af forretningsprocesser og systemer, der påvirke informationssikkerheden, Bilag A Kontrol 5.8 dokumenterer krav til projektledelse.

Da projekter kan strække sig over flere afdelinger og organisationer, skal bilag A kontrol 5.8 mål koordineres på tværs af interne og eksterne interessenter.

Som en retningslinje identificerer bilag A kontroller informationssikkerhedsproblemer i projekter og sikre deres løsning gennem hele projektets livscyklus.

Håndtering af informationssikkerhed i projekter

Et centralt aspekt af projektledelse er informationssikkerhed, uanset projekttype. Informationssikkerhed bør være forankret i strukturen af ​​en organisation, og projektledelse spiller en nøglerolle i dette. En enkel, gentagelig tjekliste, der viser, at informationssikkerhed overvejes, anbefales til projekter, der bruger skabelonrammer.

Revisorer leder efter informationssikkerhedsbevidsthed på alle stadier af projektets livscyklus. Dette bør også være en del af uddannelsen og bevidstheden, der er tilpasset HR-sikkerhed for A.6.6.

For at påvise overholdelse af den generelle databeskyttelsesforordning (GDPR) og Data Protection Act 2018, vil innovative organisationer inkorporere A.5.8 med relaterede forpligtelser for persondata og overveje design af sikkerhed, Data Protection Impact Assessments (DPIA'er) og lignende processer.

Analyse og specificering af informationssikkerhedskrav

Krav til informationssikkerhed skal medtages, hvis nye informationssystemer udvikles eller eksisterende informationssystemer opgraderes.

A.5.6 kunne bruges sammen med A.5.8 som en informationssikkerhedsforanstaltning. Den vil også overveje værdien af ​​de oplysninger, der er i fare, hvilket kunne stemme overens med A.5.12's informationsklassifikationsskema.

En risikovurdering bør udføres, hver gang et helt nyt system udvikles, eller der foretages en ændring af et eksisterende system. Dette er for at fastlægge forretningskravene til sikkerhedskontrol.

Som følge heraf bør sikkerhedsovervejelser tages i betragtning, før du vælger en løsning eller påbegynder udviklingen af ​​den. De korrekte krav bør identificeres, før et svar vælges.

Sikkerhedskrav bør skitseres og aftales under indkøbs- eller udviklingsprocessen for at tjene som referencepunkter.

Det er ikke god praksis at vælge eller skabe en løsning og derefter vurdere dens niveau af sikkerhedskapacitet senere. Resultatet er normalt højere risici og højere omkostninger. Det kan også resultere i problemer med gældende lovgivning, som f.eks GDPR, som tilskynder til en sikker designfilosofi og teknikker såsom Data Protection Privacy Impact Assessments (DPIA'er). National Cyber ​​Security Center (NCSC) har ligeledes godkendt visse udviklingspraksis og kritiske principper som retningslinjer for overvejelse. ISO 27001 inkluderer også implementeringsvejledning. Dokumentation af eventuelle overholdte regler er nødvendig.

Det vil være revisors ansvar at sikre, at sikkerhedshensyn tages i betragtning i alle faser af projektets livscyklus. Dette er uanset om projektet er til et nyudviklet system eller til ændring af et eksisterende system.

Derudover vil de forvente, at fortrolighed, integritet og tilgængelighed tages i betragtning, før udvælgelsen eller udviklingsprocessen begynder.

Du kan finde mere information om ISO 27001-krav og bilag A-kontroller i ISMS.online Virtual Coach, som supplerer vores rammer, værktøjer og politikmateriale.

Betydningen af ​​informationssikkerhed i projektledelse

Det stigende antal virksomheder, der udfører deres aktiviteter online, har øget vigtigheden af ​​informationssikkerhed i projektledelse. Som følge heraf står projektledere over for et stigende antal medarbejdere, der arbejder uden for kontoret og bruger deres personlige enheder til arbejdet.

Oprettelse af en sikkerhedspolitik for din virksomhed vil give dig mulighed for at minimere risikoen for et brud eller tab af data. Derudover vil du til enhver tid kunne producere præcise rapporter om projektstatus og økonomi.

Som en del af projektplanlægnings- og udførelsesprocessen bør informationssikkerhed inkluderes på følgende måder:

• Definer informationssikkerhedskravene for projektet under hensyntagen til forretningsbehov og lovkrav.
• Trusler mod informationssikkerhed bør være vurderet i forhold til deres risikopåvirkning.
• For at håndtere risikopåvirkninger skal du implementere passende kontroller og processer.
• Sørg for, at disse kontroller overvåges og rapporteres regelmæssigt.

Nøglen til at holde dine forretningsprojekter sikre er at sikre, at dine projektledere forstår vigtigheden af ​​informationssikkerhed og overholder den i deres opgaver.

Sådan opfylder du kravene, og hvad er involveret

Integration af informationssikkerhed i projektledelse er afgørende, da det giver organisationer mulighed for at identificere, evaluere og adressere sikkerhedsrisici.

Overvej eksemplet med en organisation, der implementerer et mere sofistikeret produktudviklingssystem.

Et nyudviklet produktudviklingssystem kan vurderes for informationssikkerhedsrisici, herunder uautoriseret videregivelse af proprietære virksomhedsoplysninger. Der kan tages skridt til at mindske disse risici.

For at overholde revideret ISO 27001:2022, bør informationssikkerhedslederen samarbejde med projektlederen for at identificere, vurdere og adressere informationssikkerhedsrisici som en del af projektledelsesprocessen for at opfylde kravene i den reviderede ISO 27001:2022. Projektledelse bør integrere informationssikkerhed, så det ikke er noget, der er gjort "mod" projektet, men noget, der er "en del af projektet".

Ifølge bilag A, kontrol 5.8, skal projektstyringssystemet kræve følgende:

• Informationssikkerhedsrisici vurderes og behandles tidligt og periodisk gennem hele projektets livscyklus.
• Sikkerhedskrav skal imødekommes tidligt i projektudviklingsprocessen, for eksempel krav til applikationssikkerhed (8.26), krav til overholdelse af immaterielle rettigheder (5.32) mv.
• Som en del af projektets livscyklus overvejes og behandles informationssikkerhedsrisici forbundet med projektudførelse. Disse omfatter sikkerheden af ​​interne og eksterne kommunikationskanaler.
• Der gennemføres en evaluering og test af effektiviteten af ​​behandlingen af ​​informationssikkerhedsrisici.

Alle projekter, uanset deres kompleksitet, størrelse, varighed, disciplin eller anvendelsesområde, herunder IKT-udviklingsprojekter, bør evalueres for informationssikkerhedskrav af projektlederen (PM). Informationssikkerhedsansvarlige bør forstå informationssikkerhedspolitikken og relaterede procedurer og vigtigheden af ​​informationssikkerhed.

Den reviderede ISO 27001:2022 indeholder flere detaljer vedrørende implementeringsvejledningerne.

Hvad er ændringerne og forskellene fra ISO 27001:2013?

In ISO 27001: 2022, er implementeringsvejledningen for informationssikkerhed i projektledelse blevet revideret for at afspejle flere præciseringer end i ISO 27001:2013. Ifølge ISO 27001:2013 bør enhver projektleder kende tre punkter relateret til informationssikkerhed. Dette er dog udvidet til fire punkter i ISO 27001:2022.

Kontrol 5.8 i bilag A til ISO 27001:2022 er ikke ny, men en kombination af kontrol 6.1.5 og 14.1.1 i ISO 27001:2013.

Informationssikkerhedsrelaterede krav til nyudviklede eller forbedrede informationssystemer er beskrevet i bilag A kontrol 14.1.1 i ISO 27001:2013.

Bilag A kontrol 14.1.1 implementeringsvejledninger ligner kontrol 5.8, som omhandler at sikre, at arkitekturen og design af informationssystemer er beskyttet mod kendte trusler i driftsmiljøet.

Selvom det ikke er en ny kontrol, bringer bilag A kontrol 5.8 nogle væsentlige ændringer til standarden. Desuden gør kombinationen af ​​de to kontroller standarden mere brugervenlig.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvem er ansvarlig for ISO 27001:2022 Annex A 5.8?

For at sikre, at informationssikkerheden implementeres gennem hele livscyklussen af ​​hvert projekt, er projektlederen ansvarlig.

Ikke desto mindre kan PM finde det nyttigt at rådføre sig med en Information Security Officer (ISO) for at afgøre, hvilke informationssikkerhedskrav der er nødvendige for hvert projekt.

Hvordan ISMS.online hjælper

Ved at bruge ISMS.online kan du administrere dine processer til håndtering af informationssikkerhedsrisici effektivt og effektivt.

Gennem ISMS.online platform, kan du få adgang til forskellige kraftfulde værktøjer designet til at forenkle processen med at dokumentere, implementere, vedligeholde og forbedre dit informationssikkerhedsstyringssystem (ISMS) og opnå overholdelse af ISO 27001.

Det er muligt at skabe et skræddersyet sæt politikker og procedurer ved hjælp af den omfattende pakke af værktøjer, som virksomheden tilbyder. Disse politikker og praksis vil blive skræddersyet til at imødekomme din organisations specifikke risici og behov. I øvrigt, vores platform muliggør samarbejde mellem kolleger og eksterne partnere, herunder leverandører og tredjepartsrevisorer.

Udover DPIA og andre relaterede persondatavurderinger, f.eks. Legitimate Interest Assessments (LIA), giver ISMS.online enkle, praktiske rammer og skabeloner til informationssikkerhed i projektledelse.

Til planlæg en demo, kontakt os venligst i dag.