Med henblik på ISO 27001:2022 Bilag A Kontrol 5.8 skal sikre, at projektledelsen inkorporerer informationssikkerhedsforanstaltninger.
I henhold til ISO 27001:2022 har denne bilag A-kontrol til formål at sikre, at informationssikkerhedsrisici i forbindelse med projekter og leverancer håndteres effektivt under projektledelsen.
Projektledelse og projektsikkerhed er centrale overvejelser.
Fordi mange projekter involverer opdateringer af forretningsprocesser og systemer, der påvirke informationssikkerheden, Bilag A Kontrol 5.8 dokumenterer krav til projektledelse.
Da projekter kan strække sig over flere afdelinger og organisationer, skal bilag A kontrol 5.8 mål koordineres på tværs af interne og eksterne interessenter.
Som en retningslinje identificerer bilag A kontroller informationssikkerhedsproblemer i projekter og sikre deres løsning gennem hele projektets livscyklus.
Et centralt aspekt af projektledelse er informationssikkerhed, uanset projekttype. Informationssikkerhed bør være forankret i strukturen af en organisation, og projektledelse spiller en nøglerolle i dette. En enkel, gentagelig tjekliste, der viser, at informationssikkerhed overvejes, anbefales til projekter, der bruger skabelonrammer.
Revisorer leder efter informationssikkerhedsbevidsthed på alle stadier af projektets livscyklus. Dette bør også være en del af uddannelsen og bevidstheden, der er tilpasset HR-sikkerhed for A.6.6.
For at påvise overholdelse af den generelle databeskyttelsesforordning (GDPR) og Data Protection Act 2018, vil innovative organisationer inkorporere A.5.8 med relaterede forpligtelser for persondata og overveje design af sikkerhed, Data Protection Impact Assessments (DPIA'er) og lignende processer.
Krav til informationssikkerhed skal medtages, hvis nye informationssystemer udvikles eller eksisterende informationssystemer opgraderes.
A.5.6 kunne bruges sammen med A.5.8 som en informationssikkerhedsforanstaltning. Den vil også overveje værdien af de oplysninger, der er i fare, hvilket kunne stemme overens med A.5.12's informationsklassifikationsskema.
En risikovurdering bør udføres, hver gang et helt nyt system udvikles, eller der foretages en ændring af et eksisterende system. Dette er for at fastlægge forretningskravene til sikkerhedskontrol.
Som følge heraf bør sikkerhedsovervejelser tages i betragtning, før du vælger en løsning eller påbegynder udviklingen af den. De korrekte krav bør identificeres, før et svar vælges.
Sikkerhedskrav bør skitseres og aftales under indkøbs- eller udviklingsprocessen for at tjene som referencepunkter.
Det er ikke god praksis at vælge eller skabe en løsning og derefter vurdere dens niveau af sikkerhedskapacitet senere. Resultatet er normalt højere risici og højere omkostninger. Det kan også resultere i problemer med gældende lovgivning, som f.eks GDPR, som tilskynder til en sikker designfilosofi og teknikker såsom Data Protection Privacy Impact Assessments (DPIA'er). National Cyber Security Center (NCSC) har ligeledes godkendt visse udviklingspraksis og kritiske principper som retningslinjer for overvejelse. ISO 27001 inkluderer også implementeringsvejledning. Dokumentation af eventuelle overholdte regler er nødvendig.
Det vil være revisors ansvar at sikre, at sikkerhedshensyn tages i betragtning i alle faser af projektets livscyklus. Dette er uanset om projektet er til et nyudviklet system eller til ændring af et eksisterende system.
Derudover vil de forvente, at fortrolighed, integritet og tilgængelighed tages i betragtning, før udvælgelsen eller udviklingsprocessen begynder.
Du kan finde mere information om ISO 27001-krav og bilag A-kontroller i ISMS.online Virtual Coach, som supplerer vores rammer, værktøjer og politikmateriale.
Book en 30 minutters chat med os, så viser vi dig hvordan
Det stigende antal virksomheder, der udfører deres aktiviteter online, har øget vigtigheden af informationssikkerhed i projektledelse. Som følge heraf står projektledere over for et stigende antal medarbejdere, der arbejder uden for kontoret og bruger deres personlige enheder til arbejdet.
Oprettelse af en sikkerhedspolitik for din virksomhed vil give dig mulighed for at minimere risikoen for et brud eller tab af data. Derudover vil du til enhver tid kunne producere præcise rapporter om projektstatus og økonomi.
Som en del af projektplanlægnings- og udførelsesprocessen bør informationssikkerhed inkluderes på følgende måder:
Nøglen til at holde dine forretningsprojekter sikre er at sikre, at dine projektledere forstår vigtigheden af informationssikkerhed og overholder den i deres opgaver.
Integration af informationssikkerhed i projektledelse er afgørende, da det giver organisationer mulighed for at identificere, evaluere og adressere sikkerhedsrisici.
Overvej eksemplet med en organisation, der implementerer et mere sofistikeret produktudviklingssystem.
Et nyudviklet produktudviklingssystem kan vurderes for informationssikkerhedsrisici, herunder uautoriseret videregivelse af proprietære virksomhedsoplysninger. Der kan tages skridt til at mindske disse risici.
For at overholde revideret ISO 27001:2022, bør informationssikkerhedslederen samarbejde med projektlederen for at identificere, vurdere og adressere informationssikkerhedsrisici som en del af projektledelsesprocessen for at opfylde kravene i den reviderede ISO 27001:2022. Projektledelse bør integrere informationssikkerhed, så det ikke er noget, der er gjort "mod" projektet, men noget, der er "en del af projektet".
Ifølge bilag A, kontrol 5.8, skal projektstyringssystemet kræve følgende:
Alle projekter, uanset deres kompleksitet, størrelse, varighed, disciplin eller anvendelsesområde, herunder IKT-udviklingsprojekter, bør evalueres for informationssikkerhedskrav af projektlederen (PM). Informationssikkerhedsansvarlige bør forstå informationssikkerhedspolitikken og relaterede procedurer og vigtigheden af informationssikkerhed.
Den reviderede ISO 27001:2022 indeholder flere detaljer vedrørende implementeringsvejledningerne.
In ISO 27001: 2022, er implementeringsvejledningen for informationssikkerhed i projektledelse blevet revideret for at afspejle flere præciseringer end i ISO 27001:2013. Ifølge ISO 27001:2013 bør enhver projektleder kende tre punkter relateret til informationssikkerhed. Dette er dog udvidet til fire punkter i ISO 27001:2022.
Kontrol 5.8 i bilag A til ISO 27001:2022 er ikke ny, men en kombination af kontrol 6.1.5 og 14.1.1 i ISO 27001:2013.
Informationssikkerhedsrelaterede krav til nyudviklede eller forbedrede informationssystemer er beskrevet i bilag A kontrol 14.1.1 i ISO 27001:2013.
Bilag A kontrol 14.1.1 implementeringsvejledninger ligner kontrol 5.8, som omhandler at sikre, at arkitekturen og design af informationssystemer er beskyttet mod kendte trusler i driftsmiljøet.
Selvom det ikke er en ny kontrol, bringer bilag A kontrol 5.8 nogle væsentlige ændringer til standarden. Desuden gør kombinationen af de to kontroller standarden mere brugervenlig.
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
| Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
For at sikre, at informationssikkerheden implementeres gennem hele livscyklussen af hvert projekt, er projektlederen ansvarlig.
Ikke desto mindre kan PM finde det nyttigt at rådføre sig med en Information Security Officer (ISO) for at afgøre, hvilke informationssikkerhedskrav der er nødvendige for hvert projekt.
Ved at bruge ISMS.online kan du administrere dine processer til håndtering af informationssikkerhedsrisici effektivt og effektivt.
Gennem ISMS.online platform, kan du få adgang til forskellige kraftfulde værktøjer designet til at forenkle processen med at dokumentere, implementere, vedligeholde og forbedre dit informationssikkerhedsstyringssystem (ISMS) og opnå overholdelse af ISO 27001.
Det er muligt at skabe et skræddersyet sæt politikker og procedurer ved hjælp af den omfattende pakke af værktøjer, som virksomheden tilbyder. Disse politikker og praksis vil blive skræddersyet til at imødekomme din organisations specifikke risici og behov. I øvrigt, vores platform muliggør samarbejde mellem kolleger og eksterne partnere, herunder leverandører og tredjepartsrevisorer.
Udover DPIA og andre relaterede persondatavurderinger, f.eks. Legitimate Interest Assessments (LIA), giver ISMS.online enkle, praktiske rammer og skabeloner til informationssikkerhed i projektledelse.
Til planlæg en demo, kontakt os venligst i dag.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
