ISO 27001: 2022 Annex A 5.8 - Informationssicherheit im Projektmanagement

• Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 5.8 .
• Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 6.1.5 .
• Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 14.1.1 .

Was ist der Zweck von ISO 27001:2022 Anhang A 5.8?

Der Zweck der ISO 27001:2022 Anhang A Kontrolle 5.8 soll sicherstellen, dass das Projektmanagement Maßnahmen zur Informationssicherheit umfasst.

Gemäß ISO 27001:2022 soll diese Anhang-A-Kontrolle sicherstellen, dass Informationssicherheitsrisiken im Zusammenhang mit Projekten und Leistungen während des Projektmanagements effektiv gemanagt werden.

Projektmanagement und Projektsicherheit sind wichtige Überlegungen.

Denn viele Projekte beinhalten Aktualisierungen von Geschäftsprozessen und Systemen Auswirkungen auf die Informationssicherheit haben, Annex A Control 5.8 dokumentiert Projektmanagementanforderungen.

Da sich Projekte über mehrere Abteilungen und Organisationen erstrecken können, müssen die Ziele von Annex A Control 5.8 zwischen internen und externen Stakeholdern koordiniert werden.

Als Richtlinie dienen die Kontrollen in Anhang A zur Identifizierung von Bedenken hinsichtlich der Informationssicherheit in Projekten und stellen deren Lösung während des gesamten Projektlebenszyklus sicher.

Verwalten der Informationssicherheit in Projekten

Ein zentraler Aspekt des Projektmanagements ist die Informationssicherheit, unabhängig von der Projektart. Informationssicherheit sollte in der Struktur einer Organisation verankert sein, und das Projektmanagement spielt dabei eine Schlüsselrolle. Für Projekte, die Vorlagen-Frameworks verwenden, wird eine einfache, wiederholbare Checkliste empfohlen, die zeigt, dass die Informationssicherheit berücksichtigt wird.

Prüfer suchen nach einem Bewusstsein für Informationssicherheit in allen Phasen des Projektlebenszyklus. Dies sollte auch Teil der auf HR-Sicherheit ausgerichteten Aufklärung und Sensibilisierung für A.6.6 sein.

Um die Einhaltung der Datenschutz-Grundverordnung nachzuweisen (DSGVO) und dem Datenschutzgesetz 2018 werden innovative Organisationen A.5.8 mit den damit verbundenen Verpflichtungen für personenbezogene Daten integrieren und „Security by Design“, Datenschutz-Folgenabschätzungen (DPIAs) und ähnliche Prozesse berücksichtigen.

Analysieren und Spezifizieren von Informationssicherheitsanforderungen

Anforderungen an die Informationssicherheit müssen berücksichtigt werden, wenn neue Informationssysteme entwickelt oder bestehende Informationssysteme aktualisiert werden.

A.5.6 könnte in Verbindung mit A.5.8 als Informationssicherheitsmaßnahme verwendet werden. Es würde auch den Wert der gefährdeten Informationen berücksichtigen, was mit dem Informationsklassifizierungsschema von A.5.12 übereinstimmen könnte.

Eine Risikobewertung sollte immer dann durchgeführt werden, wenn ein völlig neues System entwickelt oder eine Änderung an einem bestehenden System vorgenommen wird. Hiermit werden die geschäftlichen Anforderungen an Sicherheitskontrollen ermittelt.

Daher sollten Sicherheitsaspekte berücksichtigt werden, bevor eine Lösung ausgewählt oder mit deren Entwicklung begonnen wird. Bevor eine Antwort ausgewählt wird, sollten die richtigen Anforderungen identifiziert werden.

Sicherheitsanforderungen sollten während des Beschaffungs- oder Entwicklungsprozesses dargelegt und vereinbart werden, um als Referenzpunkte zu dienen.

Es ist keine gute Praxis, eine Lösung auszuwählen oder zu erstellen und später deren Sicherheitsniveau zu bewerten. Die Folge sind in der Regel höhere Risiken und höhere Kosten. Es kann auch zu Problemen mit der geltenden Gesetzgebung kommen, z DSGVO, die eine sichere Designphilosophie und Techniken wie Datenschutz-Folgenabschätzungen (Data Protection Privacy Impact Assessments, DPIAs) fördert. Auch das National Cyber ​​Security Center (NCSC) hat bestimmte Entwicklungspraktiken und kritische Grundsätze als zu berücksichtigende Richtlinien gebilligt. ISO 27001 beinhaltet auch Umsetzungsanleitung. Eine Dokumentation der befolgten Vorschriften ist erforderlich.

Es liegt in der Verantwortung des Prüfers, sicherzustellen, dass Sicherheitsaspekte in allen Phasen des Projektlebenszyklus berücksichtigt werden. Dies gilt unabhängig davon, ob es sich bei dem Projekt um ein neu zu entwickelndes System oder um die Änderung eines bestehenden Systems handelt.

Darüber hinaus erwarten sie, dass Vertraulichkeit, Integrität und Verfügbarkeit berücksichtigt werden, bevor der Auswahl- oder Entwicklungsprozess beginnt.

Weitere Informationen zu den ISO 27001-Anforderungen und Annex A-Kontrollen finden Sie im ISMS.online Virtueller Coach, das unsere Frameworks, Tools und Richtlinienmaterialien ergänzt.

Die Bedeutung der Informationssicherheit im Projektmanagement

Die zunehmende Zahl von Unternehmen, die ihre Aktivitäten online abwickeln, hat die Bedeutung der Informationssicherheit im Projektmanagement erhöht. Dies führt dazu, dass Projektmanager mit einer wachsenden Zahl von Mitarbeitern konfrontiert werden, die außerhalb des Büros arbeiten und ihre persönlichen Geräte für die Arbeit nutzen.

Durch die Erstellung einer Sicherheitsrichtlinie für Ihr Unternehmen können Sie das Risiko einer Sicherheitsverletzung oder eines Datenverlusts minimieren. Darüber hinaus können Sie jederzeit genaue Berichte über den Projektstatus und die Finanzen erstellen.

Im Rahmen des Projektplanungs- und -ausführungsprozesses sollte die Informationssicherheit auf folgende Weise einbezogen werden:

• Definieren Sie die Informationssicherheitsanforderungen für das Projekt unter Berücksichtigung der Geschäftsanforderungen und gesetzlichen Anforderungen.
• Bedrohungen der Informationssicherheit sollten vorhanden sein hinsichtlich ihrer Risikowirkung beurteilt werden.
• Um die Auswirkungen von Risiken zu bewältigen, implementieren Sie geeignete Kontrollen und Prozesse.
• Stellen Sie sicher, dass diese Kontrollen regelmäßig überwacht und gemeldet werden.

Der Schlüssel zur Sicherheit Ihrer Geschäftsprojekte liegt darin, sicherzustellen, dass Ihre Projektmanager die Bedeutung der Informationssicherheit verstehen und diese bei ihren Aufgaben einhalten.

Wie man die Anforderungen erfüllt und was dazu gehört

Integration von Informationssicherheit Der Einstieg in das Projektmanagement ist unerlässlich, da es Unternehmen ermöglicht, Sicherheitsrisiken zu identifizieren, zu bewerten und anzugehen.

Betrachten Sie das Beispiel einer Organisation, die ein ausgefeilteres Produktentwicklungssystem implementiert.

Ein neu entwickeltes Produktentwicklungssystem kann auf Informationssicherheitsrisiken untersucht werden, einschließlich der unbefugten Offenlegung geschützter Unternehmensinformationen. Es können Maßnahmen ergriffen werden, um diese Risiken zu mindern.

Um die einzuhalten überarbeitete ISO 27001:2022, sollte der Informationssicherheitsmanager mit dem Projektmanager zusammenarbeiten, um Informationssicherheitsrisiken im Rahmen des Projektmanagementprozesses zu identifizieren, zu bewerten und anzugehen, um die Anforderungen der überarbeiteten ISO 27001:2022 zu erfüllen. Das Projektmanagement sollte die Informationssicherheit so integrieren, dass sie nicht „für“ das Projekt gemacht wird, sondern „Teil des Projekts“ ist.

Das Projektmanagementsystem sollte gemäß Anlage A-Kontrolle 5.8 Folgendes vorschreiben:

• Informationssicherheitsrisiken werden während des gesamten Projektlebenszyklus frühzeitig und regelmäßig bewertet und angegangen.
• Sicherheitsanforderungen müssen frühzeitig im Projektentwicklungsprozess berücksichtigt werden, beispielsweise Anforderungen an die Anwendungssicherheit (8.26), Anforderungen zur Einhaltung von Rechten des geistigen Eigentums (5.32) usw.
• Im Rahmen des Projektlebenszyklus werden mit der Projektdurchführung verbundene Informationssicherheitsrisiken berücksichtigt und angegangen. Dazu gehört die Sicherheit interner und externer Kommunikationskanäle.
• Es wird eine Bewertung und Prüfung der Wirksamkeit der Behandlung von Informationssicherheitsrisiken durchgeführt.

Alle Projekte, unabhängig von ihrer Komplexität, Größe, Dauer, Disziplin oder Anwendungsbereich, einschließlich IKT-Entwicklungsprojekten, sollten vom Projektmanager (PM) hinsichtlich der Anforderungen an die Informationssicherheit bewertet werden. Informationssicherheitsmanager sollten die Informationssicherheitsrichtlinie verstehen und damit verbundene Verfahren sowie die Bedeutung der Informationssicherheit.

Die überarbeitete ISO 27001:2022 enthält weitere Details zu den Umsetzungsrichtlinien.

Was sind die Änderungen und Unterschiede zur ISO 27001:2013?

In ISO 27001:2022wurde der Implementierungsleitfaden für Informationssicherheit im Projektmanagement überarbeitet, um mehr Klarstellungen als in ISO 27001:2013 widerzuspiegeln. Laut ISO 27001:2013 sollte jeder Projektmanager drei Punkte im Zusammenhang mit der Informationssicherheit kennen. Allerdings wurde dies in der ISO 27001:2022 auf vier Punkte erweitert.

Die Kontrolle 5.8 in Anhang A von ISO 27001:2022 ist nicht neu, sondern eine Kombination der Kontrollen 6.1.5 und 14.1.1 in ISO 27001:2013.

Informationssicherheitsbezogene Anforderungen für neu entwickelte oder verbesserte Informationssysteme werden in Anhang A Steuerung 14.1.1 von ISO 27001:2013 erörtert.

Die Implementierungsrichtlinien für Anhang A von Kontrolle 14.1.1 ähneln denen von Kontrolle 5.8, in dem es darum geht, sicherzustellen, dass die Architektur und das Design von Informationssystemen vor bekannten Bedrohungen innerhalb der Betriebsumgebung geschützt sind.

Obwohl es sich nicht um eine neue Kontrolle handelt, bringt Annex A Control 5.8 einige wesentliche Änderungen am Standard mit sich. Darüber hinaus macht die Kombination der beiden Bedienelemente den Standard benutzerfreundlicher.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.

Wer ist für ISO 27001:2022 Anhang A 5.8 verantwortlich?

Der Projektmanager ist dafür verantwortlich, sicherzustellen, dass die Informationssicherheit während des gesamten Lebenszyklus jedes Projekts umgesetzt wird.

Dennoch kann es für den PM hilfreich sein, einen Informationssicherheitsbeauftragten (ISO) zu konsultieren, um festzustellen, welche Informationssicherheitsanforderungen für jedes Projekt erforderlich sind.

Wie ISMS.online hilft

Mit ISMS.online können Sie Ihre Risikomanagementprozesse im Bereich Informationssicherheit effizient und effektiv verwalten.

Durch die ISMS.online-Plattformkönnen Sie auf verschiedene leistungsstarke Tools zugreifen, die den Prozess der Dokumentation, Implementierung, Wartung und Verbesserung Ihres Informationssicherheits-Managementsystems (ISMS) und die Einhaltung von ISO 27001 vereinfachen sollen.

Mithilfe des umfassenden Pakets an Tools, die das Unternehmen bereitstellt, ist es möglich, maßgeschneiderte Richtlinien und Verfahren zu erstellen. Diese Richtlinien und Praktiken werden auf die spezifischen Risiken und Bedürfnisse Ihrer Organisation zugeschnitten. Darüber hinaus, unsere Plattform ermöglicht die Zusammenarbeit zwischen Kollegen und externen Partnern, einschließlich Lieferanten und externen Prüfern.

Zusätzlich zu DPIA und anderen damit verbundenen persönlichen Datenbewertungen, z. B. Legitimate Interest Assessments (LIAs), bietet ISMS.online einfache, praktische Frameworks und Vorlagen für die Sicherheit von Informationen im Projektmanagement.

Zu Demo anfordernBitte nehmen Sie noch heute Kontakt mit uns auf.