Kontroll 5.8 dekker behovet for organisasjoner for å sikre det informasjonssikkerhet er integrert i prosjektledelsen.
Informasjonssikkerhet, noen ganger forkortet til Infosec, er praksisen med å forsvare informasjon mot uautorisert tilgang, bruk, avsløring, forstyrrelse, modifikasjon, gjennomlesing, inspeksjon, opptak eller ødeleggelse. Det er et generelt begrep som kan brukes uavhengig av formen dataene kan ha (f.eks. elektronisk, fysisk).
Informasjonssikkerhets primære fokus er balansert beskyttelse av konfidensialitet, integritet og tilgjengelighet til data (også kjent som CIA-triaden) samtidig som man opprettholder fokus på effektiv policyimplementering, alt uten å hemme organisasjonens produktivitet.
Feltet dekker alle prosesser og mekanismer som gjør digitalt utstyr, informasjon og tjenester beskyttet mot utilsiktet eller uautorisert tilgang, endring eller ødeleggelse. Proffene innen informasjonssikkerhet er ansatt i mange forskjellige bransjer - fra finans til myndigheter til helsevesen til akademikere og fra små enpersonsbedrifter til store multinasjonale organisasjoner.
Prosjektledelse er en stor del av virksomheten. Det handler om å planlegge, organisere og administrere ressurser for å fullføre et bestemt mål.
Prosjektledelse fokuserer på et prosjekt, som er et identifisert stykke arbeid som krever innspill fra ulike personer eller grupper for å produsere spesifikke resultater.
I utgangspunktet går det ut på å bestemme målet for prosjektet og dele det inn i flere deloppgaver. En prosjektleder jobber deretter sammen med teamet for å fullføre hver oppgave i tide til det overordnede målet er fullført.
Prosjektledelse kan høres ut som noe bare et stort selskap trenger. Men det er verdifullt for enhver form for virksomhet. Tross alt har selv små bedrifter prosjekter de trenger for å fullføre.
Ettersom flere og flere virksomheter håndterer sine aktiviteter på nett, er det ingen overraskelse at informasjonssikkerhet i prosjektledelse har blitt et hett tema. Prosjektledere har å gjøre med et økende antall personer som jobber utenfor kontoret, samt ansatte som bruker sine personlige enheter til jobbformål.
Ved å lage en sikkerhetspolicy for virksomheten din, vil du kunne minimere risikoen for et brudd eller tap av data og sikre at du er i stand til å produsere nøyaktige rapporter om prosjektstatus og økonomi til enhver tid.
Den beste måten å inkludere informasjonssikkerhet i prosjekterings- og gjennomføringsprosessen er å:
For å beskytte forretningsprosjektene dine må du sørge for at alt prosjektledere er bevisste på informasjonssikkerhet og følge den mens de fullfører arbeidet.
Kontroller klassifiseres ved hjelp av attributter. Ved å bruke disse kan du raskt matche kontrollutvalget ditt med ofte brukte bransjetermer og spesifikasjoner. I kontroll 5.8 er attributtene:
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifiser #Beskytt | #Styresett | #Governance and Ecosystem #Beskyttelse |
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
Hensikten med dette kontroll i henhold til ISO 27002:2022 er å sikre informasjonssikkerhet risiko knyttet til prosjekter og leveranser håndteres effektivt i prosjektledelsen gjennom hele prosjektets livssyklus.
Informasjonssikkerhet er et sentralt hensyn for prosjektledelse og prosjekter.
Kontroll 5.8 dekker kontroll, formål og implementeringsveiledning for integrering av informasjonssikkerhet i prosjektledelse i henhold til rammeverket som definert av ISO 27001.
Kontroll 5.8 forstår at prosjektledelse krever koordinering av ressurser, inkludert informasjonsressurser, for å oppnå et definert forretningsmål. Dette er fordi prosjekter ofte inkluderer nye forretningsprosesser og systemer, som har informasjonssikkerhetsimplikasjoner.
Prosjekter kan også spenne over flere avdelinger og organisasjoner, noe som betyr at kontroll 5.8-mål, som handler om å sikre at riktige informasjonssikkerhetsprotokoller er på plass, må koordineres på tvers av interne og eksterne interessenter.
Denne kontrollen kan sees på som en retningslinje som identifiserer informasjonssikkerhetsproblemer i prosjekter, og sikrer at disse problemene blir adressert gjennom hele prosjektets livssyklus.
Det er viktig å integrere informasjonssikkerhet i prosjektledelsen fordi dette gir mulighet for organisasjoner til å sikre at informasjonssikkerhetsrisikoer blir identifisert, evaluert og adressert som en del av prosjektledelsen.
For eksempel, hvis en organisasjon ønsker å implementere et nytt produktutviklingssystem, kan de identifisere informasjonssikkerhetsrisikoen knyttet til et nytt produktutviklingssystem – for eksempel uautorisert avsløring av proprietær selskapsinformasjon – og ta skritt for å redusere disse risikoene.
Derfor, for å oppfylle kravene til ny ISO 27002:2022, bør informasjonssikkerhetslederen samarbeide med prosjektlederen for å sikre at informasjonssikkerhetsrisikoen blir identifisert, vurdert og adressert som en del av prosjektledelsesprosessene. Informasjonssikkerhet bør integreres i prosjektledelsen slik at det er en «del av prosjektet» i stedet for noe som gjøres «til prosjektet».
I henhold til kontroll 5.8 skal prosjektledelsen i bruk kreve at:
Prosjektlederen (PM) bør fastsette kravene til informasjonssikkerhet for alle typer prosjekter, uavhengig av kompleksitet, størrelse, varighet, disiplin eller bruksområde, ikke bare IKT-utviklingsprosjekter. PMs bør være klar over Informasjonssikkerhetspolicy og relaterte prosedyrer, og viktigheten av informasjonssikkerhet.
Flere detaljer om implementeringsretningslinjene finnes i den reviderte ISO 27002:2022.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Siden migreringen har vi vært i stand til å redusere tiden brukt på administrasjon.
Informasjonssikkerhet i prosjektledelse ble revidert i ISO 27002:2022 for å gjenspeile flere avklaringer i implementeringsveiledningen sammenlignet med ISO 27002:2013. For eksempel, i ISO 27002:2013 er det 3 punkter som enhver prosjektleder bør vite da det påvirker informasjonssikkerheten. Men i 2022-versjonen ble dette utvidet til 4 poeng.
Kontroll 5.8 i ISO 27002:2022 er heller ikke en ny kontroll, snarere er det en kombinasjon av kontrollene 6.1.5 og 14.1.1 i ISO 27002:2013.
Kontroll 14.1.1 i ISO 27002: 2013 snakker om informasjonssikkerhetsrelaterte krav til nye informasjonssystemer eller forbedringer av eksisterende informasjonssystemer. Implementeringsretningslinjene for kontroll 14.1.1 ligner avsnittet i kontroll 5.8 som snakker om å sikre at arkitektur og utforming av informasjonssystemer er beskyttet mot kjente trusler basert på driftsmiljøet.
Kontroll 5.8, selv om det ikke er en ny kontroll, bringer noen viktige endringer i standarden. I tillegg gjør å kombinere de to kontrollene i ISO 27002:2022 standarden mer brukervennlig.
Prosjektlederen (PM) er ansvarlig for å sikre at informasjonssikkerhet implementeres i livssyklusen til hvert prosjekt. Imidlertid kan statsministeren finne det nyttig å konsultere en Informasjonssikkerhetsansvarlig (ISO) å bestemme hvilke krav til informasjonssikkerhet som er nødvendig for ulike typer prosjekter.
Det er ingen endringer i ISO/IEC 27001 standard, og eksisterende ISMS trenger derfor ikke å oppdateres. Dessuten er det en frist på to år før organisasjoner må omfavne den nye standarden.
Imidlertid fordi Vedlegg A til ISO/IEC 27001 vil bli matchet med de nye ISO/IEC 27002-kontrollene innen utgangen av 2022, anbefales det at aktiviteter basert på informasjonen som for øyeblikket er tilgjengelig om de nye ISO/IEC 27002-kontrollene fullføres.
For eksempel kan organisasjoner:
En skybasert plattform for ISO 27002-implementering, ISMS.online, hjelper deg med å administrere dine risikostyringsprosesser for informasjonssikkerhet enkelt og effektivt.
Med vår skybaserte plattform vil du ha tilgang til et bibliotek med forhåndsskrevne retningslinjer, prosedyrer, arbeidsinstruksjoner og skjemaer klare for deg.
De ISMS.online plattform tilbyr en rekke kraftige verktøy som forenkler måten du kan dokumentere, implementere, vedlikeholde og forbedre styringssystemet for informasjonssikkerhet (ISMS) og oppnå samsvar med ISO 27002.
Den omfattende pakken med verktøy gir deg ett sentralt sted hvor du kan lage et skreddersydd sett med retningslinjer og prosedyrer som stemmer overens med dine organisasjonens spesifikke risikoer og behov. Det åpner også for samarbeid mellom kolleger så vel som eksterne partnere som leverandører eller tredjepartsrevisorer.
Ved å bruke en nettapp spesielt utviklet for å hjelpe bedrifter med å implementere et styringssystem for informasjonssikkerhet (ISMS) basert på ISO 27001, sparer du ikke bare tid, men øker også sikkerheten til organisasjonen din.
Ta kontakt i dag for å bestill en demo.
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
