Vad är Kontroll 5.8 – Informationssäkerhet i projektledning?
Kontroll 5.8 täcker behovet för organisationer att säkerställa detta informationssäkerhet är integrerad i projektledning.
Informationssäkerhet förklaras
Informationssäkerhet, ibland förkortad till InfoSec, är praxis att försvara information från obehörig åtkomst, användning, avslöjande, avbrott, modifiering, granskning, inspektion, inspelning eller förstörelse. Det är en allmän term som kan användas oavsett vilken form uppgifterna kan ha (t.ex. elektronisk, fysisk).
Informationssäkerhets primära fokus är balanserat skydd av konfidentialitet, integritet och tillgänglighet av data (även känd som CIA-triaden) samtidigt som man bibehåller fokus på effektiv policyimplementering, allt utan att hämma organisationens produktivitet.
Fältet omfattar alla processer och mekanismer genom vilka digital utrustning, information och tjänster skyddas från oavsiktlig eller obehörig åtkomst, förändring eller förstörelse. Proffs inom informationssäkerhet är anställda i många olika branscher — från finans till myndigheter till hälsovård till akademiker och från små enmansföretag till stora multinationella organisationer.
Projektledning förklaras
Projektledning är en stor del av verksamheten. Det handlar om att planera, organisera och hantera resurser för att uppnå ett specifikt mål.
Projektledning fokuserar på ett projekt, vilket är ett identifierat arbete som kräver input från olika personer eller grupper för att producera specifika resultat.
I grund och botten handlar det om att bestämma målet för projektet och dela upp det i flera deluppgifter. En projektledare arbetar sedan tillsammans med teamet för att slutföra varje uppgift i tid för att det övergripande målet ska slutföras.
Projektledning kan låta som något som bara ett stort företag behöver. Men det är värdefullt för alla typer av företag. Trots allt har även små företag projekt de behöver slutföra.
Informationssäkerhet i projektledning
Eftersom fler och fler företag hanterar sina aktiviteter online är det ingen överraskning att informationssäkerhet inom projektledning har blivit ett hett ämne. Projektledare har att göra med ett ökande antal personer som arbetar utanför kontoret, såväl som anställda som använder sina personliga enheter i arbetet.
Genom att skapa en säkerhetspolicy för ditt företag, kommer du att kunna minimera risken för intrång eller dataförlust och se till att du kan producera korrekta rapporter om projektstatus och ekonomi vid varje given tidpunkt.
Det bästa sättet att inkludera informationssäkerhet i projektplanerings- och genomförandeprocessen är att:
- Definiera informationssäkerhetskraven för projektet, inklusive affärsbehov och juridiska skyldigheter.
- Bedöm riskpåverkan från informationssäkerhet hot.
- Hantera riskpåverkan genom att implementera lämpliga kontroller och processer.
- Övervaka och rapportera om dessa kontrollers effektivitet.
För att skydda dina affärsprojekt måste du se till att allt projektledare är medvetna om informationssäkerhet och följa den när de slutför sitt arbete.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Attributtabell för kontroll 5.8
Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer. I kontroll 5.8 är attributen:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Identifiera | #Governance | #Styrelse och ekosystem |
| #Integritet | #Skydda | #Skydd | ||
| #Tillgänglighet |
Vad är syftet med kontroll 5.8?
Syftet med detta kontroll enligt ISO 27002:2022 är att säkerställa informationssäkerhet risker relaterade till projekt och leveranser hanteras effektivt i projektledningen under hela projektets livscykel.
Informationssäkerhet är en nyckelfaktor för projektledning och projekt.
Kontroll 5.8 omfattar styrning, syfte och implementeringsvägledning för att integrera informationssäkerhet i projektledning enligt det ramverk som definieras av ISO 27001.
Kontroll 5.8 förstår att projektledning kräver samordning av resurser, inklusive informationstillgångar, för att uppnå ett definierat affärsmål. Detta beror på att projekt ofta innehåller nya affärsprocesser och system, som har konsekvenser för informationssäkerhet.
Projekt kan också sträcka sig över flera avdelningar och organisationer, vilket innebär att kontroll 5.8-målen, som handlar om att säkerställa att korrekta informationssäkerhetsprotokoll finns på plats, måste samordnas mellan interna och externa intressenter.
Denna kontroll kan ses som en riktlinje som identifierar informationssäkerhetsproblem i projekt och säkerställer att dessa problem åtgärdas under hela projektets livscykel.
Vad är inblandat och hur man uppfyller kraven
Det är viktigt att integrera informationssäkerhet i projektledning eftersom detta ger möjlighet för organisationer att säkerställa att informationssäkerhetsrisker identifieras, utvärderas och åtgärdas som en del av projektledningen.
Om en organisation till exempel vill implementera ett nytt produktutvecklingssystem kan de identifiera informationssäkerhetsriskerna som är förknippade med ett nytt produktutvecklingssystem – såsom obehörigt avslöjande av företagsinformation – och vidta åtgärder för att minska dessa risker.
Därför, för att uppfylla kraven för nya ISO 27002:2022, bör informationssäkerhetschefen samarbeta med projektledaren för att säkerställa att informationssäkerhetsrisk identifieras, bedöms och åtgärdas som en del av projektledningsprocesserna. Informationssäkerhet bör integreras i projektledningen så att den är en "del av projektet" snarare än något som görs "till projektet".
Enligt kontroll 5.8 bör projektledningen som används kräva att:
- informationssäkerhetsrisker bedöms och behandlas i ett tidigt skede och periodvis som en del av projektrisker under hela projektets livscykel.
- informationssäkerhetskrav [t.ex. applikationssäkerhetskrav (8.26), krav på att uppfylla immateriella rättigheter (5.32), etc.] behandlas i de tidiga stadierna av
projekt. - informationssäkerhetsrisker i samband med genomförandet av projekt, såsom säkerheten för interna och externa kommunikationsaspekter beaktas och behandlas under hela projektets livscykel.
- framstegen i behandlingen av informationssäkerhetsrisker ses över och behandlingens effektivitet utvärderas och testas.
Projektledaren (PM) bör fastställa kraven på informationssäkerhet för alla typer av projekt, oavsett dess komplexitet, storlek, varaktighet, disciplin eller tillämpningsområde, inte bara IKT-utvecklingsprojekt. PM bör vara medvetna om Informationssäkerhetspolicy och relaterade förfaranden, och vikten av informationssäkerhet.
Mer information om implementeringsriktlinjerna finns i den reviderade ISO 27002:2022.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Skillnader mellan ISO 27002:2013 och ISO 27002:2022
Informationssäkerhet i projektledning reviderades i ISO 27002:2022 för att återspegla fler förtydliganden i implementeringsvägledningen jämfört med ISO 27002:2013. Till exempel i ISO 27002:2013 finns det 3 punkter som varje projektledare bör känna till eftersom det påverkar informationssäkerheten. Men i 2022 års version utökades detta till 4 poäng.
Kontroll 5.8 i ISO 27002:2022 är inte heller en ny kontroll, utan det är en kombination av kontroller 6.1.5 och 14.1.1 i ISO 27002:2013.
Kontroll 14.1.1 i ISO 27002: 2013 talar om informationssäkerhetsrelaterade krav för nya informationssystem eller förbättringar av befintliga informationssystem. Implementeringsriktlinjerna för kontroll 14.1.1 liknar avsnittet i kontroll 5.8 som talar om att säkerställa att arkitektur och design av informationssystem skyddas mot kända hot baserat på den operativa miljön.
Kontroll 5.8, även om det inte är en ny kontroll, medför några viktiga ändringar i standarden. Dessutom, att kombinera de två kontrollerna i ISO 27002:2022 gör standarden mer användarvänlig.
Vem är ansvarig för denna process?
Projektledaren (PM) ansvarar för att informationssäkerheten implementeras i varje projekts livscykel. Premiärministern kan dock tycka att det är användbart att konsultera en Information Security Officer (ISO) att bestämma vilka krav på informationssäkerhet som behövs för olika typer av projekt.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Vad betyder dessa förändringar för dig?
Det finns inga ändringar i ISO/IEC 27001 standard, så befintliga ISMS behöver inte uppdateras. Dessutom finns det en respitperiod på två år innan organisationer måste anamma den nya standarden.
Men eftersom Bilaga A till ISO/IEC 27001 kommer att matchas med de nya ISO/IEC 27002-kontrollerna i slutet av 2022, rekommenderas att aktiviteter baserade på den information som för närvarande finns tillgänglig om de nya ISO/IEC 27002-kontrollerna slutförs.
Till exempel kan organisationer:
- Ta en titt på omfattningen av deras ISMS.
- Uppdatera organisationens informationssäkerhetspolicy och alla andra regler för att säkerställa att relevanta referenser och kontroller implementeras.
- Se till att du förstår din position i förhållande till nya kontroller och standardens nya struktur genom att göra en luckbedömning.
- Inkorporera de nya informationssäkerhetskontrollerna i din riskbedömningsmetod.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
En molnbaserad plattform för implementering av ISO 27002, ISMS.online, hjälper dig att hantera dina processer för informationssäkerhetsriskhantering enkelt och effektivt.
Med vår molnbaserade plattform får du tillgång till ett bibliotek med förskrivna policyer, rutiner, arbetsinstruktioner och formulär redo för dig.
Smakämnen ISMS.online-plattform tillhandahåller en rad kraftfulla verktyg som förenklar hur du kan dokumentera, implementera, underhålla och förbättra ditt ledningssystem för informationssäkerhet (ISMS) och uppnå överensstämmelse med ISO 27002.
Det omfattande verktygspaketet ger dig en central plats där du kan skapa en skräddarsydd uppsättning policyer och procedurer som passar dina organisationens specifika risker och behov. Det möjliggör också samarbete mellan såväl kollegor som externa partners som leverantörer eller tredjepartsrevisorer.
Genom att använda en webbapp speciellt utformad för att hjälpa företag att implementera ett Information Security Management System (ISMS) baserat på ISO 27001, sparar du inte bara tid, utan ökar också säkerheten för din organisation.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
