- Se ISO 27002:2022 Kontroll 5.8 för mer information.
- Se ISO 27001:2013 bilaga A 6.1.5 för mer information.
- Se ISO 27001:2013 bilaga A 14.1.1 för mer information.
Vad är syftet med ISO 27001:2022 bilaga A 5.8?
Syftet med ISO 27001:2022 bilaga A Kontroll 5.8 syftar till att säkerställa att projektledning innehåller informationssäkerhetsåtgärder.
Enligt ISO 27001:2022 syftar denna kontroll av bilaga A till att säkerställa att informationssäkerhetsrisker relaterade till projekt och resultat hanteras effektivt under projektledning.
Projektledning och projektsäkerhet är nyckelfaktorer.
Eftersom många projekt involverar uppdateringar av affärsprocesser och system som påverka informationssäkerheten, Bilaga A Kontroll 5.8 dokumenterar projektledningskrav.
Eftersom projekt kan sträcka sig över flera avdelningar och organisationer måste målen i bilaga A kontroll 5.8 samordnas mellan interna och externa intressenter.
Som en riktlinje identifierar kontroller i bilaga A informationssäkerhetsproblem i projekt och säkerställa deras upplösning under hela projektets livscykel.
Hantera informationssäkerhet i projekt
En viktig aspekt av projektledning är informationssäkerhet, oavsett projekttyp. Informationssäkerhet bör vara förankrad i en organisations struktur och projektledning spelar en nyckelroll i detta. En enkel, repeterbar checklista som visar att informationssäkerhet övervägs rekommenderas för projekt som använder mallramverk.
Revisorer söker informationssäkerhetsmedvetenhet i alla skeden av projektets livscykel. Detta bör också vara en del av utbildningen och medvetenheten anpassad till HR-säkerhet för A.6.6.
För att visa efterlevnad av den allmänna dataskyddsförordningen (GDPR) och Data Protection Act 2018 kommer innovativa organisationer att införliva A.5.8 med relaterade skyldigheter för personuppgifter och överväga designsäkerhet, Data Protection Impact Assessments (DPIA) och liknande processer.
Analysera och specificera informationssäkerhetskrav
Informationssäkerhetskrav måste ingå om nya informationssystem utvecklas eller befintliga informationssystem uppgraderas.
A.5.6 skulle kunna användas tillsammans med A.5.8 som en informationssäkerhetsåtgärd. Den skulle också överväga värdet av informationen i riskzonen, vilket skulle kunna överensstämma med A.5.12:s informationsklassificeringssystem.
En riskbedömning bör göras närhelst ett helt nytt system utvecklas, eller en förändring görs i ett befintligt system. Detta för att fastställa affärskraven för säkerhetskontroller.
Som ett resultat av detta bör säkerhetsöverväganden tas upp innan man väljer en lösning eller påbörjar dess utveckling. De korrekta kraven bör identifieras innan ett svar väljs.
Säkerhetskrav bör beskrivas och komma överens om under upphandlings- eller utvecklingsprocessen för att fungera som referenspunkter.
Det är inte bra att välja eller skapa en lösning och sedan bedöma dess säkerhetsnivå senare. Resultatet är oftast högre risker och högre kostnader. Det kan också resultera i problem med gällande lagstiftning, som t.ex GDPR, som uppmuntrar en säker designfilosofi och tekniker som Data Protection Privacy Impact Assessments (DPIA). National Cyber Security Center (NCSC) har på liknande sätt godkänt vissa utvecklingsmetoder och kritiska principer som riktlinjer för övervägande. ISO 27001 inkluderar också genomförandevägledning. Dokumentation av eventuella föreskrifter som följs är nödvändig.
Det kommer att vara revisorns ansvar att se till att säkerhetsaspekter beaktas i alla skeden av projektets livscykel. Detta oavsett om projektet avser ett nyutvecklat system eller för att modifiera ett befintligt system.
Dessutom förväntar de sig att konfidentialitet, integritet och tillgänglighet beaktas innan urvals- eller utvecklingsprocessen börjar.
Du kan hitta mer information om ISO 27001-krav och bilaga A-kontroller i ISMS.online virtuell coach, som kompletterar våra ramverk, verktyg och policymaterial.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vikten av informationssäkerhet i projektledning
Det ökande antalet företag som bedriver sin verksamhet online har ökat vikten av informationssäkerhet i projektledning. Som ett resultat möter projektledare ett växande antal anställda som arbetar utanför kontoret och använder sina personliga enheter i arbetet.
Genom att skapa en säkerhetspolicy för ditt företag kan du minimera risken för intrång eller dataförlust. Dessutom kommer du att kunna ta fram korrekta rapporter om projektstatus och ekonomi vid varje given tidpunkt.
Som en del av projektplanerings- och genomförandeprocessen bör informationssäkerhet inkluderas på följande sätt:
- Definiera informationssäkerhetskraven för projektet, med hänsyn till affärsbehov och juridiska krav.
- Informationssäkerhetshot bör vara bedömas utifrån deras riskpåverkan.
- För att hantera riskpåverkan, implementera lämpliga kontroller och processer.
- Se till att dessa kontroller övervakas och rapporteras regelbundet.
Nyckeln till att hålla dina affärsprojekt säkra är att se till att dina projektledare förstår vikten av informationssäkerhet och följer den i sina uppgifter.
Hur man uppfyller kraven och vad som är inblandat
Integration av informationssäkerhet i projektledning är viktigt eftersom det gör det möjligt för organisationer att identifiera, utvärdera och hantera säkerhetsrisker.
Betrakta exemplet med en organisation som implementerar ett mer sofistikerat produktutvecklingssystem.
Ett nyutvecklat produktutvecklingssystem kan bedömas med avseende på informationssäkerhetsrisker, inklusive obehörigt avslöjande av egen företagsinformation. Åtgärder kan vidtas för att minska dessa risker.
För att följa reviderad ISO 27001:2022, bör informationssäkerhetschefen samarbeta med projektledaren för att identifiera, bedöma och ta itu med informationssäkerhetsrisker som en del av projektledningsprocessen för att uppfylla kraven i den reviderade ISO 27001:2022. Projektledning bör integrera informationssäkerhet så att det inte är något som görs "mot" projektet utan något som är "en del av projektet".
Enligt bilaga A kontroll 5.8 bör projektledningssystemet kräva följande:
- Informationssäkerhetsrisker bedöms och åtgärdas tidigt och periodiskt under hela projektets livscykel.
- Säkerhetskrav måste åtgärdas tidigt i projektutvecklingsprocessen, till exempel krav på applikationssäkerhet (8.26), krav på efterlevnad av immateriella rättigheter (5.32) etc.
- Som en del av projektets livscykel beaktas och hanteras informationssäkerhetsrisker i samband med projektgenomförande. Dessa inkluderar säkerheten för interna och externa kommunikationskanaler.
- En utvärdering och testning av effektiviteten i behandlingen av informationssäkerhetsrisker genomförs.
Alla projekt, oavsett deras komplexitet, storlek, varaktighet, disciplin eller tillämpningsområde, inklusive IKT-utvecklingsprojekt, bör utvärderas för informationssäkerhetskrav av projektledaren (PM). Informationssäkerhetschefer bör förstå informationssäkerhetspolicyn och relaterade förfaranden och vikten av informationssäkerhet.
Den reviderade ISO 27001:2022 innehåller mer information om implementeringsriktlinjerna.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Vilka är ändringarna och skillnaderna från ISO 27001:2013?
In ISO 27001: 2022, har implementeringsvägledningen för informationssäkerhet i projektledning reviderats för att återspegla fler förtydliganden än i ISO 27001:2013. Enligt ISO 27001:2013 bör varje projektledare känna till tre punkter relaterade till informationssäkerhet. Detta har dock utökats till fyra punkter i ISO 27001:2022.
Kontroll 5.8 i bilaga A till ISO 27001:2022 är inte ny utan en kombination av kontroller 6.1.5 och 14.1.1 i ISO 27001:2013.
Informationssäkerhetsrelaterade krav för nyutvecklade eller förbättrade informationssystem diskuteras i bilaga A Kontroll 14.1.1 i ISO 27001:2013.
Bilaga A kontroll 14.1.1 implementeringsriktlinjer liknar kontroll 5.8, som handlar om att säkerställa att arkitekturen och designen av informationssystem är skyddade mot kända hot inom operativ miljö.
Trots att det inte är en ny kontroll, medför bilaga A Kontroll 5.8 några betydande förändringar av standarden. Dessutom gör kombinationen av de två kontrollerna standarden mer användarvänlig.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Vem är ansvarig för ISO 27001:2022 bilaga A 5.8?
För att säkerställa att informationssäkerheten implementeras under varje projekts livscykel är projektledaren ansvarig.
Ändå kan PM tycka att det är bra att rådgöra med en informationssäkerhetsansvarig (ISO) för att avgöra vilka informationssäkerhetskrav som behövs för varje projekt.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur ISMS.online hjälper
Med ISMS.online kan du hantera dina riskhanteringsprocesser för informationssäkerhet effektivt och effektivt.
Genom ISMS.online-plattform, kan du få tillgång till olika kraftfulla verktyg utformade för att förenkla processen att dokumentera, implementera, underhålla och förbättra ditt ledningssystem för informationssäkerhet (ISMS) och uppnå överensstämmelse med ISO 27001.
Det är möjligt att skapa en skräddarsydd uppsättning policyer och procedurer med hjälp av det omfattande verktygspaketet från företaget. Dessa policyer och rutiner kommer att skräddarsys för att möta din organisations specifika risker och behov. Dessutom, vår plattform möjliggör samarbete mellan kollegor och externa partners, inklusive leverantörer och tredjepartsrevisorer.
Förutom DPIA och andra relaterade bedömningar av personuppgifter, t.ex. Legitimate Interest Assessments (LIAs), tillhandahåller ISMS.online enkla, praktiska ramverk och mallar för informationssäkerhet i projektledning.
Till BOKA EN DEMO, vänligen kontakta oss idag.
