Hopp til innhold
ISMS.online

ISO 27002:2022 – Kontroll 5.8 – Informasjonssikkerhet i prosjektledelse

ISO 27002:2022 Control 5.8 krever å integrere informasjonssikkerhet i prosjektledelsen ved å identifisere risikoer, implementere kontroller og sikre kontinuerlig overvåking gjennom prosjektets livssyklus. Den konsoliderer tidligere sikkerhetskontroller for å forbedre koordinering og effektivitet på tvers av interessenter.

Forfatter
Sam Peters
Oppdatert juli 25, 2025
4/5 stjerner

Hva er Kontroll 5.8 – Informasjonssikkerhet i prosjektledelse?

Kontroll 5.8 dekker behovet for organisasjoner for å sikre det informasjonssikkerhet er integrert i prosjektledelsen.

Informasjonssikkerhet forklart

Informasjonssikkerhet, noen ganger forkortet til Infosec, er praksisen med å forsvare informasjon mot uautorisert tilgang, bruk, avsløring, forstyrrelse, modifikasjon, gjennomlesing, inspeksjon, opptak eller ødeleggelse. Det er et generelt begrep som kan brukes uavhengig av formen dataene kan ha (f.eks. elektronisk, fysisk).

Informasjonssikkerhets primære fokus er balansert beskyttelse av konfidensialitet, integritet og tilgjengelighet til data (også kjent som CIA-triaden) samtidig som man opprettholder fokus på effektiv policyimplementering, alt uten å hemme organisasjonens produktivitet.

Feltet dekker alle prosesser og mekanismer som gjør digitalt utstyr, informasjon og tjenester beskyttet mot utilsiktet eller uautorisert tilgang, endring eller ødeleggelse. Proffene innen informasjonssikkerhet er ansatt i mange forskjellige bransjer - fra finans til myndigheter til helsevesen til akademikere og fra små enpersonsbedrifter til store multinasjonale organisasjoner.

Prosjektledelse forklart

Prosjektledelse er en stor del av virksomheten. Det handler om å planlegge, organisere og administrere ressurser for å fullføre et bestemt mål.

Prosjektledelse fokuserer på et prosjekt, som er et identifisert stykke arbeid som krever innspill fra ulike personer eller grupper for å produsere spesifikke resultater.

I utgangspunktet går det ut på å bestemme målet for prosjektet og dele det inn i flere deloppgaver. En prosjektleder jobber deretter sammen med teamet for å fullføre hver oppgave i tide til det overordnede målet er fullført.

Prosjektledelse kan høres ut som noe bare et stort selskap trenger. Men det er verdifullt for enhver form for virksomhet. Tross alt har selv små bedrifter prosjekter de trenger for å fullføre.

Informasjonssikkerhet i prosjektledelse

Ettersom flere og flere virksomheter håndterer sine aktiviteter på nett, er det ingen overraskelse at informasjonssikkerhet i prosjektledelse har blitt et hett tema. Prosjektledere har å gjøre med et økende antall personer som jobber utenfor kontoret, samt ansatte som bruker sine personlige enheter til jobbformål.

Ved å lage en sikkerhetspolicy for virksomheten din, vil du kunne minimere risikoen for et brudd eller tap av data og sikre at du er i stand til å produsere nøyaktige rapporter om prosjektstatus og økonomi til enhver tid.

Den beste måten å inkludere informasjonssikkerhet i prosjekterings- og gjennomføringsprosessen er å:

  • Definer informasjonssikkerhetskravene for prosjektet, inkludert forretningsbehov og juridiske forpliktelser.
  • Vurder risikopåvirkningene fra informasjonssikkerhet trusler.
  • Administrer risikopåvirkningene ved å implementere passende kontroller og prosesser.
  • Overvåke og rapportere om effektiviteten til disse kontrollene.

For å beskytte forretningsprosjektene dine må du sørge for at alt prosjektledere er bevisste på informasjonssikkerhet og følge den mens de fullfører arbeidet.



ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Et forsprang på 81 % fra dag én

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG


Attributttabell for kontroll 5.8

Kontroller klassifiseres ved hjelp av attributter. Ved å bruke disse kan du raskt matche kontrollutvalget ditt med ofte brukte bransjetermer og spesifikasjoner. I kontroll 5.8 er attributtene:

Kontrolltype Informasjonssikkerhetsegenskaper Konsepter for cybersikkerhet Operasjonelle evner Sikkerhetsdomener
#Forebyggende #Konfidensialitet #Identifisere #Styresett #Governance og økosystem
#Integritet #Beskytte #Beskyttelse
#Tilgjengelighet

Hva er hensikten med kontroll 5.8?

Hensikten med dette kontroll i henhold til ISO 27002:2022 er å sikre informasjonssikkerhet risiko knyttet til prosjekter og leveranser håndteres effektivt i prosjektledelsen gjennom hele prosjektets livssyklus.

Informasjonssikkerhet er et sentralt hensyn for prosjektledelse og prosjekter.

Kontroll 5.8 dekker kontroll, formål og implementeringsveiledning for integrering av informasjonssikkerhet i prosjektledelse i henhold til rammeverket som definert av ISO 27001.

Kontroll 5.8 forstår at prosjektledelse krever koordinering av ressurser, inkludert informasjonsressurser, for å oppnå et definert forretningsmål. Dette er fordi prosjekter ofte inkluderer nye forretningsprosesser og systemer, som har informasjonssikkerhetsimplikasjoner.

Prosjekter kan også spenne over flere avdelinger og organisasjoner, noe som betyr at kontroll 5.8-mål, som handler om å sikre at riktige informasjonssikkerhetsprotokoller er på plass, må koordineres på tvers av interne og eksterne interessenter.

Denne kontrollen kan sees på som en retningslinje som identifiserer informasjonssikkerhetsproblemer i prosjekter, og sikrer at disse problemene blir adressert gjennom hele prosjektets livssyklus.

Hva er involvert og hvordan du oppfyller kravene

Det er viktig å integrere informasjonssikkerhet i prosjektledelsen fordi dette gir mulighet for organisasjoner til å sikre at informasjonssikkerhetsrisikoer blir identifisert, evaluert og adressert som en del av prosjektledelsen.

For eksempel, hvis en organisasjon ønsker å implementere et nytt produktutviklingssystem, kan de identifisere informasjonssikkerhetsrisikoen knyttet til et nytt produktutviklingssystem – for eksempel uautorisert avsløring av proprietær selskapsinformasjon – og ta skritt for å redusere disse risikoene.

Derfor, for å oppfylle kravene til ny ISO 27002:2022, bør informasjonssikkerhetslederen samarbeide med prosjektlederen for å sikre at informasjonssikkerhetsrisikoen blir identifisert, vurdert og adressert som en del av prosjektledelsesprosessene. Informasjonssikkerhet bør integreres i prosjektledelsen slik at det er en «del av prosjektet» i stedet for noe som gjøres «til prosjektet».

I henhold til kontroll 5.8 skal prosjektledelsen i bruk kreve at:

  • informasjonssikkerhetsrisikoer vurderes og behandles på et tidlig stadium og periodisk som en del av prosjektrisiko gjennom hele prosjektets livssyklus.
  • informasjonssikkerhetskrav [f.eks. krav til applikasjonssikkerhet (8.26), krav til overholdelse av immaterielle rettigheter (5.32), etc.] tas opp i de tidlige stadiene av
    prosjekter.
  • informasjonssikkerhetsrisiko knyttet til gjennomføring av prosjekter, som sikkerhet for interne og eksterne kommunikasjonsaspekter, vurderes og behandles gjennom hele prosjektets livssyklus.
  • fremdriften i behandling av informasjonssikkerhetsrisiko vurderes og effektiviteten av behandlingen evalueres og testes.

Prosjektlederen (PM) bør fastsette kravene til informasjonssikkerhet for alle typer prosjekter, uavhengig av kompleksitet, størrelse, varighet, disiplin eller bruksområde, ikke bare IKT-utviklingsprosjekter. PMs bør være klar over Informasjonssikkerhetspolicy og relaterte prosedyrer, og viktigheten av informasjonssikkerhet.

Flere detaljer om implementeringsretningslinjene finnes i den reviderte ISO 27002:2022.



ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Administrer all samsvarskontroll, alt på ett sted

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din


Forskjeller mellom ISO 27002:2013 og ISO 27002:2022

Informasjonssikkerhet i prosjektledelse ble revidert i ISO 27002:2022 for å gjenspeile flere avklaringer i implementeringsveiledningen sammenlignet med ISO 27002:2013. For eksempel, i ISO 27002:2013 er det 3 punkter som enhver prosjektleder bør vite da det påvirker informasjonssikkerheten. Men i 2022-versjonen ble dette utvidet til 4 poeng.

Kontroll 5.8 i ISO 27002:2022 er heller ikke en ny kontroll, snarere er det en kombinasjon av kontrollene 6.1.5 og 14.1.1 i ISO 27002:2013.

Kontroll 14.1.1 i ISO 27002: 2013 snakker om informasjonssikkerhetsrelaterte krav til nye informasjonssystemer eller forbedringer av eksisterende informasjonssystemer. Implementeringsretningslinjene for kontroll 14.1.1 ligner avsnittet i kontroll 5.8 som snakker om å sikre at arkitektur og utforming av informasjonssystemer er beskyttet mot kjente trusler basert på driftsmiljøet.

Kontroll 5.8, selv om det ikke er en ny kontroll, bringer noen viktige endringer i standarden. I tillegg gjør å kombinere de to kontrollene i ISO 27002:2022 standarden mer brukervennlig.

Hvem er ansvarlig for denne prosessen?

Prosjektlederen (PM) er ansvarlig for å sikre at informasjonssikkerhet implementeres i livssyklusen til hvert prosjekt. Imidlertid kan statsministeren finne det nyttig å konsultere en Informasjonssikkerhetsansvarlig (ISO) å bestemme hvilke krav til informasjonssikkerhet som er nødvendig for ulike typer prosjekter.



klatring

Frigjør deg fra et fjell av regneark

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din


Hva betyr disse endringene for deg?

Det er ingen endringer i ISO/IEC 27001 standard, og eksisterende ISMS trenger derfor ikke å oppdateres. Dessuten er det en frist på to år før organisasjoner må omfavne den nye standarden.

Imidlertid fordi Vedlegg A til ISO/IEC 27001 vil bli matchet med de nye ISO/IEC 27002-kontrollene innen utgangen av 2022, anbefales det at aktiviteter basert på informasjonen som for øyeblikket er tilgjengelig om de nye ISO/IEC 27002-kontrollene fullføres.

For eksempel kan organisasjoner:

  • Ta en titt på omfanget av deres ISMS.
  • Oppdater organisasjonens informasjonssikkerhetspolicy og alle andre regler for å sikre at relevante referanser og kontroller implementeres.
  • Sørg for å forstå din posisjon i forhold til nye kontroller og standardens nye struktur ved å gjøre en gapvurdering.
  • Inkluder de nye informasjonssikkerhetskontrollene i din risikovurderingsmetode.

Nye ISO 27002 kontroller

Nye kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.7 NEW Trusselintelligens
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.30 NEW IKT-beredskap for forretningskontinuitet
7.4 NEW Fysisk sikkerhetsovervåking
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.16 NEW Overvåking av aktiviteter
8.23 NEW Web-filtrering
8.28 NEW Sikker koding
Organisasjonskontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.1 05.1.1, 05.1.2 Retningslinjer for informasjonssikkerhet
5.2 06.1.1 Informasjonssikkerhetsroller og ansvar
5.3 06.1.2 Ansvarsfordeling
5.4 07.2.1 Lederansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med interessegrupper
5.7 NEW Trusselintelligens
5.8 06.1.5, 14.1.1 Informasjonssikkerhet i prosjektledelse
5.9 08.1.1, 08.1.2 Inventar av informasjon og andre tilhørende eiendeler
5.10 08.1.3, 08.2.3 Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11 08.1.4 Retur av eiendeler
5.12 08.2.1 Klassifisering av informasjon
5.13 08.2.2 Merking av informasjon
5.14 13.2.1, 13.2.2, 13.2.3 Informasjonsoverføring
5.15 09.1.1, 09.1.2 Adgangskontroll
5.16 09.2.1 Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformasjon
5.18 09.2.2, 09.2.5, 09.2.6 Tilgangsrettigheter
5.19 15.1.1 Informasjonssikkerhet i leverandørforhold
5.20 15.1.2 Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21 15.1.3 Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22 15.2.1, 15.2.2 Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.24 16.1.1 Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25 16.1.4 Vurdering og beslutning om informasjonssikkerhetshendelser
5.26 16.1.5 Respons på informasjonssikkerhetshendelser
5.27 16.1.6 Lær av informasjonssikkerhetshendelser
5.28 16.1.7 Innsamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informasjonssikkerhet under avbrudd
5.30 5.30 IKT-beredskap for forretningskontinuitet
5.31 18.1.1, 18.1.5 Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32 18.1.2 Immaterielle rettigheter
5.33 18.1.3 Beskyttelse av poster
5.34 18.1.4 Personvern og beskyttelse av PII
5.35 18.2.1 Uavhengig gjennomgang av informasjonssikkerhet
5.36 18.2.2, 18.2.3 Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37 12.1.1 Dokumenterte driftsprosedyrer
Personkontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansettelsen
6.3 07.2.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4 07.2.3 Disiplinær prosess
6.5 07.3.1 Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6 13.2.4 Avtaler om konfidensialitet eller taushetsplikt
6.7 06.2.2 Fjernarbeid
6.8 16.1.2, 16.1.3 Informasjonssikkerhet hendelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
7.1 11.1.1 Fysiske sikkerhetsomkretser
7.2 11.1.2, 11.1.6 Fysisk inngang
7.3 11.1.3 Sikring av kontorer, rom og fasiliteter
7.4 NEW Fysisk sikkerhetsovervåking
7.5 11.1.4 Beskyttelse mot fysiske og miljømessige trusler
7.6 11.1.5 Arbeid i sikre områder
7.7 11.2.9 Oversiktlig skrivebord og oversiktlig skjerm
7.8 11.2.1 Utstyrsplassering og beskyttelse
7.9 11.2.6 Sikkerhet av eiendeler utenfor lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedier
7.11 11.2.2 Støtteverktøy
7.12 11.2.3 Kablingssikkerhet
7.13 11.2.4 Vedlikehold av utstyr
7.14 11.2.7 Sikker avhending eller gjenbruk av utstyr
Teknologiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
8.1 06.2.1, 11.2.8 Brukerendepunktsenheter
8.2 09.2.3 Privilegerte tilgangsrettigheter
8.3 09.4.1 Begrensning av informasjonstilgang
8.4 09.4.5 Tilgang til kildekode
8.5 09.4.2 Sikker autentisering
8.6 12.1.3 Kapasitetsstyring
8.7 12.2.1 Beskyttelse mot skadelig programvare
8.8 12.6.1, 18.2.3 Håndtering av tekniske sårbarheter
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.13 12.3.1 Sikkerhetskopiering av informasjon
8.14 17.2.1 Redundans av informasjonsbehandlingsanlegg
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NEW Overvåking av aktiviteter
8.17 12.4.4 Kloksynkronisering
8.18 09.4.4 Bruk av privilegerte hjelpeprogrammer
8.19 12.5.1, 12.6.2 Installasjon av programvare på operasjonssystemer
8.20 13.1.1 Nettverkssikkerhet
8.21 13.1.2 Sikkerhet for nettverkstjenester
8.22 13.1.3 Segregering av nettverk
8.23 NEW Web-filtrering
8.24 10.1.1, 10.1.2 Bruk av kryptografi
8.25 14.2.1 Sikker utviklingslivssyklus
8.26 14.1.2, 14.1.3 Krav til applikasjonssikkerhet
8.27 14.2.5 Sikker systemarkitektur og tekniske prinsipper
8.28 NEW Sikker koding
8.29 14.2.8, 14.2.9 Sikkerhetstesting i utvikling og aksept
8.30 14.2.7 Utkontraktert utvikling
8.31 12.1.4, 14.2.6 Separasjon av utviklings-, test- og produksjonsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Endringsledelse
8.33 14.3.1 Testinformasjon
8.34 12.7.1 Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

En skybasert plattform for ISO 27002-implementering, ISMS.online, hjelper deg med å administrere dine risikostyringsprosesser for informasjonssikkerhet enkelt og effektivt.

Med vår skybaserte plattform vil du ha tilgang til et bibliotek med forhåndsskrevne retningslinjer, prosedyrer, arbeidsinstruksjoner og skjemaer klare for deg.

Ocuco ISMS.online plattform tilbyr en rekke kraftige verktøy som forenkler måten du kan dokumentere, implementere, vedlikeholde og forbedre styringssystemet for informasjonssikkerhet (ISMS) og oppnå samsvar med ISO 27002.

Den omfattende pakken med verktøy gir deg ett sentralt sted hvor du kan lage et skreddersydd sett med retningslinjer og prosedyrer som stemmer overens med dine organisasjonens spesifikke risikoer og behov. Det åpner også for samarbeid mellom kolleger så vel som eksterne partnere som leverandører eller tredjepartsrevisorer.

Ved å bruke en nettapp spesielt utviklet for å hjelpe bedrifter med å implementere et styringssystem for informasjonssikkerhet (ISMS) basert på ISO 27001, sparer du ikke bare tid, men øker også sikkerheten til organisasjonen din.

Ta kontakt i dag for å bestill en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder utviklingen av alle produktfunksjoner og funksjonalitet. Sam er en ekspert på mange områder av samsvar og jobber med kunder på alle skreddersydde eller storskala prosjekter.

Ta en virtuell omvisning

Start din gratis 2-minutters interaktive demonstrasjon nå og se
ISMS.online i aksjon!

Prøv det nå
plattformdashbord fullt på krystall

Vi er ledende innen vårt felt

4/5 stjerner
Brukere elsker oss
Leder - Høst 2025
Høypresterende, småbedrifter - høsten 2025 Storbritannia
Regional leder - høsten 2025 Europa
Regional leder - høsten 2025 EMEA
Regional leder - høsten 2025 Storbritannia
Høypresterende - Høsten 2025 Europa Mellommarked

"ISMS.Online, enestående verktøy for overholdelse av forskrifter"

– Jim M.

"Gjør eksterne revisjoner til en lek og kobler alle aspekter av ISMS-en sømløst sammen"

– Karen C.

"Innovativ løsning for å administrere ISO og andre akkrediteringer"

— Ben H.