ISO 27001:2022 Bylae A 5.8 – Inligtingsekerheid in projekbestuur

• sien ISO 27002:2022 Beheer 5.8 vir meer inligting.
• sien ISO 27001:2013 Bylae A 6.1.5 vir meer inligting.
• sien ISO 27001:2013 Bylae A 14.1.1 vir meer inligting.

Wat is die doel van ISO 27001:2022 Bylae A 5.8?

Die doel van ISO 27001:2022 Bylae A Beheer 5.8 is om te verseker dat projekbestuur inligtingsekuriteitsmaatreëls insluit.

Volgens ISO 27001:2022 het hierdie Bylae A-beheer ten doel om te verseker dat inligtingsekuriteitsrisiko's wat verband hou met projekte en aflewerbares effektief bestuur word tydens projekbestuur.

Projekbestuur en projeksekuriteit is sleuteloorwegings.

Omdat baie projekte opdaterings aan besigheidsprosesse en -stelsels behels wat inligtingsekuriteit beïnvloed, Bylae A Beheer 5.8 dokumenteer projekbestuurvereistes.

Aangesien projekte oor verskeie departemente en organisasies kan strek, moet Aanhangsel A beheer 5.8 doelwitte oor interne en eksterne belanghebbendes gekoördineer word.

As 'n riglyn identifiseer Bylae A-kontroles inligtingsekuriteitskwessies in projekte en verseker hul oplossing deur die projeklewensiklus.

Bestuur van inligtingsekuriteit in projekte

’n Sleutelaspek van projekbestuur is inligtingsekuriteit, ongeag die projektipe. Inligtingsekuriteit moet in die struktuur van 'n organisasie ingeburger wees, en projekbestuur speel 'n sleutelrol hierin. 'n Eenvoudige, herhaalbare kontrolelys wat wys dat inligtingsekuriteit oorweeg word, word aanbeveel vir projekte wat sjabloonraamwerke gebruik.

Ouditeure is op soek na inligtingsekuriteitbewustheid in alle stadiums van die projeklewensiklus. Dit behoort ook deel te wees van die opvoeding en bewustheid wat in lyn is met MH-sekuriteit vir A.6.6.

Om voldoening aan die Algemene Databeskermingsregulasie (BBP) en die Databeskermingswet 2018, sal innoverende organisasies A.5.8 met verwante verpligtinge vir persoonlike data inkorporeer en sekuriteit deur ontwerp, Databeskermingsimpakbepalings (DPIA's) en soortgelyke prosesse oorweeg.

Ontleed en spesifiseer inligtingsekuriteitsvereistes

Inligtingsekuriteitsvereistes moet ingesluit word indien nuwe inligtingstelsels ontwikkel word of bestaande inligtingstelsels opgegradeer word.

A.5.6 kan saam met A.5.8 as 'n inligtingsekuriteitsmaatreël gebruik word. Dit sal ook die waarde van die inligting wat in gevaar is, oorweeg, wat kan ooreenstem met A.5.12 se inligtingklassifikasieskema.

'n Risiko-evaluering moet uitgevoer word wanneer 'n splinternuwe stelsel ontwikkel word, of 'n verandering aan 'n bestaande stelsel aangebring word. Dit is om die besigheidsvereistes vir sekuriteitskontroles te bepaal.

Gevolglik moet sekuriteitsoorwegings aangespreek word voordat 'n oplossing gekies word of die ontwikkeling daarvan begin word. Die korrekte vereistes moet geïdentifiseer word voordat 'n antwoord gekies word.

Sekuriteitsvereistes moet tydens die verkrygings- of ontwikkelingsproses uiteengesit en ooreengekom word om as verwysingspunte te dien.

Dit is nie goeie praktyk om 'n oplossing te kies of te skep en dan die vlak van sekuriteitsvermoë later te beoordeel nie. Die gevolg is gewoonlik hoër risiko's en hoër koste. Dit kan ook probleme met toepaslike wetgewing tot gevolg hê, soos BBP, wat 'n veilige ontwerpfilosofie en -tegnieke soos Data Protection Privacy Impact Assessments (DPIA's) aanmoedig. Die Nasionale Kuberveiligheidsentrum (NCSC) het insgelyks sekere ontwikkelingspraktyke en kritieke beginsels as riglyne vir oorweging onderskryf. ISO 27001 sluit ook in implementeringsleiding. Dokumentasie van enige regulasies wat gevolg word, is nodig.

Dit sal die ouditeur se verantwoordelikheid wees om te verseker dat sekuriteitsoorwegings in alle stadiums van die projeklewensiklus oorweeg word. Dit is ongeag of die projek vir 'n nuut ontwikkelde stelsel is of vir die wysiging van 'n bestaande stelsel.

Daarbenewens sal hulle verwag dat vertroulikheid, integriteit en beskikbaarheid oorweeg moet word voordat die keurings- of ontwikkelingsproses begin.

Jy kan meer inligting oor ISO 27001-vereistes en Bylae A-kontroles vind in die ISMS.online virtuele afrigter, wat ons raamwerke, gereedskap en beleidsmateriaal aanvul.

Die belangrikheid van inligtingsekuriteit in projekbestuur

Die toenemende aantal besighede wat hul aktiwiteite aanlyn uitvoer, het die belangrikheid van inligtingsekuriteit in projekbestuur verhoog. Gevolglik staar projekbestuurders 'n groeiende aantal werknemers in die gesig wat buite die kantoor werk en hul persoonlike toestelle vir werk gebruik.

Die skep van 'n sekuriteitsbeleid vir jou besigheid sal jou toelaat om die risiko van 'n oortreding of dataverlies te verminder. Daarbenewens sal jy op enige gegewe tydstip akkurate verslae oor projekstatus en finansies kan lewer.

As deel van die projekbeplanning en -uitvoeringsproses, moet inligtingsekuriteit op die volgende maniere ingesluit word:

• Definieer die inligtingsekuriteitsvereistes vir die projek, met inagneming van besigheidsbehoeftes en wetlike vereistes.
• Inligting sekuriteit bedreigings moet wees beoordeel in terme van hul risiko-impak.
• Om risiko-impakte te bestuur, implementeer toepaslike beheermaatreëls en prosesse.
• Verseker dat hierdie kontroles gereeld gemonitor en gerapporteer word.

Die sleutel om jou besigheidsprojekte veilig te hou, is om te verseker dat jou projekbestuurders die belangrikheid van inligtingsekuriteit verstaan ​​en dit in hul pligte nakom.

Hoe om aan die vereistes te voldoen en wat daarby betrokke is

Integrasie van inligtingsekuriteit in projekbestuur is noodsaaklik aangesien dit organisasies in staat stel om sekuriteitsrisiko's te identifiseer, te evalueer en aan te spreek.

Beskou die voorbeeld van 'n organisasie wat 'n meer gesofistikeerde produkontwikkelingstelsel implementeer.

'n Nuut ontwikkelde produkontwikkelingstelsel kan geassesseer word vir inligtingsekuriteitsrisiko's, insluitend ongemagtigde openbaarmaking van eie maatskappyinligting. Stappe kan geneem word om hierdie risiko's te versag.

Om te voldoen aan die hersiene ISO 27001:2022, moet die inligtingsekuriteitsbestuurder met die projekbestuurder saamwerk om inligtingsekuriteitsrisiko's te identifiseer, te assesseer en aan te spreek as deel van die projekbestuursproses om aan die vereistes van die hersiene ISO 27001:2022 te voldoen. Projekbestuur behoort inligtingsekuriteit te integreer sodat dit nie iets is wat “aan” die projek gedoen word nie maar iets wat “deel van die projek” is.

Volgens Bylae, A kontrole 5.8, moet die projekbestuurstelsel die volgende vereis:

• Inligtingsekuriteitsrisiko's word vroeg en periodiek deur die projek se lewensiklus beoordeel en aangespreek.
• Sekuriteitsvereistes moet vroeg in die projekontwikkelingsproses aangespreek word, byvoorbeeld toepassingsekuriteitsvereistes (8.26), vereistes om aan intellektuele eiendomsregte te voldoen (5.32), ens.
• As deel van die projeklewensiklus word inligtingsekuriteitsrisiko's wat met projekuitvoering geassosieer word, oorweeg en aangespreek. Dit sluit die sekuriteit van interne en eksterne kommunikasiekanale in.
• 'n Evaluering en toetsing van die doeltreffendheid van die behandeling van inligtingsekuriteitsrisiko's word uitgevoer.

Alle projekte, ongeag hul kompleksiteit, grootte, duur, dissipline of toepassingsarea, insluitend IKT-ontwikkelingsprojekte, moet deur die Projekbestuurder (PM) vir inligtingsekuriteitsvereistes geëvalueer word. Bestuurders van inligtingsekuriteit moet die inligtingsekuriteitsbeleid te verstaan en verwante prosedures en die belangrikheid van inligtingsekuriteit.

Die hersiene ISO 27001:2022 bevat meer besonderhede oor die implementeringsriglyne.

Wat is die veranderinge en verskille vanaf ISO 27001:2013?

In Die ISO 27001: 2022, is die implementeringsriglyne vir Inligtingsekerheid in Projekbestuur hersien om meer verduidelikings as in ISO 27001:2013 te weerspieël. Volgens ISO 27001:2013 behoort elke projekbestuurder drie punte te ken wat verband hou met inligtingsekuriteit. Dit is egter uitgebrei na vier punte in ISO 27001:2022.

Beheer 5.8 in Bylae A van ISO 27001:2022 is nie nuut nie, maar 'n kombinasie van kontroles 6.1.5 en 14.1.1 in ISO 27001:2013.

Inligtingsekerheidverwante vereistes vir nuutontwikkelde of verbeterde inligtingstelsels word in Bylae A Beheer 14.1.1 van ISO 27001:2013 bespreek.

Bylae A beheer 14.1.1 implementeringsriglyne is soortgelyk aan beheer 5.8, wat handel oor die versekering dat die argitektuur en ontwerp van inligtingstelsels beskerm word teen bekende bedreigings binne die bedryfsomgewing.

Ten spyte daarvan dat dit nie 'n nuwe beheer is nie, bring Bylae A Beheer 5.8 'n paar beduidende veranderinge aan die standaard. Verder, die kombinasie van die twee kontroles maak die standaard meer gebruikersvriendelik.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.

Wie is in beheer van ISO 27001:2022 Bylae A 5.8?

Om te verseker dat inligtingsekuriteit deur die lewensiklus van elke projek geïmplementeer word, is die Projekbestuurder verantwoordelik.

Nietemin kan die PM dit nuttig vind om met 'n inligtingsekuriteitsbeampte (ISO) te konsulteer om te bepaal watter inligtingsekuriteitsvereistes vir elke projek benodig word.

Hoe ISMS.online help

Deur ISMS.online te gebruik, kan jy jou inligtingsekuriteitrisikobestuursprosesse doeltreffend en effektief bestuur.

Deur die ISMS.aanlyn platform, kan jy toegang verkry tot verskeie kragtige instrumente wat ontwerp is om die proses van dokumentasie, implementering, instandhouding en verbetering van jou inligtingsekuriteitbestuurstelsel (ISMS) te vereenvoudig en om voldoening aan ISO 27001 te bereik.

Dit is moontlik om 'n pasgemaakte stel beleide en prosedures te skep deur die omvattende pakket gereedskap wat deur die maatskappy verskaf word, te gebruik. Hierdie beleide en praktyke sal aangepas word om aan jou organisasie se spesifieke risiko's en behoeftes te voldoen. Verder, ons platform laat samewerking toe tussen kollegas en eksterne vennote, insluitend verskaffers en derdeparty-ouditeure.

Benewens DPIA en ander verwante persoonlike data-assesserings, bv. Legitieme Interest Assessments (LIA), verskaf ISMS.online eenvoudige, praktiese raamwerke en sjablone vir die sekuriteit van inligting in projekbestuur.

om beplan 'n demo, kontak ons ​​asseblief vandag nog.