Die doel van ISO 27001:2022 Bylae A Beheer 5.8 is om te verseker dat projekbestuur inligtingsekuriteitsmaatreëls insluit.
Volgens ISO 27001:2022 het hierdie Bylae A-beheer ten doel om te verseker dat inligtingsekuriteitsrisiko's wat verband hou met projekte en aflewerbares effektief bestuur word tydens projekbestuur.
Projekbestuur en projeksekuriteit is sleuteloorwegings.
Omdat baie projekte opdaterings aan besigheidsprosesse en -stelsels behels wat inligtingsekuriteit beïnvloed, Bylae A Beheer 5.8 dokumenteer projekbestuurvereistes.
Aangesien projekte oor verskeie departemente en organisasies kan strek, moet Aanhangsel A beheer 5.8 doelwitte oor interne en eksterne belanghebbendes gekoördineer word.
As 'n riglyn identifiseer Bylae A-kontroles inligtingsekuriteitskwessies in projekte en verseker hul oplossing deur die projeklewensiklus.
’n Sleutelaspek van projekbestuur is inligtingsekuriteit, ongeag die projektipe. Inligtingsekuriteit moet in die struktuur van 'n organisasie ingeburger wees, en projekbestuur speel 'n sleutelrol hierin. 'n Eenvoudige, herhaalbare kontrolelys wat wys dat inligtingsekuriteit oorweeg word, word aanbeveel vir projekte wat sjabloonraamwerke gebruik.
Ouditeure is op soek na inligtingsekuriteitbewustheid in alle stadiums van die projeklewensiklus. Dit behoort ook deel te wees van die opvoeding en bewustheid wat in lyn is met MH-sekuriteit vir A.6.6.
Om voldoening aan die Algemene Databeskermingsregulasie (BBP) en die Databeskermingswet 2018, sal innoverende organisasies A.5.8 met verwante verpligtinge vir persoonlike data inkorporeer en sekuriteit deur ontwerp, Databeskermingsimpakbepalings (DPIA's) en soortgelyke prosesse oorweeg.
Inligtingsekuriteitsvereistes moet ingesluit word indien nuwe inligtingstelsels ontwikkel word of bestaande inligtingstelsels opgegradeer word.
A.5.6 kan saam met A.5.8 as 'n inligtingsekuriteitsmaatreël gebruik word. Dit sal ook die waarde van die inligting wat in gevaar is, oorweeg, wat kan ooreenstem met A.5.12 se inligtingklassifikasieskema.
'n Risiko-evaluering moet uitgevoer word wanneer 'n splinternuwe stelsel ontwikkel word, of 'n verandering aan 'n bestaande stelsel aangebring word. Dit is om die besigheidsvereistes vir sekuriteitskontroles te bepaal.
Gevolglik moet sekuriteitsoorwegings aangespreek word voordat 'n oplossing gekies word of die ontwikkeling daarvan begin word. Die korrekte vereistes moet geïdentifiseer word voordat 'n antwoord gekies word.
Sekuriteitsvereistes moet tydens die verkrygings- of ontwikkelingsproses uiteengesit en ooreengekom word om as verwysingspunte te dien.
Dit is nie goeie praktyk om 'n oplossing te kies of te skep en dan die vlak van sekuriteitsvermoë later te beoordeel nie. Die gevolg is gewoonlik hoër risiko's en hoër koste. Dit kan ook probleme met toepaslike wetgewing tot gevolg hê, soos BBP, wat 'n veilige ontwerpfilosofie en -tegnieke soos Data Protection Privacy Impact Assessments (DPIA's) aanmoedig. Die Nasionale Kuberveiligheidsentrum (NCSC) het insgelyks sekere ontwikkelingspraktyke en kritieke beginsels as riglyne vir oorweging onderskryf. ISO 27001 sluit ook in implementeringsleiding. Dokumentasie van enige regulasies wat gevolg word, is nodig.
Dit sal die ouditeur se verantwoordelikheid wees om te verseker dat sekuriteitsoorwegings in alle stadiums van die projeklewensiklus oorweeg word. Dit is ongeag of die projek vir 'n nuut ontwikkelde stelsel is of vir die wysiging van 'n bestaande stelsel.
Daarbenewens sal hulle verwag dat vertroulikheid, integriteit en beskikbaarheid oorweeg moet word voordat die keurings- of ontwikkelingsproses begin.
Jy kan meer inligting oor ISO 27001-vereistes en Bylae A-kontroles vind in die ISMS.online virtuele afrigter, wat ons raamwerke, gereedskap en beleidsmateriaal aanvul.
Bespreek 'n 30 minute klets met ons en ons sal jou wys hoe
Die toenemende aantal besighede wat hul aktiwiteite aanlyn uitvoer, het die belangrikheid van inligtingsekuriteit in projekbestuur verhoog. Gevolglik staar projekbestuurders 'n groeiende aantal werknemers in die gesig wat buite die kantoor werk en hul persoonlike toestelle vir werk gebruik.
Die skep van 'n sekuriteitsbeleid vir jou besigheid sal jou toelaat om die risiko van 'n oortreding of dataverlies te verminder. Daarbenewens sal jy op enige gegewe tydstip akkurate verslae oor projekstatus en finansies kan lewer.
As deel van die projekbeplanning en -uitvoeringsproses, moet inligtingsekuriteit op die volgende maniere ingesluit word:
Die sleutel om jou besigheidsprojekte veilig te hou, is om te verseker dat jou projekbestuurders die belangrikheid van inligtingsekuriteit verstaan en dit in hul pligte nakom.
Integrasie van inligtingsekuriteit in projekbestuur is noodsaaklik aangesien dit organisasies in staat stel om sekuriteitsrisiko's te identifiseer, te evalueer en aan te spreek.
Beskou die voorbeeld van 'n organisasie wat 'n meer gesofistikeerde produkontwikkelingstelsel implementeer.
'n Nuut ontwikkelde produkontwikkelingstelsel kan geassesseer word vir inligtingsekuriteitsrisiko's, insluitend ongemagtigde openbaarmaking van eie maatskappyinligting. Stappe kan geneem word om hierdie risiko's te versag.
Om te voldoen aan die hersiene ISO 27001:2022, moet die inligtingsekuriteitsbestuurder met die projekbestuurder saamwerk om inligtingsekuriteitsrisiko's te identifiseer, te assesseer en aan te spreek as deel van die projekbestuursproses om aan die vereistes van die hersiene ISO 27001:2022 te voldoen. Projekbestuur behoort inligtingsekuriteit te integreer sodat dit nie iets is wat “aan” die projek gedoen word nie maar iets wat “deel van die projek” is.
Volgens Bylae, A kontrole 5.8, moet die projekbestuurstelsel die volgende vereis:
Alle projekte, ongeag hul kompleksiteit, grootte, duur, dissipline of toepassingsarea, insluitend IKT-ontwikkelingsprojekte, moet deur die Projekbestuurder (PM) vir inligtingsekuriteitsvereistes geëvalueer word. Bestuurders van inligtingsekuriteit moet die inligtingsekuriteitsbeleid te verstaan en verwante prosedures en die belangrikheid van inligtingsekuriteit.
Die hersiene ISO 27001:2022 bevat meer besonderhede oor die implementeringsriglyne.
In Die ISO 27001: 2022, is die implementeringsriglyne vir Inligtingsekerheid in Projekbestuur hersien om meer verduidelikings as in ISO 27001:2013 te weerspieël. Volgens ISO 27001:2013 behoort elke projekbestuurder drie punte te ken wat verband hou met inligtingsekuriteit. Dit is egter uitgebrei na vier punte in ISO 27001:2022.
Beheer 5.8 in Bylae A van ISO 27001:2022 is nie nuut nie, maar 'n kombinasie van kontroles 6.1.5 en 14.1.1 in ISO 27001:2013.
Inligtingsekerheidverwante vereistes vir nuutontwikkelde of verbeterde inligtingstelsels word in Bylae A Beheer 14.1.1 van ISO 27001:2013 bespreek.
Bylae A beheer 14.1.1 implementeringsriglyne is soortgelyk aan beheer 5.8, wat handel oor die versekering dat die argitektuur en ontwerp van inligtingstelsels beskerm word teen bekende bedreigings binne die bedryfsomgewing.
Ten spyte daarvan dat dit nie 'n nuwe beheer is nie, bring Bylae A Beheer 5.8 'n paar beduidende veranderinge aan die standaard. Verder, die kombinasie van die twee kontroles maak die standaard meer gebruikersvriendelik.
In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 | Bylae A 5.1.1 Bylae A 5.1.2 | Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 | Bylae A 6.1.5 Bylae A 14.1.1 | Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 | Bylae A 8.1.1 Bylae A 8.1.2 | Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 | Bylae A 8.1.3 Bylae A 8.2.3 | Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 | Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 | Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 | Bylae A 9.1.1 Bylae A 9.1.2 | Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 | Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 | Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 | Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 | Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 | Bylae A 15.2.1 Bylae A 15.2.2 | Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 | Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 | Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 | Bylae A 18.1.1 Bylae A 18.1.5 | Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 | Bylae A 18.2.2 Bylae A 18.2.3 | Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 | Bylae A 16.1.2 Bylae A 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 | Bylae A 11.1.2 Bylae A 11.1.6 | Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 | Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 | Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 | Bylae A 6.2.1 Bylae A 11.2.8 | Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 | Bylae A 12.6.1 Bylae A 18.2.3 | Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 | Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 | Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van bevoorregte nutsprogramme |
| Tegnologiese kontroles | Bylae A 8.19 | Bylae A 12.5.1 Bylae A 12.6.2 | Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 | Bylae A 10.1.1 Bylae A 10.1.2 | Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 | Bylae A 14.1.2 Bylae A 14.1.3 | Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige stelselargitektuur en ingenieursbeginsels |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 | Bylae A 14.2.8 Bylae A 14.2.9 | Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 | Bylae A 12.1.4 Bylae A 14.2.6 | Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 | Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 | Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Om te verseker dat inligtingsekuriteit deur die lewensiklus van elke projek geïmplementeer word, is die Projekbestuurder verantwoordelik.
Nietemin kan die PM dit nuttig vind om met 'n inligtingsekuriteitsbeampte (ISO) te konsulteer om te bepaal watter inligtingsekuriteitsvereistes vir elke projek benodig word.
Deur ISMS.online te gebruik, kan jy jou inligtingsekuriteitrisikobestuursprosesse doeltreffend en effektief bestuur.
Deur die ISMS.aanlyn platform, kan jy toegang verkry tot verskeie kragtige instrumente wat ontwerp is om die proses van dokumentasie, implementering, instandhouding en verbetering van jou inligtingsekuriteitbestuurstelsel (ISMS) te vereenvoudig en om voldoening aan ISO 27001 te bereik.
Dit is moontlik om 'n pasgemaakte stel beleide en prosedures te skep deur die omvattende pakket gereedskap wat deur die maatskappy verskaf word, te gebruik. Hierdie beleide en praktyke sal aangepas word om aan jou organisasie se spesifieke risiko's en behoeftes te voldoen. Verder, ons platform laat samewerking toe tussen kollegas en eksterne vennote, insluitend verskaffers en derdeparty-ouditeure.
Benewens DPIA en ander verwante persoonlike data-assesserings, bv. Legitieme Interest Assessments (LIA), verskaf ISMS.online eenvoudige, praktiese raamwerke en sjablone vir die sekuriteit van inligting in projekbestuur.
om beplan 'n demo, kontak ons asseblief vandag nog.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
