Hoppa till innehåll
Jobba smartare med vår nya förbättrade navigering!
Se hur IO gör efterlevnad enklare. Läs bloggen
ISMS.online

ISO 27002:2022 – Kontroll 5.8 – Informationssäkerhet i projektledning

ISO 27002:2022 Control 5.8 kräver att integrera informationssäkerhet i projektledning genom att identifiera risker, implementera kontroller och säkerställa kontinuerlig övervakning under ett projekts livscykel. Den konsoliderar tidigare säkerhetskontroller för att förbättra samordningen och effektiviteten mellan olika intressenter.

Författare
Sam Peters
Uppdaterad juli 25, 2025
4/5 stjärnor

Vad är Kontroll 5.8 – Informationssäkerhet i projektledning?

Kontroll 5.8 täcker behovet för organisationer att säkerställa detta informationssäkerhet är integrerad i projektledning.

Informationssäkerhet förklaras

Informationssäkerhet, ibland förkortad till InfoSec, är praxis att försvara information från obehörig åtkomst, användning, avslöjande, avbrott, modifiering, granskning, inspektion, inspelning eller förstörelse. Det är en allmän term som kan användas oavsett vilken form uppgifterna kan ha (t.ex. elektronisk, fysisk).

Informationssäkerhets primära fokus är balanserat skydd av konfidentialitet, integritet och tillgänglighet av data (även känd som CIA-triaden) samtidigt som man bibehåller fokus på effektiv policyimplementering, allt utan att hämma organisationens produktivitet.

Fältet omfattar alla processer och mekanismer genom vilka digital utrustning, information och tjänster skyddas från oavsiktlig eller obehörig åtkomst, förändring eller förstörelse. Proffs inom informationssäkerhet är anställda i många olika branscher — från finans till myndigheter till hälsovård till akademiker och från små enmansföretag till stora multinationella organisationer.

Projektledning förklaras

Projektledning är en stor del av verksamheten. Det handlar om att planera, organisera och hantera resurser för att uppnå ett specifikt mål.

Projektledning fokuserar på ett projekt, vilket är ett identifierat arbete som kräver input från olika personer eller grupper för att producera specifika resultat.

I grund och botten handlar det om att bestämma målet för projektet och dela upp det i flera deluppgifter. En projektledare arbetar sedan tillsammans med teamet för att slutföra varje uppgift i tid för att det övergripande målet ska slutföras.

Projektledning kan låta som något som bara ett stort företag behöver. Men det är värdefullt för alla typer av företag. Trots allt har även små företag projekt de behöver slutföra.

Informationssäkerhet i projektledning

Eftersom fler och fler företag hanterar sina aktiviteter online är det ingen överraskning att informationssäkerhet inom projektledning har blivit ett hett ämne. Projektledare har att göra med ett ökande antal personer som arbetar utanför kontoret, såväl som anställda som använder sina personliga enheter i arbetet.

Genom att skapa en säkerhetspolicy för ditt företag, kommer du att kunna minimera risken för intrång eller dataförlust och se till att du kan producera korrekta rapporter om projektstatus och ekonomi vid varje given tidpunkt.

Det bästa sättet att inkludera informationssäkerhet i projektplanerings- och genomförandeprocessen är att:

  • Definiera informationssäkerhetskraven för projektet, inklusive affärsbehov och juridiska skyldigheter.
  • Bedöm riskpåverkan från informationssäkerhet hot.
  • Hantera riskpåverkan genom att implementera lämpliga kontroller och processer.
  • Övervaka och rapportera om dessa kontrollers effektivitet.

För att skydda dina affärsprojekt måste du se till att allt projektledare är medvetna om informationssäkerhet och följa den när de slutför sitt arbete.



ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG


Attributtabell för kontroll 5.8

Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer. I kontroll 5.8 är attributen:

Kontroll typ Informationssäkerhetsegenskaper Cybersäkerhetskoncept Operativa förmågor Säkerhetsdomäner
#Förebyggande #Sekretess #Identifiera #Governance #Styrelse och ekosystem
#Integritet #Skydda #Skydd
#Tillgänglighet

Vad är syftet med kontroll 5.8?

Syftet med detta kontroll enligt ISO 27002:2022 är att säkerställa informationssäkerhet risker relaterade till projekt och leveranser hanteras effektivt i projektledningen under hela projektets livscykel.

Informationssäkerhet är en nyckelfaktor för projektledning och projekt.

Kontroll 5.8 omfattar styrning, syfte och implementeringsvägledning för att integrera informationssäkerhet i projektledning enligt det ramverk som definieras av ISO 27001.

Kontroll 5.8 förstår att projektledning kräver samordning av resurser, inklusive informationstillgångar, för att uppnå ett definierat affärsmål. Detta beror på att projekt ofta innehåller nya affärsprocesser och system, som har konsekvenser för informationssäkerhet.

Projekt kan också sträcka sig över flera avdelningar och organisationer, vilket innebär att kontroll 5.8-målen, som handlar om att säkerställa att korrekta informationssäkerhetsprotokoll finns på plats, måste samordnas mellan interna och externa intressenter.

Denna kontroll kan ses som en riktlinje som identifierar informationssäkerhetsproblem i projekt och säkerställer att dessa problem åtgärdas under hela projektets livscykel.

Vad är inblandat och hur man uppfyller kraven

Det är viktigt att integrera informationssäkerhet i projektledning eftersom detta ger möjlighet för organisationer att säkerställa att informationssäkerhetsrisker identifieras, utvärderas och åtgärdas som en del av projektledningen.

Om en organisation till exempel vill implementera ett nytt produktutvecklingssystem kan de identifiera informationssäkerhetsriskerna som är förknippade med ett nytt produktutvecklingssystem – såsom obehörigt avslöjande av företagsinformation – och vidta åtgärder för att minska dessa risker.

Därför, för att uppfylla kraven för nya ISO 27002:2022, bör informationssäkerhetschefen samarbeta med projektledaren för att säkerställa att informationssäkerhetsrisk identifieras, bedöms och åtgärdas som en del av projektledningsprocesserna. Informationssäkerhet bör integreras i projektledningen så att den är en "del av projektet" snarare än något som görs "till projektet".

Enligt kontroll 5.8 bör projektledningen som används kräva att:

  • informationssäkerhetsrisker bedöms och behandlas i ett tidigt skede och periodvis som en del av projektrisker under hela projektets livscykel.
  • informationssäkerhetskrav [t.ex. applikationssäkerhetskrav (8.26), krav på att uppfylla immateriella rättigheter (5.32), etc.] behandlas i de tidiga stadierna av
    projekt.
  • informationssäkerhetsrisker i samband med genomförandet av projekt, såsom säkerheten för interna och externa kommunikationsaspekter beaktas och behandlas under hela projektets livscykel.
  • framstegen i behandlingen av informationssäkerhetsrisker ses över och behandlingens effektivitet utvärderas och testas.

Projektledaren (PM) bör fastställa kraven på informationssäkerhet för alla typer av projekt, oavsett dess komplexitet, storlek, varaktighet, disciplin eller tillämpningsområde, inte bara IKT-utvecklingsprojekt. PM bör vara medvetna om Informationssäkerhetspolicy och relaterade förfaranden, och vikten av informationssäkerhet.

Mer information om implementeringsriktlinjerna finns i den reviderade ISO 27002:2022.



ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


Skillnader mellan ISO 27002:2013 och ISO 27002:2022

Informationssäkerhet i projektledning reviderades i ISO 27002:2022 för att återspegla fler förtydliganden i implementeringsvägledningen jämfört med ISO 27002:2013. Till exempel i ISO 27002:2013 finns det 3 punkter som varje projektledare bör känna till eftersom det påverkar informationssäkerheten. Men i 2022 års version utökades detta till 4 poäng.

Kontroll 5.8 i ISO 27002:2022 är inte heller en ny kontroll, utan det är en kombination av kontroller 6.1.5 och 14.1.1 i ISO 27002:2013.

Kontroll 14.1.1 i ISO 27002: 2013 talar om informationssäkerhetsrelaterade krav för nya informationssystem eller förbättringar av befintliga informationssystem. Implementeringsriktlinjerna för kontroll 14.1.1 liknar avsnittet i kontroll 5.8 som talar om att säkerställa att arkitektur och design av informationssystem skyddas mot kända hot baserat på den operativa miljön.

Kontroll 5.8, även om det inte är en ny kontroll, medför några viktiga ändringar i standarden. Dessutom, att kombinera de två kontrollerna i ISO 27002:2022 gör standarden mer användarvänlig.

Vem är ansvarig för denna process?

Projektledaren (PM) ansvarar för att informationssäkerheten implementeras i varje projekts livscykel. Premiärministern kan dock tycka att det är användbart att konsultera en Information Security Officer (ISO) att bestämma vilka krav på informationssäkerhet som behövs för olika typer av projekt.



klättring

Befria dig från ett berg av kalkylblad

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo


Vad betyder dessa förändringar för dig?

Det finns inga ändringar i ISO/IEC 27001 standard, så befintliga ISMS behöver inte uppdateras. Dessutom finns det en respitperiod på två år innan organisationer måste anamma den nya standarden.

Men eftersom Bilaga A till ISO/IEC 27001 kommer att matchas med de nya ISO/IEC 27002-kontrollerna i slutet av 2022, rekommenderas att aktiviteter baserade på den information som för närvarande finns tillgänglig om de nya ISO/IEC 27002-kontrollerna slutförs.

Till exempel kan organisationer:

  • Ta en titt på omfattningen av deras ISMS.
  • Uppdatera organisationens informationssäkerhetspolicy och alla andra regler för att säkerställa att relevanta referenser och kontroller implementeras.
  • Se till att du förstår din position i förhållande till nya kontroller och standardens nya struktur genom att göra en luckbedömning.
  • Inkorporera de nya informationssäkerhetskontrollerna i din riskbedömningsmetod.

Nya ISO 27002 kontroller

Nya kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.7 NYA Hot intelligens
5.23 NYA Informationssäkerhet för användning av molntjänster
5.30 NYA ICT-beredskap för kontinuitet i verksamheten
7.4 NYA Fysisk säkerhetsövervakning
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.16 NYA Övervakningsaktiviteter
8.23 NYA Webbfiltrering
8.28 NYA Säker kodning
Organisatoriska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.1 05.1.1, 05.1.2 Policyer för informationssäkerhet
5.2 06.1.1 Informationssäkerhetsroller och ansvar
5.3 06.1.2 Uppdelning av arbetsuppgifter
5.4 07.2.1 Ledningsansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med intressegrupper
5.7 NYA Hot intelligens
5.8 06.1.5, 14.1.1 Informationssäkerhet i projektledning
5.9 08.1.1, 08.1.2 Inventering av information och andra tillhörande tillgångar
5.10 08.1.3, 08.2.3 Acceptabel användning av information och andra tillhörande tillgångar
5.11 08.1.4 Återlämnande av tillgångar
5.12 08.2.1 Klassificering av information
5.13 08.2.2 Märkning av information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsöverföring
5.15 09.1.1, 09.1.2 Åtkomstkontroll
5.16 09.2.1 Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformation
5.18 09.2.2, 09.2.5, 09.2.6 Tillträdesrättigheter
5.19 15.1.1 Informationssäkerhet i leverantörsrelationer
5.20 15.1.2 Adressering av informationssäkerhet inom leverantörsavtal
5.21 15.1.3 Hantera informationssäkerhet i IKT-försörjningskedjan
5.22 15.2.1, 15.2.2 Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23 NYA Informationssäkerhet för användning av molntjänster
5.24 16.1.1 Informationssäkerhet incidenthantering planering och förberedelse
5.25 16.1.4 Bedömning och beslut om informationssäkerhetshändelser
5.26 16.1.5 Respons på informationssäkerhetsincidenter
5.27 16.1.6 Lär av informationssäkerhetsincidenter
5.28 16.1.7 Insamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informationssäkerhet vid avbrott
5.30 5.30 ICT-beredskap för kontinuitet i verksamheten
5.31 18.1.1, 18.1.5 Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32 18.1.2 Immateriella rättigheter
5.33 18.1.3 Skydd av register
5.34 18.1.4 Integritet och skydd av PII
5.35 18.2.1 Oberoende granskning av informationssäkerhet
5.36 18.2.2, 18.2.3 Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37 12.1.1 Dokumenterade driftprocedurer
Människor kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
6.1 07.1.1 Screening
6.2 07.1.2 Anställningsvillkor
6.3 07.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning
6.4 07.2.3 Disciplinär process
6.5 07.3.1 Ansvar efter uppsägning eller byte av anställning
6.6 13.2.4 Sekretess- eller sekretessavtal
6.7 06.2.2 Fjärrbearbetning
6.8 16.1.2, 16.1.3 Händelserapportering för informationssäkerhet
Fysiska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
7.1 11.1.1 Fysiska säkerhetsområden
7.2 11.1.2, 11.1.6 Fysiskt inträde
7.3 11.1.3 Säkra kontor, rum och lokaler
7.4 NYA Fysisk säkerhetsövervakning
7.5 11.1.4 Skydd mot fysiska och miljömässiga hot
7.6 11.1.5 Arbeta i säkra områden
7.7 11.2.9 Tydligt skrivbord och tydlig skärm
7.8 11.2.1 Utrustningsplacering och skydd
7.9 11.2.6 Säkerhet av tillgångar utanför lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedia
7.11 11.2.2 Stöd till verktyg
7.12 11.2.3 Kabelsäkerhet
7.13 11.2.4 Utrustningsunderhåll
7.14 11.2.7 Säker kassering eller återanvändning av utrustning
Tekniska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
8.1 06.2.1, 11.2.8 Användarslutpunktsenheter
8.2 09.2.3 Privilegerade åtkomsträttigheter
8.3 09.4.1 Begränsning av informationsåtkomst
8.4 09.4.5 Tillgång till källkod
8.5 09.4.2 Säker autentisering
8.6 12.1.3 Kapacitetshantering
8.7 12.2.1 Skydd mot skadlig programvara
8.8 12.6.1, 18.2.3 Hantering av tekniska sårbarheter
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.13 12.3.1 Säkerhetskopiering av information
8.14 17.2.1 Redundans av informationsbehandlingsanläggningar
8.15 12.4.1, 12.4.2, 12.4.3 Loggning
8.16 NYA Övervakningsaktiviteter
8.17 12.4.4 Klocksynkronisering
8.18 09.4.4 Användning av privilegierade verktygsprogram
8.19 12.5.1, 12.6.2 Installation av programvara på operativsystem
8.20 13.1.1 Nätverkssäkerhet
8.21 13.1.2 Säkerhet för nätverkstjänster
8.22 13.1.3 Segregation av nätverk
8.23 NYA Webbfiltrering
8.24 10.1.1, 10.1.2 Användning av kryptografi
8.25 14.2.1 Säker utvecklingslivscykel
8.26 14.1.2, 14.1.3 Säkerhetskrav för applikationer
8.27 14.2.5 Säker systemarkitektur och tekniska principer
8.28 NYA Säker kodning
8.29 14.2.8, 14.2.9 Säkerhetstestning i utveckling och acceptans
8.30 14.2.7 Outsourcade utveckling
8.31 12.1.4, 14.2.6 Separation av utvecklings-, test- och produktionsmiljöer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Ändra hanteringen
8.33 14.3.1 Testinformation
8.34 12.7.1 Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

En molnbaserad plattform för implementering av ISO 27002, ISMS.online, hjälper dig att hantera dina processer för informationssäkerhetsriskhantering enkelt och effektivt.

Med vår molnbaserade plattform får du tillgång till ett bibliotek med förskrivna policyer, rutiner, arbetsinstruktioner och formulär redo för dig.

Ocuco-landskapet ISMS.online-plattform tillhandahåller en rad kraftfulla verktyg som förenklar hur du kan dokumentera, implementera, underhålla och förbättra ditt ledningssystem för informationssäkerhet (ISMS) och uppnå överensstämmelse med ISO 27002.

Det omfattande verktygspaketet ger dig en central plats där du kan skapa en skräddarsydd uppsättning policyer och procedurer som passar dina organisationens specifika risker och behov. Det möjliggör också samarbete mellan såväl kollegor som externa partners som leverantörer eller tredjepartsrevisorer.

Genom att använda en webbapp speciellt utformad för att hjälpa företag att implementera ett Information Security Management System (ISMS) baserat på ISO 27001, sparar du inte bara tid, utan ökar också säkerheten för din organisation.

Hör av dig idag för att boka en demo.

Sam Peters

Sam är Chief Product Officer på ISMS.online och leder utvecklingen av alla produktegenskaper och funktionalitet. Sam är expert på många områden av efterlevnad och arbetar med kunder på alla skräddarsydda eller storskaliga projekt.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.