Hvad er Kontrol 5.8 – Informationssikkerhed i projektledelse?
Kontrol 5.8 dækker organisationernes behov for at sikre det informationssikkerhed er integreret i projektledelsen.
Informationssikkerhed forklaret
Informationssikkerhed, nogle gange forkortet til InfoSec, er praksis med at forsvare information mod uautoriseret adgang, brug, offentliggørelse, afbrydelse, ændring, gennemlæsning, inspektion, registrering eller ødelæggelse. Det er en generel betegnelse, der kan bruges, uanset hvilken form dataene kan have (f.eks. elektronisk, fysisk).
Informationssikkerheds primære fokus er afbalanceret beskyttelse af fortroligheden, integriteten og tilgængeligheden af data (også kendt som CIA-triaden), samtidig med at der bevares fokus på effektiv politikimplementering, alt sammen uden at hæmme organisationens produktivitet.
Feltet dækker alle de processer og mekanismer, hvormed digitalt udstyr, information og tjenester er beskyttet mod utilsigtet eller uautoriseret adgang, ændring eller ødelæggelse. Professionelle informationssikkerhedseksperter er ansat i mange forskellige brancher - fra finans til regering til sundhedspleje til akademikere og fra små enkeltmandsvirksomheder til store multinationale organisationer.
Projektledelse forklaret
Projektledelse er en stor del af forretningen. Det handler om planlægning, organisering og styring af ressourcer til gennemførelse af et specifikt mål.
Projektledelse fokuserer på et projekt, som er et identificeret stykke arbejde, der kræver input fra forskellige personer eller grupper for at producere specifikke output.
Grundlæggende går det ud på at bestemme målet for projektet og dele det op i flere delopgaver. En projektleder arbejder derefter sammen med teamet for at fuldføre hver opgave i tide til, at det overordnede mål er fuldført.
Projektledelse lyder måske som noget, kun en stor virksomhed har brug for. Men det er værdifuldt for enhver form for virksomhed. Når alt kommer til alt, har selv små virksomheder projekter, de skal gennemføre.
Informationssikkerhed i projektledelse
Efterhånden som flere og flere virksomheder håndterer deres aktiviteter online, er det ingen overraskelse, at informationssikkerhed i projektledelse er blevet et varmt emne. Projektledere har at gøre med et stigende antal mennesker, der arbejder uden for kontoret, såvel som medarbejdere, der bruger deres personlige enheder til arbejdsformål.
Ved at oprette en sikkerhedspolitik for din virksomhed, vil du være i stand til at minimere risikoen for et brud eller tab af data og sikre, at du er i stand til at producere nøjagtige rapporter om projektstatus og økonomi til enhver tid.
Den bedste måde at inkludere informationssikkerhed i projektplanlægnings- og udførelsesprocessen er at:
- Definer informationssikkerhedskravene for projektet, herunder forretningsbehov og juridiske forpligtelser.
- Vurder risikopåvirkningerne fra informationssikkerhed trusler.
- Administrer risikopåvirkningerne ved at implementere passende kontroller og processer.
- Overvåg og rapporter om effektiviteten af disse kontroller.
For at beskytte dine forretningsprojekter skal du sørge for, at alle projektledere er opmærksomme på informationssikkerhed og følg den, når de fuldfører deres arbejde.
Få et forspring på 81 %
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Attributter Kontroltabel 5.8
Kontroller klassificeres ved hjælp af attributter. Ved at bruge disse kan du hurtigt matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer. I kontrol 5.8 er attributterne:
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Identificere | #Governance | #Governance og økosystem |
| #Integritet | #Beskytte | #Beskyttelse | ||
| #Tilgængelighed |
Hvad er formålet med kontrol 5.8?
Formålet med dette kontrol i henhold til ISO 27002:2022 er at sikre informationssikkerhed risici relateret til projekter og leverancer håndteres effektivt i projektledelsen gennem hele projektets livscyklus.
Informationssikkerhed er et centralt hensyn til projektledelse og projekter.
Kontrol 5.8 dækker kontrol, formål og implementeringsvejledning til integration af informationssikkerhed i projektledelse i henhold til rammerne som defineret af ISO 27001.
Kontrol 5.8 forstår, at projektledelse kræver koordinering af ressourcer, herunder informationsaktiver, for at nå et defineret forretningsmål. Dette skyldes, at projekter ofte omfatter nye forretningsprocesser og systemer, som har betydning for informationssikkerhed.
Projekter kan også spænde over flere afdelinger og organisationer, hvilket betyder, at kontrol 5.8-målsætninger, som handler om at sikre, at korrekte informationssikkerhedsprotokoller er på plads, skal koordineres på tværs af interne og eksterne interessenter.
Denne kontrol kan ses som en retningslinje, der identificerer informationssikkerhedsproblemer i projekter og sikrer, at disse problemer behandles gennem hele projektets livscyklus.
Hvad er involveret, og hvordan man opfylder kravene
Det er vigtigt at integrere informationssikkerhed i projektstyring, fordi dette giver organisationer mulighed for at sikre, at informationssikkerhedsrisici identificeres, evalueres og behandles som en del af projektledelsen.
For eksempel, hvis en organisation ønsker at implementere et nyt produktudviklingssystem, kan de identificere de informationssikkerhedsrisici, der er forbundet med et nyt produktudviklingssystem – såsom uautoriseret offentliggørelse af proprietære virksomhedsoplysninger – og tage skridt til at afbøde disse risici.
Derfor for at opfylde kravene til ny ISO 27002:2022, bør informationssikkerhedschefen arbejde sammen med projektlederen for at sikre, at informationssikkerhedsrisikoen identificeres, vurderes og behandles som en del af projektledelsesprocesserne. Informationssikkerhed bør integreres i projektledelsen, så det er en "del af projektet" snarere end noget, der bliver gjort "til projektet."
I henhold til kontrol 5.8 skal projektledelsen i brug kræve, at:
- informationssikkerhedsrisici vurderes og behandles på et tidligt tidspunkt og periodisk som en del af projektrisici gennem hele projektets livscyklus.
- informationssikkerhedskrav [f.eks. applikationssikkerhedskrav (8.26), krav til overholdelse af intellektuelle ejendomsrettigheder (5.32) osv.] behandles i de tidlige stadier af
projekter. - informationssikkerhedsrisici forbundet med udførelse af projekter, såsom sikkerhed for interne og eksterne kommunikationsaspekter, overvejes og behandles gennem hele projektets livscyklus.
- fremskridt med hensyn til behandling af informationssikkerhedsrisici gennemgås, og effektiviteten af behandlingen evalueres og testes.
Projektlederen (PM) bør fastlægge kravene til informationssikkerhed for alle typer projekter, uanset deres kompleksitet, størrelse, varighed, disciplin eller anvendelsesområde, ikke kun IKT-udviklingsprojekter. PM'er skal være opmærksomme på Informationssikkerhedspolitik og relaterede procedurer og vigtigheden af informationssikkerhed.
Flere detaljer om implementeringsvejledningerne kan findes i den reviderede ISO 27002:2022.
Administrer al din overholdelse ét sted
ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.
Forskelle mellem ISO 27002:2013 og ISO 27002:2022
Informationssikkerhed i projektledelse blev revideret i ISO 27002:2022 for at afspejle flere præciseringer i implementeringsvejledningen sammenlignet med ISO 27002:2013. For eksempel er der i ISO 27002:2013 3 punkter, som enhver projektleder bør kende, da det påvirker informationssikkerheden. Men i 2022-versionen blev dette udvidet til 4 point.
Kontrol 5.8 i ISO 27002:2022 er heller ikke en ny kontrol, men det er en kombination af kontroller 6.1.5 og 14.1.1 i ISO 27002:2013.
Kontrol 14.1.1 i ISO 27002: 2013 taler om informationssikkerhedsrelaterede krav til nye informationssystemer eller forbedringer af eksisterende informationssystemer. Implementeringsvejledningen for kontrol 14.1.1 ligner afsnittet i kontrol 5.8, der taler om at sikre, at informationssystemers arkitektur og design er beskyttet mod kendte trusler baseret på det operationelle miljø.
Kontrol 5.8, selvom det ikke er en ny kontrol, bringer nogle vigtige ændringer til standarden. Plus, at kombinere de to kontroller i ISO 27002:2022 gør standarden mere brugervenlig.
Hvem er ansvarlig for denne proces?
Projektlederen (PM) er ansvarlig for at sikre, at informationssikkerhed implementeres i ethvert projekts livscyklus. Premierministeren kan dog finde det nyttigt at konsultere en Information Security Officer (ISO) at beslutte, hvilke informationssikkerhedskrav der er nødvendige for forskellige typer projekter.
Overholdelse behøver ikke at være kompliceret.
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Hvad betyder disse ændringer for dig?
Der er ingen ændringer i ISO/IEC 27001 standard, så eksisterende ISMS behøver ikke at blive opdateret. Derudover er der en henstandsperiode på to år, før organisationer skal tage den nye standard til sig.
Men fordi Bilag A til ISO/IEC 27001 vil blive matchet med de nye ISO/IEC 27002 kontroller inden udgangen af 2022, anbefales det, at aktiviteter baseret på de oplysninger, der i øjeblikket er tilgængelige om de nye ISO/IEC 27002 kontroller, afsluttes.
For eksempel kan organisationer:
- Tag et kig på omfanget af deres ISMS.
- Opdater organisationens informationssikkerhedspolitik og alle andre regler for at sikre, at de relevante referencer og kontroller implementeres.
- Sørg for at forstå din holdning i forhold til nye kontroller og standardens nye struktur ved at lave en gap assessment.
- Inkorporer de nye informationssikkerhedskontroller i din risikovurderingstilgang.
Nye ISO 27002 kontroller
Ny kontrol
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
Organisatoriske kontroller
People Controls
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
Fysiske kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Teknologisk kontrol
Hvordan ISMS.online hjælper
En cloud-baseret platform til ISO 27002-implementering, ISMS.online, hjælper dig med at administrere dine processer til styring af informationssikkerhedsrisici nemt og effektivt.
Med vores cloud-baserede platform vil du have adgang til et bibliotek med forudskrevne politikker, procedurer, arbejdsinstruktioner og formularer klar til dig.
ISMS.online platform leverer en række kraftfulde værktøjer, der forenkler den måde, hvorpå du kan dokumentere, implementere, vedligeholde og forbedre dit informationssikkerhedsstyringssystem (ISMS) og opnå overholdelse af ISO 27002.
Den omfattende pakke af værktøjer giver dig ét centralt sted, hvor du kan skabe et skræddersyet sæt af politikker og procedurer, der stemmer overens med dine organisationens specifikke risici og behov. Det giver også mulighed for samarbejde mellem kolleger såvel som eksterne partnere såsom leverandører eller tredjepartsrevisorer.
Ved at bruge en webapp, der er specielt designet til at hjælpe virksomheder med at implementere et Information Security Management System (ISMS) baseret på ISO 27001, sparer du ikke kun tid, men øger også sikkerheden i din organisation.
Kontakt i dag for book en demo.
Gå til emnet
Bliv certificeret op til 5 gange hurtigere
Du skal blot udfylde de tomme felter.
Book en demo Prisberegner
