Hensikten med ISO 27001:2022 vedlegg A Kontroll 5.8 skal sikre at prosjektledelsen inkorporerer informasjonssikkerhetstiltak.
I henhold til ISO 27001:2022 har denne vedlegg A-kontrollen som mål å sikre at informasjonssikkerhetsrisiko knyttet til prosjekter og leveranser blir effektivt håndtert under prosjektledelsen.
Prosjektledelse og prosjektsikkerhet er sentrale hensyn.
Fordi mange prosjekter involverer oppdateringer av forretningsprosesser og systemer som påvirke informasjonssikkerheten, Vedlegg A Kontroll 5.8 dokumenterer krav til prosjektledelse.
Siden prosjekter kan spenne over flere avdelinger og organisasjoner, må vedlegg A kontroll 5.8-mål koordineres på tvers av interne og eksterne interessenter.
Som en retningslinje identifiserer vedlegg A-kontroller informasjonssikkerhetsproblemer i prosjekter og sikre løsningen gjennom hele prosjektets livssyklus.
Et sentralt aspekt ved prosjektledelse er informasjonssikkerhet, uavhengig av prosjekttype. Informasjonssikkerhet bør være forankret i strukturen i en organisasjon, og prosjektledelse spiller en nøkkelrolle i dette. En enkel, repeterbar sjekkliste som viser informasjonssikkerhet vurderes, anbefales for prosjekter som bruker malrammeverk.
Revisorer ser etter informasjonssikkerhetsbevissthet i alle stadier av prosjektets livssyklus. Dette bør også være en del av utdanningen og bevisstheten tilpasset HR-sikkerhet for A.6.6.
For å demonstrere samsvar med den generelle databeskyttelsesforordningen (GDPR) og Data Protection Act 2018, vil innovative organisasjoner innlemme A.5.8 med relaterte forpliktelser for personopplysninger og vurdere sikkerhet ved design, databeskyttelseskonsekvensvurderinger (DPIA) og lignende prosesser.
Krav til informasjonssikkerhet må inkluderes dersom nye informasjonssystemer utvikles eller eksisterende informasjonssystemer oppgraderes.
A.5.6 kan brukes sammen med A.5.8 som et informasjonssikkerhetstiltak. Den vil også vurdere verdien av informasjonen som er i fare, som kan samsvare med A.5.12s informasjonsklassifiseringsordning.
En risikovurdering bør gjennomføres hver gang et helt nytt system utvikles, eller det gjøres endringer i et eksisterende system. Dette for å fastsette forretningskravene til sikkerhetskontroller.
Som et resultat bør sikkerhetshensyn tas før man velger en løsning eller starter utviklingen av den. De riktige kravene bør identifiseres før et svar velges.
Sikkerhetskrav bør skisseres og avtales under anskaffelses- eller utviklingsprosessen for å tjene som referansepunkter.
Det er ikke god praksis å velge eller lage en løsning og deretter vurdere nivået av sikkerhetskapasitet senere. Resultatet er vanligvis høyere risiko og høyere kostnader. Det kan også resultere i problemer med gjeldende lovgivning, som f.eks GDPR, som oppmuntrer til en sikker designfilosofi og teknikker som Data Protection Privacy Impact Assessments (DPIA). National Cyber Security Center (NCSC) har på samme måte godkjent visse utviklingspraksis og kritiske prinsipper som retningslinjer for vurdering. ISO 27001 inkluderer også implementeringsveiledning. Dokumentasjon av eventuelle forskrifter som følges er nødvendig.
Det vil være revisors ansvar å sikre at sikkerhetshensyn blir vurdert i alle stadier av prosjektets livssyklus. Dette uavhengig av om prosjektet er for et nyutviklet system eller for å modifisere et eksisterende system.
I tillegg vil de forvente at konfidensialitet, integritet og tilgjengelighet vurderes før valg- eller utviklingsprosessen starter.
Du kan finne mer informasjon om ISO 27001-krav og vedlegg A-kontroller i ISMS.online Virtual Coach, som utfyller våre rammeverk, verktøy og policymateriale.
Bestill en 30 minutters prat med oss, så viser vi deg hvordan
Det økende antallet virksomheter som driver sine aktiviteter på nett har økt viktigheten av informasjonssikkerhet i prosjektledelse. Som et resultat står prosjektledere overfor et økende antall ansatte som jobber utenfor kontoret og bruker sine personlige enheter på jobb.
Å lage en sikkerhetspolicy for virksomheten din vil tillate deg å minimere risikoen for brudd eller tap av data. I tillegg vil du til enhver tid kunne produsere nøyaktige rapporter om prosjektstatus og økonomi.
Som en del av prosjektplanleggings- og gjennomføringsprosessen bør informasjonssikkerhet inkluderes på følgende måter:
Nøkkelen til å holde forretningsprosjektene dine sikre er å sikre at prosjektlederne forstår viktigheten av informasjonssikkerhet og overholder den i sine plikter.
Integrasjon av informasjonssikkerhet inn i prosjektledelse er avgjørende siden det lar organisasjoner identifisere, evaluere og adressere sikkerhetsrisikoer.
Tenk på eksemplet med en organisasjon som implementerer et mer sofistikert produktutviklingssystem.
Et nyutviklet produktutviklingssystem kan vurderes for informasjonssikkerhetsrisikoer, inkludert uautorisert utlevering av proprietær selskapsinformasjon. Det kan tas skritt for å redusere disse risikoene.
For å overholde revidert ISO 27001:2022, bør informasjonssikkerhetslederen samarbeide med prosjektlederen for å identifisere, vurdere og adressere informasjonssikkerhetsrisikoer som en del av prosjektstyringsprosessen for å oppfylle kravene i den reviderte ISO 27001:2022. Prosjektledelsen bør integrere informasjonssikkerhet slik at det ikke er noe som er gjort «mot» prosjektet, men noe som er «en del av prosjektet».
I henhold til vedlegg A, kontroll 5.8, bør prosjektstyringssystemet kreve følgende:
Alle prosjekter, uavhengig av kompleksitet, størrelse, varighet, disiplin eller bruksområde, inkludert IKT-utviklingsprosjekter, bør evalueres for informasjonssikkerhetskrav av prosjektlederen (PM). Informasjonssikkerhetsledere bør forstå informasjonssikkerhetspolicyen og relaterte prosedyrer og viktigheten av informasjonssikkerhet.
Den reviderte ISO 27001:2022 inneholder flere detaljer om implementeringsretningslinjene.
In ISO 27001: 2022, har implementeringsveiledningen for informasjonssikkerhet i prosjektledelse blitt revidert for å gjenspeile flere presiseringer enn i ISO 27001:2013. I henhold til ISO 27001:2013 bør enhver prosjektleder kjenne til tre punkter knyttet til informasjonssikkerhet. Dette er imidlertid utvidet til fire punkter i ISO 27001:2022.
Kontroll 5.8 i vedlegg A til ISO 27001:2022 er ikke ny, men en kombinasjon av kontroller 6.1.5 og 14.1.1 i ISO 27001:2013.
Informasjonssikkerhetsrelaterte krav til nyutviklede eller forbedrede informasjonssystemer er omtalt i vedlegg A Kontroll 14.1.1 i ISO 27001:2013.
Vedlegg A kontroll 14.1.1 implementeringsretningslinjer ligner kontroll 5.8, som omhandler å sikre at arkitektur og utforming av informasjonssystemer er beskyttet mot kjente trusler innenfor driftsmiljøet.
Til tross for at det ikke er en ny kontroll, bringer vedlegg A kontroll 5.8 noen betydelige endringer i standarden. Dessuten gjør kombinasjonen av de to kontrollene standarden mer brukervennlig.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
For å sikre at informasjonssikkerhet implementeres gjennom hele livssyklusen til hvert prosjekt, er prosjektlederen ansvarlig.
Likevel kan statsministeren finne det nyttig å rådføre seg med en informasjonssikkerhetsansvarlig (ISO) for å finne ut hvilke informasjonssikkerhetskrav som er nødvendige for hvert prosjekt.
Ved å bruke ISMS.online kan du administrere dine prosesser for risikostyring av informasjonssikkerhet effektivt og effektivt.
Gjennom ISMS.online plattform, kan du få tilgang til ulike kraftige verktøy utviklet for å forenkle prosessen med å dokumentere, implementere, vedlikeholde og forbedre styringssystemet for informasjonssikkerhet (ISMS) og oppnå samsvar med ISO 27001.
Det er mulig å lage et skreddersydd sett med retningslinjer og prosedyrer ved å bruke den omfattende pakken med verktøy som tilbys av selskapet. Disse retningslinjene og praksisene vil bli skreddersydd for å møte organisasjonens spesifikke risikoer og behov. Dessuten, plattformen vår tillater samarbeid mellom kolleger og eksterne partnere, inkludert leverandører og tredjepartsrevisorer.
I tillegg til DPIA og andre relaterte persondatavurderinger, f.eks. Legitimate Interest Assessments (LIA), gir ISMS.online enkle, praktiske rammer og maler for informasjonssikkerhet i prosjektledelse.
Til planlegg en demonstrasjon, vennligst ta kontakt med oss i dag.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din