Kontrol 5.8 dækker organisationernes behov for at sikre det informationssikkerhed er integreret i projektledelsen.
Informationssikkerhed, nogle gange forkortet til InfoSec, er praksis med at forsvare information mod uautoriseret adgang, brug, offentliggørelse, afbrydelse, ændring, gennemlæsning, inspektion, registrering eller ødelæggelse. Det er en generel betegnelse, der kan bruges, uanset hvilken form dataene kan have (f.eks. elektronisk, fysisk).
Informationssikkerheds primære fokus er afbalanceret beskyttelse af fortroligheden, integriteten og tilgængeligheden af data (også kendt som CIA-triaden), samtidig med at der bevares fokus på effektiv politikimplementering, alt sammen uden at hæmme organisationens produktivitet.
Feltet dækker alle de processer og mekanismer, hvormed digitalt udstyr, information og tjenester er beskyttet mod utilsigtet eller uautoriseret adgang, ændring eller ødelæggelse. Professionelle informationssikkerhedseksperter er ansat i mange forskellige brancher - fra finans til regering til sundhedspleje til akademikere og fra små enkeltmandsvirksomheder til store multinationale organisationer.
Projektledelse er en stor del af forretningen. Det handler om planlægning, organisering og styring af ressourcer til gennemførelse af et specifikt mål.
Projektledelse fokuserer på et projekt, som er et identificeret stykke arbejde, der kræver input fra forskellige personer eller grupper for at producere specifikke output.
Grundlæggende går det ud på at bestemme målet for projektet og dele det op i flere delopgaver. En projektleder arbejder derefter sammen med teamet for at fuldføre hver opgave i tide til, at det overordnede mål er fuldført.
Projektledelse lyder måske som noget, kun en stor virksomhed har brug for. Men det er værdifuldt for enhver form for virksomhed. Når alt kommer til alt, har selv små virksomheder projekter, de skal gennemføre.
Efterhånden som flere og flere virksomheder håndterer deres aktiviteter online, er det ingen overraskelse, at informationssikkerhed i projektledelse er blevet et varmt emne. Projektledere har at gøre med et stigende antal mennesker, der arbejder uden for kontoret, såvel som medarbejdere, der bruger deres personlige enheder til arbejdsformål.
Ved at oprette en sikkerhedspolitik for din virksomhed, vil du være i stand til at minimere risikoen for et brud eller tab af data og sikre, at du er i stand til at producere nøjagtige rapporter om projektstatus og økonomi til enhver tid.
Den bedste måde at inkludere informationssikkerhed i projektplanlægnings- og udførelsesprocessen er at:
For at beskytte dine forretningsprojekter skal du sørge for, at alle projektledere er opmærksomme på informationssikkerhed og følg den, når de fuldfører deres arbejde.
Kontroller klassificeres ved hjælp af attributter. Ved at bruge disse kan du hurtigt matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer. I kontrol 5.8 er attributterne:
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificer #Beskyt | #Governance | #Governance og økosystem #Beskyttelse |
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
Vi er omkostningseffektive og hurtige
Formålet med dette kontrol i henhold til ISO 27002:2022 er at sikre informationssikkerhed risici relateret til projekter og leverancer håndteres effektivt i projektledelsen gennem hele projektets livscyklus.
Informationssikkerhed er et centralt hensyn til projektledelse og projekter.
Kontrol 5.8 dækker kontrol, formål og implementeringsvejledning til integration af informationssikkerhed i projektledelse i henhold til rammerne som defineret af ISO 27001.
Kontrol 5.8 forstår, at projektledelse kræver koordinering af ressourcer, herunder informationsaktiver, for at nå et defineret forretningsmål. Dette skyldes, at projekter ofte omfatter nye forretningsprocesser og systemer, som har betydning for informationssikkerhed.
Projekter kan også spænde over flere afdelinger og organisationer, hvilket betyder, at kontrol 5.8-målsætninger, som handler om at sikre, at korrekte informationssikkerhedsprotokoller er på plads, skal koordineres på tværs af interne og eksterne interessenter.
Denne kontrol kan ses som en retningslinje, der identificerer informationssikkerhedsproblemer i projekter og sikrer, at disse problemer behandles gennem hele projektets livscyklus.
Det er vigtigt at integrere informationssikkerhed i projektstyring, fordi dette giver organisationer mulighed for at sikre, at informationssikkerhedsrisici identificeres, evalueres og behandles som en del af projektledelsen.
For eksempel, hvis en organisation ønsker at implementere et nyt produktudviklingssystem, kan de identificere de informationssikkerhedsrisici, der er forbundet med et nyt produktudviklingssystem – såsom uautoriseret offentliggørelse af proprietære virksomhedsoplysninger – og tage skridt til at afbøde disse risici.
Derfor for at opfylde kravene til ny ISO 27002:2022, bør informationssikkerhedschefen arbejde sammen med projektlederen for at sikre, at informationssikkerhedsrisikoen identificeres, vurderes og behandles som en del af projektledelsesprocesserne. Informationssikkerhed bør integreres i projektledelsen, så det er en "del af projektet" snarere end noget, der bliver gjort "til projektet."
I henhold til kontrol 5.8 skal projektledelsen i brug kræve, at:
Projektlederen (PM) bør fastlægge kravene til informationssikkerhed for alle typer projekter, uanset deres kompleksitet, størrelse, varighed, disciplin eller anvendelsesområde, ikke kun IKT-udviklingsprojekter. PM'er skal være opmærksomme på Informationssikkerhedspolitik og relaterede procedurer og vigtigheden af informationssikkerhed.
Flere detaljer om implementeringsvejledningerne kan findes i den reviderede ISO 27002:2022.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Siden migreringen har vi været i stand til at reducere tiden brugt på administration.
Informationssikkerhed i projektledelse blev revideret i ISO 27002:2022 for at afspejle flere præciseringer i implementeringsvejledningen sammenlignet med ISO 27002:2013. For eksempel er der i ISO 27002:2013 3 punkter, som enhver projektleder bør kende, da det påvirker informationssikkerheden. Men i 2022-versionen blev dette udvidet til 4 point.
Kontrol 5.8 i ISO 27002:2022 er heller ikke en ny kontrol, men det er en kombination af kontroller 6.1.5 og 14.1.1 i ISO 27002:2013.
Kontrol 14.1.1 i ISO 27002: 2013 taler om informationssikkerhedsrelaterede krav til nye informationssystemer eller forbedringer af eksisterende informationssystemer. Implementeringsvejledningen for kontrol 14.1.1 ligner afsnittet i kontrol 5.8, der taler om at sikre, at informationssystemers arkitektur og design er beskyttet mod kendte trusler baseret på det operationelle miljø.
Kontrol 5.8, selvom det ikke er en ny kontrol, bringer nogle vigtige ændringer til standarden. Plus, at kombinere de to kontroller i ISO 27002:2022 gør standarden mere brugervenlig.
Projektlederen (PM) er ansvarlig for at sikre, at informationssikkerhed implementeres i ethvert projekts livscyklus. Premierministeren kan dog finde det nyttigt at konsultere en Information Security Officer (ISO) at beslutte, hvilke informationssikkerhedskrav der er nødvendige for forskellige typer projekter.
Der er ingen ændringer i ISO/IEC 27001 standard, så eksisterende ISMS behøver ikke at blive opdateret. Derudover er der en henstandsperiode på to år, før organisationer skal tage den nye standard til sig.
Men fordi Bilag A til ISO/IEC 27001 vil blive matchet med de nye ISO/IEC 27002 kontroller inden udgangen af 2022, anbefales det, at aktiviteter baseret på de oplysninger, der i øjeblikket er tilgængelige om de nye ISO/IEC 27002 kontroller, afsluttes.
For eksempel kan organisationer:
En cloud-baseret platform til ISO 27002-implementering, ISMS.online, hjælper dig med at administrere dine processer til styring af informationssikkerhedsrisici nemt og effektivt.
Med vores cloud-baserede platform vil du have adgang til et bibliotek med forudskrevne politikker, procedurer, arbejdsinstruktioner og formularer klar til dig.
ISMS.online platform leverer en række kraftfulde værktøjer, der forenkler den måde, hvorpå du kan dokumentere, implementere, vedligeholde og forbedre dit informationssikkerhedsstyringssystem (ISMS) og opnå overholdelse af ISO 27002.
Den omfattende pakke af værktøjer giver dig ét centralt sted, hvor du kan skabe et skræddersyet sæt af politikker og procedurer, der stemmer overens med dine organisationens specifikke risici og behov. Det giver også mulighed for samarbejde mellem kolleger såvel som eksterne partnere såsom leverandører eller tredjepartsrevisorer.
Ved at bruge en webapp, der er specielt designet til at hjælpe virksomheder med at implementere et Information Security Management System (ISMS) baseret på ISO 27001, sparer du ikke kun tid, men øger også sikkerheden i din organisation.
Kontakt i dag for book en demo.
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
