ISO 27002:2022 – Control 5.8 – Informationssicherheit im Projektmanagement

ISO 27002:2022 Control 5.8 schreibt die Integration der Informationssicherheit in das Projektmanagement vor, indem Risiken identifiziert, Kontrollen implementiert und eine kontinuierliche Überwachung während des gesamten Lebenszyklus eines Projekts sichergestellt wird. Es konsolidiert vorherige Sicherheitskontrollen, um die Koordination und Effektivität zwischen den Beteiligten zu verbessern.

Wir benötigen die von Ihnen bereitgestellten Informationen, um Sie bezüglich unserer Dienstleistungen zu kontaktieren.
Sie können sich jederzeit abmelden. Weitere Informationen finden Sie in unserer Datenschutzrichtlinien.

Autor
Max Edwards
Aktualisiert am 12. Februar 2025
LinkedIn Twitter Twitter

Was ist Control 5.8 – Informationssicherheit im Projektmanagement?

Control 5.8 deckt die Notwendigkeit ab, dass Organisationen dies sicherstellen müssen Informationssicherheit ist in das Projektmanagement integriert.

Informationssicherheit erklärt

Informationssicherheit, manchmal abgekürzt als InfoSecist die Praxis des Schutzes von Informationen vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Störung, Änderung, Einsicht, Inspektion, Aufzeichnung oder Zerstörung. Dabei handelt es sich um einen allgemeinen Begriff, der unabhängig von der Form der Daten (z. B. elektronisch, physisch) verwendet werden kann.

Das Hauptaugenmerk der Informationssicherheit liegt auf dem ausgewogenen Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten (auch bekannt als CIA-Triade) und konzentriert sich gleichzeitig auf die effiziente Umsetzung von Richtlinien, ohne dabei die Produktivität der Organisation zu beeinträchtigen.

Der Bereich umfasst alle Prozesse und Mechanismen, mit denen digitale Geräte, Informationen und Dienste vor unbeabsichtigtem oder unbefugtem Zugriff, Veränderung oder Zerstörung geschützt werden. Informationssicherheitsexperten sind in vielen verschiedenen Branchen beschäftigt – vom Finanzwesen über die Regierung und das Gesundheitswesen bis hin zu Akademikern und von kleinen Ein-Personen-Unternehmen bis hin zu großen multinationalen Organisationen.

Projektmanagement erklärt

Projektmanagement ist ein großer Teil des Geschäftslebens. Es geht um die Planung, Organisation und Verwaltung von Ressourcen zur Erreichung eines bestimmten Ziels.

Das Projektmanagement konzentriert sich auf ein Projekt, bei dem es sich um eine identifizierte Arbeit handelt, die Beiträge verschiedener Personen oder Gruppen erfordert, um bestimmte Ergebnisse zu erzielen.

Im Wesentlichen geht es darum, das Ziel des Projekts festzulegen und es in mehrere Teilaufgaben zu unterteilen. Ein Projektmanager arbeitet dann mit dem Team zusammen, um jede Aufgabe rechtzeitig abzuschließen, damit das Gesamtziel erreicht werden kann.

Projektmanagement mag wie etwas klingen, das nur ein großes Unternehmen braucht. Aber es ist für jede Art von Unternehmen wertvoll. Schließlich müssen auch kleine Unternehmen Projekte abschließen.

Informationssicherheit im Projektmanagement

Da immer mehr Unternehmen ihre Aktivitäten online abwickeln, überrascht es nicht, dass Informationssicherheit im Projektmanagement zu einem heißen Thema geworden ist. Projektmanager haben es mit einer zunehmenden Zahl von Menschen zu tun, die außerhalb des Büros arbeiten, sowie mit Mitarbeitern, die ihre persönlichen Geräte für Arbeitszwecke nutzen.

Durch das Erstellen eines Sicherheitsrichtlinie für Ihr UnternehmenSo können Sie das Risiko eines Verstoßes oder Datenverlusts minimieren und sicherstellen, dass Sie jederzeit genaue Berichte über den Projektstatus und die Finanzen erstellen können.

Der beste Weg, einzubeziehen Informationssicherheit im Projektplanungs- und -abwicklungsprozess ist:

  • Definieren Sie die Informationssicherheitsanforderungen für das Projekt, einschließlich Geschäftsanforderungen und rechtlicher Verpflichtungen.
  • Bewerten Sie die Risikoauswirkungen der Informationssicherheit Bedrohungen.
  • Bewältigen Sie die Risikoauswirkungen durch die Implementierung geeigneter Kontrollen und Prozesse.
  • Überwachen Sie die Wirksamkeit dieser Kontrollen und berichten Sie darüber.

Um Ihre Geschäftsprojekte zu schützen, müssen Sie alles sicherstellen Projektmanager sind sich der Informationssicherheit bewusst und folgen Sie ihm, während sie ihre Arbeit abschließen.



Verschaffen Sie sich einen Vorsprung von 81 %

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Live-Demo anfordern


Attributtabelle der Steuerung 5.8

Steuerelemente werden anhand von Attributen klassifiziert. Mithilfe dieser können Sie Ihre Steuerungsauswahl schnell mit häufig verwendeten Branchenbegriffen und -spezifikationen abgleichen. In Steuerung 5.8 sind die Attribute:

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit#Identifizieren#Führung#Governance und Ökosystem
#Integrität#Schützen#Schutz
#Verfügbarkeit

Was ist der Zweck der Kontrolle 5.8?

Der Zweck davon Die Kontrolle nach ISO 27002:2022 dient der Gewährleistung der Informationssicherheit Risiken im Zusammenhang mit Projekten und Leistungen werden im Projektmanagement während des gesamten Projektlebenszyklus wirksam berücksichtigt.

Informationssicherheit ist ein zentraler Aspekt für Projektmanagement und Projekte.

Control 5.8 umfasst die Steuerung, den Zweck und die Umsetzungsanleitung für die Integration der Informationssicherheit in das Projektmanagement gemäß dem in ISO 27001 definierten Rahmenwerk.

Control 5.8 versteht, dass Projektmanagement die Koordination von Ressourcen, einschließlich Informationsressourcen, erfordert, um ein definiertes Geschäftsziel zu erreichen. Dies liegt daran, dass Projekte häufig neue Geschäftsprozesse und -systeme umfassen, die Auswirkungen auf die Informationssicherheit haben.

Projekte können sich auch über mehrere Abteilungen und Organisationen erstrecken, was bedeutet, dass die Kontrollziele 5.8, bei denen es darum geht, sicherzustellen, dass ordnungsgemäße Informationssicherheitsprotokolle vorhanden sind, zwischen internen und externen Interessengruppen koordiniert werden müssen.

Diese Kontrolle kann als Richtlinie angesehen werden, die Informationssicherheitsprobleme in Projekten identifiziert und sicherstellt, dass diese Probleme während des gesamten Projektlebenszyklus behoben werden.

Was dazugehört und wie man die Anforderungen erfüllt

Es ist wichtig, Informationssicherheit in das Projektmanagement zu integrieren, da dies Organisationen die Möglichkeit bietet, sicherzustellen, dass Informationssicherheitsrisiken im Rahmen des Projektmanagements identifiziert, bewertet und angegangen werden.

Wenn eine Organisation beispielsweise ein neues Produktentwicklungssystem implementieren möchte, kann sie die mit einem neuen Produktentwicklungssystem verbundenen Informationssicherheitsrisiken identifizieren – wie beispielsweise die unbefugte Offenlegung geschützter Unternehmensinformationen – und Maßnahmen zur Minderung dieser Risiken ergreifen.

Daher müssen die Anforderungen erfüllt werden neue ISO 27002:2022, sollte der Informationssicherheitsmanager mit dem Projektmanager zusammenarbeiten, um sicherzustellen, dass Informationssicherheitsrisiken im Rahmen der Projektmanagementprozesse identifiziert, bewertet und angegangen werden. Informationssicherheit sollte in das Projektmanagement integriert werden, sodass sie ein „Teil des Projekts“ ist und nicht etwas, das „für das Projekt“ getan wird.

Gemäß Kontrolle 5.8 sollte das verwendete Projektmanagement Folgendes erfordern:

  • Informationssicherheitsrisiken werden frühzeitig und periodisch als Teil der Projektrisiken während des gesamten Projektlebenszyklus bewertet und behandelt.
  • Anforderungen an die Informationssicherheit [z. B. Anforderungen an die Anwendungssicherheit (8.26), Anforderungen zur Einhaltung von Rechten des geistigen Eigentums (5.32) usw.] werden in den frühen Phasen von berücksichtigt
    Projekte.
  • Informationssicherheitsrisiken im Zusammenhang mit der Durchführung von Projekten, wie z. B. die Sicherheit interner und externer Kommunikationsaspekte, werden während des gesamten Projektlebenszyklus berücksichtigt und behandelt.
  • Der Fortschritt bei der Behandlung von Informationssicherheitsrisiken wird überprüft und die Wirksamkeit der Behandlung wird bewertet und getestet.

Der Projektmanager (PM) sollte Ermitteln Sie die Anforderungen an die Informationssicherheit für alle Arten von Projekten, unabhängig von ihrer Komplexität, Größe, Dauer, Disziplin oder Anwendungsbereich, nicht nur für IKT-Entwicklungsprojekte. PMs sollten sich dessen bewusst sein Informationssicherheitsrichtlinie und damit verbundene Verfahren sowie die Bedeutung der Informationssicherheit.

Weitere Einzelheiten zu den Umsetzungsrichtlinien finden Sie in der überarbeiteten ISO 27002:2022.



Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.

Live-Demo anfordern


Unterschiede zwischen ISO 27002:2013 und ISO 27002:2022

Informationssicherheit im Projektmanagement wurde in ISO 27002:2022 überarbeitet, um im Vergleich zu ISO 27002:2013 mehr Klarstellungen in den Implementierungsleitfäden widerzuspiegeln. Beispielsweise gibt es in ISO 27002:2013 drei Punkte, die jeder Projektmanager kennen sollte, da sie sich auf die Informationssicherheit auswirken. Doch in der Version 3 wurde dieser auf 2022 Punkte erweitert.

Außerdem handelt es sich bei der Kontrolle 5.8 in ISO 27002:2022 nicht um eine neue Kontrolle, sondern um eine Kombination der Kontrollen 6.1.5 und 14.1.1 in ISO 27002:2013.

Control 14.1.1 in ISO 27002:2013 spricht darüber informationssicherheitsbezogene Anforderungen an neue Informationssysteme oder Erweiterungen bestehender Informationssysteme. Die Implementierungsrichtlinien für Kontrolle 14.1.1 ähneln dem Abschnitt von Kontrolle 5.8, in dem es darum geht, sicherzustellen, dass die Architektur und das Design von Informationssystemen vor bekannten Bedrohungen basierend auf der Betriebsumgebung geschützt sind.

Control 5.8 ist zwar keine neue Steuerung, bringt aber einige wichtige Änderungen am Standard mit sich. Darüber hinaus macht die Kombination der beiden Kontrollen in ISO 27002:2022 den Standard benutzerfreundlicher.

Wer ist für diesen Prozess verantwortlich?

Der Projektmanager (PM) ist dafür verantwortlich, dass die Informationssicherheit im Lebenszyklus jedes Projekts umgesetzt wird. Der Premierminister könnte es jedoch sinnvoll finden, einen zu konsultieren Informationssicherheitsbeauftragter (ISO) um zu entscheiden, welche Informationssicherheitsanforderungen für verschiedene Arten von Projekten erforderlich sind.



Compliance muss nicht kompliziert sein.

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Live-Demo anfordern


Was bedeuten diese Veränderungen für Sie?

Es gibt keine Änderungen an der ISO/IEC 27001-StandardDaher müssen bestehende ISMS nicht aktualisiert werden. Darüber hinaus gibt es eine Übergangsfrist von zwei Jahren, bevor Unternehmen den neuen Standard übernehmen müssen.

Aber weil Anhang A von ISO/IEC 27001 bis Ende 27002 mit den neuen ISO/IEC 2022-Kontrollen abgeglichen werden, wird empfohlen, die Aktivitäten basierend auf den derzeit verfügbaren Informationen zu den neuen ISO/IEC 27002-Kontrollen abzuschließen.

Organisationen können beispielsweise:

  • Werfen Sie einen Blick auf den Umfang ihres ISMS.
  • Aktualisieren Sie die Informationssicherheitsrichtlinie und alle anderen Regeln der Organisation, um sicherzustellen, dass die relevanten Referenzen und Kontrollen umgesetzt werden.
  • Stellen Sie sicher, dass Sie Ihre Position in Bezug auf neue Kontrollen und die neue Struktur des Standards verstehen, indem Sie eine Lückenbewertung durchführen.
  • Integrieren Sie die neuen Informationssicherheitskontrollen in Ihren Risikobewertungsansatz.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NEUBedrohungsinformationen
5.23NEUInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NEUIKT-Bereitschaft für Geschäftskontinuität
7.4NEUPhysische Sicherheitsüberwachung
8.9NEUKonfigurationsmanagement
8.10NEULöschung von Informationen
8.11NEUDatenmaskierung
8.12NEUVerhinderung von Datenlecks
8.16NEUÜberwachungsaktivitäten
8.23NEUWeb-Filter
8.28NEUSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NEUBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.1208.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.1709.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NEUInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NEUIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Schirmungsmaß
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NEUPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NEUKonfigurationsmanagement
8.10NEULöschung von Informationen
8.11NEUDatenmaskierung
8.12NEUVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NEUÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NEUWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NEUSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISMS.online, eine cloudbasierte Plattform für die ISO 27002-Implementierung, hilft Ihnen bei der einfachen und effektiven Verwaltung Ihrer Informationssicherheitsrisikomanagementprozesse.

Mit unserer cloudbasierten Plattform haben Sie Zugriff auf eine Bibliothek mit vorgefertigten Richtlinien, Verfahren, Arbeitsanweisungen und Formularen, die für Sie bereitstehen.

Das ISMS.online-Plattform bietet eine Reihe leistungsstarker Tools, die Ihnen die Dokumentation, Implementierung, Wartung und Verbesserung Ihres Informationssicherheits-Managementsystems (ISMS) und die Einhaltung von ISO 27002 erleichtern.

Das umfassende Paket an Tools bietet Ihnen einen zentralen Ort, an dem Sie maßgeschneiderte Richtlinien und Verfahren erstellen können, die auf Ihre Bedürfnisse abgestimmt sind spezifischen Risiken und Bedürfnissen der Organisation. Es ermöglicht auch die Zusammenarbeit zwischen Kollegen sowie externen Partnern wie Lieferanten oder externen Prüfern.

Durch den Einsatz einer Web-App, die speziell dafür entwickelt wurde, Unternehmen bei der Implementierung eines Informationssicherheits-Managementsystems (ISMS) auf Basis von ISO 27001 zu unterstützen, sparen Sie nicht nur Zeit, sondern erhöhen auch die Sicherheit Ihres Unternehmens.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Zum Thema springen

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

ISMS-Plattform-Tour

Interessiert an einem ISMS.online-Plattformrundgang?

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und erleben Sie die Magie von ISMS.online in Aktion!

Probieren Sie es kostenlos aus

Wir sind führend auf unserem Gebiet

Benutzer lieben uns
Leader Winter 2025
Leader Winter 2025 Vereinigtes Königreich
Bester ROI Winter 2025
Schnellste Umsetzung Winter 2025
Am umsetzbarsten im Winter 2025

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

-Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

-Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

-Ben H.

DORA ist da! Steigern Sie noch heute Ihre digitale Belastbarkeit mit unserer leistungsstarken neuen Lösung!