ISO 27001:2022 Annex A 5.8 – Informationssäkerhet i projektledning

• Se ISO 27002:2022 Kontroll 5.8 för mer information.
• Se ISO 27001:2013 bilaga A 6.1.5 för mer information.
• Se ISO 27001:2013 bilaga A 14.1.1 för mer information.

Vad är syftet med ISO 27001:2022 bilaga A 5.8?

Syftet med ISO 27001:2022 bilaga A Kontroll 5.8 syftar till att säkerställa att projektledning innehåller informationssäkerhetsåtgärder.

Enligt ISO 27001:2022 syftar denna kontroll av bilaga A till att säkerställa att informationssäkerhetsrisker relaterade till projekt och resultat hanteras effektivt under projektledning.

Projektledning och projektsäkerhet är nyckelfaktorer.

Eftersom många projekt involverar uppdateringar av affärsprocesser och system som påverka informationssäkerheten, Bilaga A Kontroll 5.8 dokumenterar projektledningskrav.

Eftersom projekt kan sträcka sig över flera avdelningar och organisationer måste målen i bilaga A kontroll 5.8 samordnas mellan interna och externa intressenter.

Som en riktlinje identifierar kontroller i bilaga A informationssäkerhetsproblem i projekt och säkerställa deras upplösning under hela projektets livscykel.

Hantera informationssäkerhet i projekt

En viktig aspekt av projektledning är informationssäkerhet, oavsett projekttyp. Informationssäkerhet bör vara förankrad i en organisations struktur och projektledning spelar en nyckelroll i detta. En enkel, repeterbar checklista som visar att informationssäkerhet övervägs rekommenderas för projekt som använder mallramverk.

Revisorer söker informationssäkerhetsmedvetenhet i alla skeden av projektets livscykel. Detta bör också vara en del av utbildningen och medvetenheten anpassad till HR-säkerhet för A.6.6.

För att visa efterlevnad av den allmänna dataskyddsförordningen (GDPR) och Data Protection Act 2018 kommer innovativa organisationer att införliva A.5.8 med relaterade skyldigheter för personuppgifter och överväga designsäkerhet, Data Protection Impact Assessments (DPIA) och liknande processer.

Analysera och specificera informationssäkerhetskrav

Informationssäkerhetskrav måste ingå om nya informationssystem utvecklas eller befintliga informationssystem uppgraderas.

A.5.6 skulle kunna användas tillsammans med A.5.8 som en informationssäkerhetsåtgärd. Den skulle också överväga värdet av informationen i riskzonen, vilket skulle kunna överensstämma med A.5.12:s informationsklassificeringssystem.

En riskbedömning bör göras närhelst ett helt nytt system utvecklas, eller en förändring görs i ett befintligt system. Detta för att fastställa affärskraven för säkerhetskontroller.

Som ett resultat av detta bör säkerhetsöverväganden tas upp innan man väljer en lösning eller påbörjar dess utveckling. De korrekta kraven bör identifieras innan ett svar väljs.

Säkerhetskrav bör beskrivas och komma överens om under upphandlings- eller utvecklingsprocessen för att fungera som referenspunkter.

Det är inte bra att välja eller skapa en lösning och sedan bedöma dess säkerhetsnivå senare. Resultatet är oftast högre risker och högre kostnader. Det kan också resultera i problem med gällande lagstiftning, som t.ex GDPR, som uppmuntrar en säker designfilosofi och tekniker som Data Protection Privacy Impact Assessments (DPIA). National Cyber ​​Security Center (NCSC) har på liknande sätt godkänt vissa utvecklingsmetoder och kritiska principer som riktlinjer för övervägande. ISO 27001 inkluderar också genomförandevägledning. Dokumentation av eventuella föreskrifter som följs är nödvändig.

Det kommer att vara revisorns ansvar att se till att säkerhetsaspekter beaktas i alla skeden av projektets livscykel. Detta oavsett om projektet avser ett nyutvecklat system eller för att modifiera ett befintligt system.

Dessutom förväntar de sig att konfidentialitet, integritet och tillgänglighet beaktas innan urvals- eller utvecklingsprocessen börjar.

Du kan hitta mer information om ISO 27001-krav och bilaga A-kontroller i ISMS.online virtuell coach, som kompletterar våra ramverk, verktyg och policymaterial.

Vikten av informationssäkerhet i projektledning

Det ökande antalet företag som bedriver sin verksamhet online har ökat vikten av informationssäkerhet i projektledning. Som ett resultat möter projektledare ett växande antal anställda som arbetar utanför kontoret och använder sina personliga enheter i arbetet.

Genom att skapa en säkerhetspolicy för ditt företag kan du minimera risken för intrång eller dataförlust. Dessutom kommer du att kunna ta fram korrekta rapporter om projektstatus och ekonomi vid varje given tidpunkt.

Som en del av projektplanerings- och genomförandeprocessen bör informationssäkerhet inkluderas på följande sätt:

• Definiera informationssäkerhetskraven för projektet, med hänsyn till affärsbehov och juridiska krav.
• Informationssäkerhetshot bör vara bedömas utifrån deras riskpåverkan.
• För att hantera riskpåverkan, implementera lämpliga kontroller och processer.
• Se till att dessa kontroller övervakas och rapporteras regelbundet.

Nyckeln till att hålla dina affärsprojekt säkra är att se till att dina projektledare förstår vikten av informationssäkerhet och följer den i sina uppgifter.

Hur man uppfyller kraven och vad som är inblandat

Integration av informationssäkerhet i projektledning är viktigt eftersom det gör det möjligt för organisationer att identifiera, utvärdera och hantera säkerhetsrisker.

Betrakta exemplet med en organisation som implementerar ett mer sofistikerat produktutvecklingssystem.

Ett nyutvecklat produktutvecklingssystem kan bedömas med avseende på informationssäkerhetsrisker, inklusive obehörigt avslöjande av egen företagsinformation. Åtgärder kan vidtas för att minska dessa risker.

För att följa reviderad ISO 27001:2022, bör informationssäkerhetschefen samarbeta med projektledaren för att identifiera, bedöma och ta itu med informationssäkerhetsrisker som en del av projektledningsprocessen för att uppfylla kraven i den reviderade ISO 27001:2022. Projektledning bör integrera informationssäkerhet så att det inte är något som görs "mot" projektet utan något som är "en del av projektet".

Enligt bilaga A kontroll 5.8 bör projektledningssystemet kräva följande:

• Informationssäkerhetsrisker bedöms och åtgärdas tidigt och periodiskt under hela projektets livscykel.
• Säkerhetskrav måste åtgärdas tidigt i projektutvecklingsprocessen, till exempel krav på applikationssäkerhet (8.26), krav på efterlevnad av immateriella rättigheter (5.32) etc.
• Som en del av projektets livscykel beaktas och hanteras informationssäkerhetsrisker i samband med projektgenomförande. Dessa inkluderar säkerheten för interna och externa kommunikationskanaler.
• En utvärdering och testning av effektiviteten i behandlingen av informationssäkerhetsrisker genomförs.

Alla projekt, oavsett deras komplexitet, storlek, varaktighet, disciplin eller tillämpningsområde, inklusive IKT-utvecklingsprojekt, bör utvärderas för informationssäkerhetskrav av projektledaren (PM). Informationssäkerhetschefer bör förstå informationssäkerhetspolicyn och relaterade förfaranden och vikten av informationssäkerhet.

Den reviderade ISO 27001:2022 innehåller mer information om implementeringsriktlinjerna.

Vilka är ändringarna och skillnaderna från ISO 27001:2013?

In ISO 27001: 2022, har implementeringsvägledningen för informationssäkerhet i projektledning reviderats för att återspegla fler förtydliganden än i ISO 27001:2013. Enligt ISO 27001:2013 bör varje projektledare känna till tre punkter relaterade till informationssäkerhet. Detta har dock utökats till fyra punkter i ISO 27001:2022.

Kontroll 5.8 i bilaga A till ISO 27001:2022 är inte ny utan en kombination av kontroller 6.1.5 och 14.1.1 i ISO 27001:2013.

Informationssäkerhetsrelaterade krav för nyutvecklade eller förbättrade informationssystem diskuteras i bilaga A Kontroll 14.1.1 i ISO 27001:2013.

Bilaga A kontroll 14.1.1 implementeringsriktlinjer liknar kontroll 5.8, som handlar om att säkerställa att arkitekturen och designen av informationssystem är skyddade mot kända hot inom operativ miljö.

Trots att det inte är en ny kontroll, medför bilaga A Kontroll 5.8 några betydande förändringar av standarden. Dessutom gör kombinationen av de två kontrollerna standarden mer användarvänlig.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Vem är ansvarig för ISO 27001:2022 bilaga A 5.8?

För att säkerställa att informationssäkerheten implementeras under varje projekts livscykel är projektledaren ansvarig.

Ändå kan PM tycka att det är bra att rådgöra med en informationssäkerhetsansvarig (ISO) för att avgöra vilka informationssäkerhetskrav som behövs för varje projekt.

Hur ISMS.online hjälper

Med ISMS.online kan du hantera dina riskhanteringsprocesser för informationssäkerhet effektivt och effektivt.

Genom ISMS.online-plattform, kan du få tillgång till olika kraftfulla verktyg utformade för att förenkla processen att dokumentera, implementera, underhålla och förbättra ditt ledningssystem för informationssäkerhet (ISMS) och uppnå överensstämmelse med ISO 27001.

Det är möjligt att skapa en skräddarsydd uppsättning policyer och procedurer med hjälp av det omfattande verktygspaketet från företaget. Dessa policyer och rutiner kommer att skräddarsys för att möta din organisations specifika risker och behov. Dessutom, vår plattform möjliggör samarbete mellan kollegor och externa partners, inklusive leverantörer och tredjepartsrevisorer.

Förutom DPIA och andra relaterade bedömningar av personuppgifter, t.ex. Legitimate Interest Assessments (LIAs), tillhandahåller ISMS.online enkla, praktiska ramverk och mallar för informationssäkerhet i projektledning.

Till BOKA EN DEMO, vänligen kontakta oss idag.