ISO 27001:2022 Vedlegg A Kontroll 5.8

Informasjonssikkerhet i prosjektledelse

Bestill en demonstrasjon

silhuetter,av,mennesker,sittende,ved,bordet.,et,team,av

Hva er formålet med ISO 27001:2022 vedlegg A 5.8?

Hensikten med ISO 27001:2022 vedlegg A Kontroll 5.8 skal sikre at prosjektledelsen inkorporerer informasjonssikkerhetstiltak.

I henhold til ISO 27001:2022 har denne vedlegg A-kontrollen som mål å sikre at informasjonssikkerhetsrisiko knyttet til prosjekter og leveranser blir effektivt håndtert under prosjektledelsen.

Prosjektledelse og prosjektsikkerhet er sentrale hensyn.

Fordi mange prosjekter involverer oppdateringer av forretningsprosesser og systemer som påvirke informasjonssikkerheten, Vedlegg A Kontroll 5.8 dokumenterer krav til prosjektledelse.

Siden prosjekter kan spenne over flere avdelinger og organisasjoner, må vedlegg A kontroll 5.8-mål koordineres på tvers av interne og eksterne interessenter.

Som en retningslinje identifiserer vedlegg A-kontroller informasjonssikkerhetsproblemer i prosjekter og sikre løsningen gjennom hele prosjektets livssyklus.

Håndtere informasjonssikkerhet i prosjekter

Et sentralt aspekt ved prosjektledelse er informasjonssikkerhet, uavhengig av prosjekttype. Informasjonssikkerhet bør være forankret i strukturen i en organisasjon, og prosjektledelse spiller en nøkkelrolle i dette. En enkel, repeterbar sjekkliste som viser informasjonssikkerhet vurderes, anbefales for prosjekter som bruker malrammeverk.

Revisorer ser etter informasjonssikkerhetsbevissthet i alle stadier av prosjektets livssyklus. Dette bør også være en del av utdanningen og bevisstheten tilpasset HR-sikkerhet for A.6.6.

For å demonstrere samsvar med den generelle databeskyttelsesforordningen (GDPR) og Data Protection Act 2018, vil innovative organisasjoner innlemme A.5.8 med relaterte forpliktelser for personopplysninger og vurdere sikkerhet ved design, databeskyttelseskonsekvensvurderinger (DPIA) og lignende prosesser.

Analysere og spesifisere informasjonssikkerhetskrav

Krav til informasjonssikkerhet må inkluderes dersom nye informasjonssystemer utvikles eller eksisterende informasjonssystemer oppgraderes.

A.5.6 kan brukes sammen med A.5.8 som et informasjonssikkerhetstiltak. Den vil også vurdere verdien av informasjonen som er i fare, som kan samsvare med A.5.12s informasjonsklassifiseringsordning.

En risikovurdering bør gjennomføres hver gang et helt nytt system utvikles, eller det gjøres endringer i et eksisterende system. Dette for å fastsette forretningskravene til sikkerhetskontroller.

Som et resultat bør sikkerhetshensyn tas før man velger en løsning eller starter utviklingen av den. De riktige kravene bør identifiseres før et svar velges.

Sikkerhetskrav bør skisseres og avtales under anskaffelses- eller utviklingsprosessen for å tjene som referansepunkter.

Det er ikke god praksis å velge eller lage en løsning og deretter vurdere nivået av sikkerhetskapasitet senere. Resultatet er vanligvis høyere risiko og høyere kostnader. Det kan også resultere i problemer med gjeldende lovgivning, som f.eks GDPR, som oppmuntrer til en sikker designfilosofi og teknikker som Data Protection Privacy Impact Assessments (DPIA). National Cyber ​​Security Center (NCSC) har på samme måte godkjent visse utviklingspraksis og kritiske prinsipper som retningslinjer for vurdering. ISO 27001 inkluderer også implementeringsveiledning. Dokumentasjon av eventuelle forskrifter som følges er nødvendig.

Det vil være revisors ansvar å sikre at sikkerhetshensyn blir vurdert i alle stadier av prosjektets livssyklus. Dette uavhengig av om prosjektet er for et nyutviklet system eller for å modifisere et eksisterende system.

I tillegg vil de forvente at konfidensialitet, integritet og tilgjengelighet vurderes før valg- eller utviklingsprosessen starter.

Du kan finne mer informasjon om ISO 27001-krav og vedlegg A-kontroller i ISMS.online Virtual Coach, som utfyller våre rammeverk, verktøy og policymateriale.

Gå til emnet

Viktigheten av informasjonssikkerhet i prosjektledelse

Det økende antallet virksomheter som driver sine aktiviteter på nett har økt viktigheten av informasjonssikkerhet i prosjektledelse. Som et resultat står prosjektledere overfor et økende antall ansatte som jobber utenfor kontoret og bruker sine personlige enheter på jobb.

Å lage en sikkerhetspolicy for virksomheten din vil tillate deg å minimere risikoen for brudd eller tap av data. I tillegg vil du til enhver tid kunne produsere nøyaktige rapporter om prosjektstatus og økonomi.

Som en del av prosjektplanleggings- og gjennomføringsprosessen bør informasjonssikkerhet inkluderes på følgende måter:

  • Definer informasjonssikkerhetskravene for prosjektet, ta hensyn til forretningsbehov og juridiske krav.

  • Informasjonssikkerhetstrusler bør være vurderes med tanke på deres risikopåvirkning.

  • For å håndtere risikopåvirkninger, implementer passende kontroller og prosesser.

  • Sørg for at disse kontrollene overvåkes og rapporteres regelmessig.

Nøkkelen til å holde forretningsprosjektene dine sikre er å sikre at prosjektlederne forstår viktigheten av informasjonssikkerhet og overholder den i sine plikter.

Hvordan oppfylle kravene og hva som er involvert

Integrasjon av informasjonssikkerhet inn i prosjektledelse er avgjørende siden det lar organisasjoner identifisere, evaluere og adressere sikkerhetsrisikoer.

Tenk på eksemplet med en organisasjon som implementerer et mer sofistikert produktutviklingssystem.

Et nyutviklet produktutviklingssystem kan vurderes for informasjonssikkerhetsrisikoer, inkludert uautorisert utlevering av proprietær selskapsinformasjon. Det kan tas skritt for å redusere disse risikoene.

For å overholde revidert ISO 27001:2022, bør informasjonssikkerhetslederen samarbeide med prosjektlederen for å identifisere, vurdere og adressere informasjonssikkerhetsrisikoer som en del av prosjektstyringsprosessen for å oppfylle kravene i den reviderte ISO 27001:2022. Prosjektledelsen bør integrere informasjonssikkerhet slik at det ikke er noe som er gjort «mot» prosjektet, men noe som er «en del av prosjektet».

I henhold til vedlegg A, kontroll 5.8, bør prosjektstyringssystemet kreve følgende:

  • Informasjonssikkerhetsrisikoer vurderes og adresseres tidlig og periodisk gjennom hele prosjektets livssyklus.

  • Sikkerhetskrav må ivaretas tidlig i prosjektutviklingsprosessen, for eksempel krav til applikasjonssikkerhet (8.26), krav til etterlevelse av immaterielle rettigheter (5.32) mv.

  • Som en del av prosjektets livssyklus vurderes og adresseres informasjonssikkerhetsrisikoer knyttet til prosjektgjennomføring. Disse inkluderer sikkerheten til interne og eksterne kommunikasjonskanaler.

  • Det gjennomføres en evaluering og testing av effektiviteten av behandlingen av informasjonssikkerhetsrisikoer.

Alle prosjekter, uavhengig av kompleksitet, størrelse, varighet, disiplin eller bruksområde, inkludert IKT-utviklingsprosjekter, bør evalueres for informasjonssikkerhetskrav av prosjektlederen (PM). Informasjonssikkerhetsledere bør forstå informasjonssikkerhetspolicyen og relaterte prosedyrer og viktigheten av informasjonssikkerhet.

Den reviderte ISO 27001:2022 inneholder flere detaljer om implementeringsretningslinjene.

Hva er endringene og forskjellene fra ISO 27001:2013?

In ISO 27001: 2022, har implementeringsveiledningen for informasjonssikkerhet i prosjektledelse blitt revidert for å gjenspeile flere presiseringer enn i ISO 27001:2013. I henhold til ISO 27001:2013 bør enhver prosjektleder kjenne til tre punkter knyttet til informasjonssikkerhet. Dette er imidlertid utvidet til fire punkter i ISO 27001:2022.

Kontroll 5.8 i vedlegg A til ISO 27001:2022 er ikke ny, men en kombinasjon av kontroller 6.1.5 og 14.1.1 i ISO 27001:2013.

Informasjonssikkerhetsrelaterte krav til nyutviklede eller forbedrede informasjonssystemer er omtalt i vedlegg A Kontroll 14.1.1 i ISO 27001:2013.

Vedlegg A kontroll 14.1.1 implementeringsretningslinjer ligner kontroll 5.8, som omhandler å sikre at arkitektur og utforming av informasjonssystemer er beskyttet mot kjente trusler innenfor driftsmiljøet.

Til tross for at det ikke er en ny kontroll, bringer vedlegg A kontroll 5.8 noen betydelige endringer i standarden. Dessuten gjør kombinasjonen av de to kontrollene standarden mer brukervennlig.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvem har ansvaret for ISO 27001:2022 vedlegg A 5.8?

For å sikre at informasjonssikkerhet implementeres gjennom hele livssyklusen til hvert prosjekt, er prosjektlederen ansvarlig.

Likevel kan statsministeren finne det nyttig å rådføre seg med en informasjonssikkerhetsansvarlig (ISO) for å finne ut hvilke informasjonssikkerhetskrav som er nødvendige for hvert prosjekt.

Hvordan ISMS.online hjelper

Ved å bruke ISMS.online kan du administrere dine prosesser for risikostyring av informasjonssikkerhet effektivt og effektivt.

Gjennom ISMS.online plattform, kan du få tilgang til ulike kraftige verktøy utviklet for å forenkle prosessen med å dokumentere, implementere, vedlikeholde og forbedre styringssystemet for informasjonssikkerhet (ISMS) og oppnå samsvar med ISO 27001.

Det er mulig å lage et skreddersydd sett med retningslinjer og prosedyrer ved å bruke den omfattende pakken med verktøy som tilbys av selskapet. Disse retningslinjene og praksisene vil bli skreddersydd for å møte organisasjonens spesifikke risikoer og behov. Dessuten, plattformen vår tillater samarbeid mellom kolleger og eksterne partnere, inkludert leverandører og tredjepartsrevisorer.

I tillegg til DPIA og andre relaterte persondatavurderinger, f.eks. Legitimate Interest Assessments (LIA), gir ISMS.online enkle, praktiske rammer og maler for informasjonssikkerhet i prosjektledelse.

Til planlegg en demonstrasjon, vennligst ta kontakt med oss ​​i dag.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer