Kontroll 5.8 täcker behovet för organisationer att säkerställa detta informationssäkerhet är integrerad i projektledning.
Informationssäkerhet, ibland förkortad till InfoSec, är praxis att försvara information från obehörig åtkomst, användning, avslöjande, avbrott, modifiering, granskning, inspektion, inspelning eller förstörelse. Det är en allmän term som kan användas oavsett vilken form uppgifterna kan ha (t.ex. elektronisk, fysisk).
Informationssäkerhets primära fokus är balanserat skydd av konfidentialitet, integritet och tillgänglighet av data (även känd som CIA-triaden) samtidigt som man bibehåller fokus på effektiv policyimplementering, allt utan att hämma organisationens produktivitet.
Fältet omfattar alla processer och mekanismer genom vilka digital utrustning, information och tjänster skyddas från oavsiktlig eller obehörig åtkomst, förändring eller förstörelse. Proffs inom informationssäkerhet är anställda i många olika branscher — från finans till myndigheter till hälsovård till akademiker och från små enmansföretag till stora multinationella organisationer.
Projektledning är en stor del av verksamheten. Det handlar om att planera, organisera och hantera resurser för att uppnå ett specifikt mål.
Projektledning fokuserar på ett projekt, vilket är ett identifierat arbete som kräver input från olika personer eller grupper för att producera specifika resultat.
I grund och botten handlar det om att bestämma målet för projektet och dela upp det i flera deluppgifter. En projektledare arbetar sedan tillsammans med teamet för att slutföra varje uppgift i tid för att det övergripande målet ska slutföras.
Projektledning kan låta som något som bara ett stort företag behöver. Men det är värdefullt för alla typer av företag. Trots allt har även små företag projekt de behöver slutföra.
Eftersom fler och fler företag hanterar sina aktiviteter online är det ingen överraskning att informationssäkerhet inom projektledning har blivit ett hett ämne. Projektledare har att göra med ett ökande antal personer som arbetar utanför kontoret, såväl som anställda som använder sina personliga enheter i arbetet.
Genom att skapa en säkerhetspolicy för ditt företag, kommer du att kunna minimera risken för intrång eller dataförlust och se till att du kan producera korrekta rapporter om projektstatus och ekonomi vid varje given tidpunkt.
Det bästa sättet att inkludera informationssäkerhet i projektplanerings- och genomförandeprocessen är att:
För att skydda dina affärsprojekt måste du se till att allt projektledare är medvetna om informationssäkerhet och följa den när de slutför sitt arbete.
Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer. I kontroll 5.8 är attributen:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Konfidentialitet #Integritet #Tillgänglighet | #Identifiera #Protect | #Governance | #Styrelse och ekosystem #Skydd |
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
Syftet med detta kontroll enligt ISO 27002:2022 är att säkerställa informationssäkerhet risker relaterade till projekt och leveranser hanteras effektivt i projektledningen under hela projektets livscykel.
Informationssäkerhet är en nyckelfaktor för projektledning och projekt.
Kontroll 5.8 omfattar styrning, syfte och implementeringsvägledning för att integrera informationssäkerhet i projektledning enligt det ramverk som definieras av ISO 27001.
Kontroll 5.8 förstår att projektledning kräver samordning av resurser, inklusive informationstillgångar, för att uppnå ett definierat affärsmål. Detta beror på att projekt ofta innehåller nya affärsprocesser och system, som har konsekvenser för informationssäkerhet.
Projekt kan också sträcka sig över flera avdelningar och organisationer, vilket innebär att kontroll 5.8-målen, som handlar om att säkerställa att korrekta informationssäkerhetsprotokoll finns på plats, måste samordnas mellan interna och externa intressenter.
Denna kontroll kan ses som en riktlinje som identifierar informationssäkerhetsproblem i projekt och säkerställer att dessa problem åtgärdas under hela projektets livscykel.
Det är viktigt att integrera informationssäkerhet i projektledning eftersom detta ger möjlighet för organisationer att säkerställa att informationssäkerhetsrisker identifieras, utvärderas och åtgärdas som en del av projektledningen.
Om en organisation till exempel vill implementera ett nytt produktutvecklingssystem kan de identifiera informationssäkerhetsriskerna som är förknippade med ett nytt produktutvecklingssystem – såsom obehörigt avslöjande av företagsinformation – och vidta åtgärder för att minska dessa risker.
Därför, för att uppfylla kraven för nya ISO 27002:2022, bör informationssäkerhetschefen samarbeta med projektledaren för att säkerställa att informationssäkerhetsrisk identifieras, bedöms och åtgärdas som en del av projektledningsprocesserna. Informationssäkerhet bör integreras i projektledningen så att den är en "del av projektet" snarare än något som görs "till projektet".
Enligt kontroll 5.8 bör projektledningen som används kräva att:
Projektledaren (PM) bör fastställa kraven på informationssäkerhet för alla typer av projekt, oavsett dess komplexitet, storlek, varaktighet, disciplin eller tillämpningsområde, inte bara IKT-utvecklingsprojekt. PM bör vara medvetna om Informationssäkerhetspolicy och relaterade förfaranden, och vikten av informationssäkerhet.
Mer information om implementeringsriktlinjerna finns i den reviderade ISO 27002:2022.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Sedan migreringen har vi kunnat minska tiden för administration.
Informationssäkerhet i projektledning reviderades i ISO 27002:2022 för att återspegla fler förtydliganden i implementeringsvägledningen jämfört med ISO 27002:2013. Till exempel i ISO 27002:2013 finns det 3 punkter som varje projektledare bör känna till eftersom det påverkar informationssäkerheten. Men i 2022 års version utökades detta till 4 poäng.
Kontroll 5.8 i ISO 27002:2022 är inte heller en ny kontroll, utan det är en kombination av kontroller 6.1.5 och 14.1.1 i ISO 27002:2013.
Kontroll 14.1.1 i ISO 27002: 2013 talar om informationssäkerhetsrelaterade krav för nya informationssystem eller förbättringar av befintliga informationssystem. Implementeringsriktlinjerna för kontroll 14.1.1 liknar avsnittet i kontroll 5.8 som talar om att säkerställa att arkitektur och design av informationssystem skyddas mot kända hot baserat på den operativa miljön.
Kontroll 5.8, även om det inte är en ny kontroll, medför några viktiga ändringar i standarden. Dessutom, att kombinera de två kontrollerna i ISO 27002:2022 gör standarden mer användarvänlig.
Projektledaren (PM) ansvarar för att informationssäkerheten implementeras i varje projekts livscykel. Premiärministern kan dock tycka att det är användbart att konsultera en Information Security Officer (ISO) att bestämma vilka krav på informationssäkerhet som behövs för olika typer av projekt.
Det finns inga ändringar i ISO/IEC 27001 standard, så befintliga ISMS behöver inte uppdateras. Dessutom finns det en respitperiod på två år innan organisationer måste anamma den nya standarden.
Men eftersom Bilaga A till ISO/IEC 27001 kommer att matchas med de nya ISO/IEC 27002-kontrollerna i slutet av 2022, rekommenderas att aktiviteter baserade på den information som för närvarande finns tillgänglig om de nya ISO/IEC 27002-kontrollerna slutförs.
Till exempel kan organisationer:
En molnbaserad plattform för implementering av ISO 27002, ISMS.online, hjälper dig att hantera dina processer för informationssäkerhetsriskhantering enkelt och effektivt.
Med vår molnbaserade plattform får du tillgång till ett bibliotek med förskrivna policyer, rutiner, arbetsinstruktioner och formulär redo för dig.
Smakämnen ISMS.online-plattform tillhandahåller en rad kraftfulla verktyg som förenklar hur du kan dokumentera, implementera, underhålla och förbättra ditt ledningssystem för informationssäkerhet (ISMS) och uppnå överensstämmelse med ISO 27002.
Det omfattande verktygspaketet ger dig en central plats där du kan skapa en skräddarsydd uppsättning policyer och procedurer som passar dina organisationens specifika risker och behov. Det möjliggör också samarbete mellan såväl kollegor som externa partners som leverantörer eller tredjepartsrevisorer.
Genom att använda en webbapp speciellt utformad för att hjälpa företag att implementera ett Information Security Management System (ISMS) baserat på ISO 27001, sparar du inte bara tid, utan ökar också säkerheten för din organisation.
Hör av dig idag för att boka en demo.
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
