Het doel van ISO 27001:2022 bijlage A Controle 5.8 is ervoor te zorgen dat projectmanagement informatiebeveiligingsmaatregelen omvat.
Volgens ISO 27001:2022 heeft deze bijlage A-controle tot doel ervoor te zorgen dat informatiebeveiligingsrisico's met betrekking tot projecten en resultaten effectief worden beheerd tijdens projectmanagement.
Projectmanagement en projectveiligheid zijn belangrijke overwegingen.
Omdat bij veel projecten updates van bedrijfsprocessen en systemen betrokken zijn impact hebben op de informatiebeveiliging, Bijlage A Controle 5.8 documenteert de vereisten voor projectmanagement.
Omdat projecten meerdere afdelingen en organisaties kunnen omvatten, moeten de doelstellingen van Annex A-controle 5.8 worden gecoördineerd tussen interne en externe belanghebbenden.
Als richtlijn identificeren de controles in bijlage A informatiebeveiligingsproblemen in projecten en projecten zorgen voor een oplossing ervan gedurende de gehele levenscyclus van het project.
Een belangrijk aspect van projectmanagement is informatiebeveiliging, ongeacht het projecttype. Informatiebeveiliging moet ingebed zijn in het weefsel van een organisatie, en projectmanagement speelt daarbij een sleutelrol. Een eenvoudige, herhaalbare checklist waaruit blijkt dat er aan informatiebeveiliging wordt gedacht, wordt aanbevolen voor projecten waarbij gebruik wordt gemaakt van sjabloonframeworks.
Auditors zijn op zoek naar informatiebeveiligingsbewustzijn in alle fasen van de projectlevenscyclus. Dit zou ook deel moeten uitmaken van de opleiding en het bewustzijn dat is afgestemd op HR-beveiliging voor A.6.6.
Om de naleving van de Algemene Verordening Gegevensbescherming aan te tonen (GDPR) en de Data Protection Act 2018 zullen innovatieve organisaties A.5.8 integreren met gerelateerde verplichtingen voor persoonlijke gegevens en security by design, Data Protection Impact Assessments (DPIA's) en soortgelijke processen overwegen.
Er moeten eisen aan informatiebeveiliging worden opgenomen als er nieuwe informatiesystemen worden ontwikkeld of bestaande informatiesystemen worden geüpgraded.
A.5.6 zou samen met A.5.8 kunnen worden gebruikt als maatregel voor informatiebeveiliging. Er zou ook rekening worden gehouden met de waarde van de informatie die gevaar loopt, wat zou kunnen aansluiten bij het informatieclassificatieschema van A.5.12.
Elke keer dat er een geheel nieuw systeem wordt ontwikkeld of er een wijziging wordt aangebracht in een bestaand systeem, moet er een risicobeoordeling worden uitgevoerd. Dit is om de zakelijke vereisten voor beveiligingscontroles te bepalen.
Als gevolg hiervan moeten veiligheidsoverwegingen worden aangepakt voordat een oplossing wordt geselecteerd of de ontwikkeling ervan wordt gestart. De juiste vereisten moeten worden geïdentificeerd voordat een antwoord wordt geselecteerd.
Beveiligingseisen moeten worden geschetst en overeengekomen tijdens het aanbestedings- of ontwikkelingsproces, zodat ze als referentiepunten kunnen dienen.
Het is geen goede gewoonte om een oplossing te selecteren of te creëren en vervolgens het beveiligingsniveau ervan later te beoordelen. Het resultaat is meestal hogere risico's en hogere kosten. Het kan ook leiden tot problemen met de toepasselijke wetgeving, zoals GDPR, dat een veilige ontwerpfilosofie en technieken zoals Data Protection Privacy Impact Assessments (DPIA's) aanmoedigt. Het Nationaal Cyber Security Centrum (NCSC) heeft op soortgelijke wijze bepaalde ontwikkelingspraktijken en kritische principes onderschreven als richtlijnen ter overweging. ISO 27001 omvat ook begeleiding bij implementatie. Documentatie van eventuele gevolgde voorschriften is noodzakelijk.
Het is de verantwoordelijkheid van de auditor om ervoor te zorgen dat veiligheidsoverwegingen in alle fasen van de projectlevenscyclus in aanmerking worden genomen. Dit maakt niet uit of het om een nieuw ontwikkeld systeem gaat of om het aanpassen van een bestaand systeem.
Bovendien verwachten ze dat vertrouwelijkheid, integriteit en beschikbaarheid in overweging worden genomen voordat het selectie- of ontwikkelingsproces begint.
Meer informatie over de eisen van ISO 27001 en de controles in bijlage A vindt u in de ISMS.online virtuele coach, dat een aanvulling vormt op onze kaders, instrumenten en beleidsmateriaal.
Boek een chat van 30 minuten met ons en wij laten u zien hoe
Het toenemende aantal bedrijven dat zijn activiteiten online uitvoert, heeft het belang van informatiebeveiliging bij projectmanagement vergroot. Als gevolg hiervan worden projectmanagers geconfronteerd met een groeiend aantal werknemers die buiten kantoor werken en hun persoonlijke apparaten voor hun werk gebruiken.
Door een beveiligingsbeleid voor uw bedrijf op te stellen, kunt u het risico op een inbreuk of gegevensverlies minimaliseren. Bovendien kunt u op elk gewenst moment nauwkeurige rapporten over de projectstatus en financiën produceren.
Als onderdeel van het projectplannings- en uitvoeringsproces moet informatiebeveiliging op de volgende manieren worden opgenomen:
De sleutel tot het veilig houden van uw zakelijke projecten is ervoor te zorgen dat uw projectmanagers het belang van informatiebeveiliging begrijpen en zich hieraan bij hun taken houden.
Integratie van informatiebeveiliging in projectmanagement is essentieel omdat organisaties hiermee beveiligingsrisico's kunnen identificeren, evalueren en aanpakken.
Neem het voorbeeld van een organisatie die een geavanceerder productontwikkelingssysteem implementeert.
Een nieuw ontwikkeld productontwikkelingssysteem kan worden beoordeeld op informatiebeveiligingsrisico's, waaronder ongeoorloofde openbaarmaking van bedrijfseigen bedrijfsinformatie. Er kunnen maatregelen worden genomen om deze risico's te beperken.
Om te voldoen aan de herziene ISO 27001:2022moet de informatiebeveiligingsmanager samenwerken met de projectmanager om informatiebeveiligingsrisico's te identificeren, beoordelen en aanpakken als onderdeel van het projectmanagementproces om te voldoen aan de vereisten van de herziene ISO 27001:2022. Projectmanagement moet informatiebeveiliging integreren, zodat het niet iets is dat ‘aan’ het project wordt gedaan, maar iets dat ‘deel uitmaakt van het project’.
Volgens bijlage A controle 5.8 zou het projectmanagementsysteem het volgende moeten vereisen:
Alle projecten, ongeacht hun complexiteit, omvang, duur, discipline of toepassingsgebied, inclusief ICT-ontwikkelingsprojecten, moeten door de Projectmanager (PM) worden beoordeeld op informatiebeveiligingseisen. Informatiebeveiligingsmanagers zouden dat moeten doen het Informatiebeveiligingsbeleid begrijpen en aanverwante procedures en het belang van informatiebeveiliging.
De herziene ISO 27001:2022 bevat meer details over de implementatierichtlijnen.
In ISO 27001:2022, zijn de implementatierichtlijnen voor informatiebeveiliging in projectmanagement herzien om meer verduidelijkingen weer te geven dan in ISO 27001:2013. Volgens ISO 27001:2013 moet elke projectmanager drie punten kennen die verband houden met informatiebeveiliging. In ISO 27001:2022 is dit echter uitgebreid naar vier punten.
Controle 5.8 in bijlage A van ISO 27001:2022 is niet nieuw, maar een combinatie van controles 6.1.5 en 14.1.1 in ISO 27001:2013.
Informatiebeveiligingsgerelateerde eisen voor nieuw ontwikkelde of verbeterde informatiesystemen worden besproken in bijlage A Controle 14.1.1 van ISO 27001:2013.
De implementatierichtlijnen van bijlage A controle 14.1.1 zijn vergelijkbaar met controle 5.8, die gaat over het garanderen dat de architectuur en het ontwerp van informatiesystemen worden beschermd tegen bekende bedreigingen binnen de operationele omgeving.
Ondanks dat het geen nieuwe controle is, brengt Annex A Controle 5.8 enkele belangrijke wijzigingen in de standaard met zich mee. Bovendien maakt het combineren van de twee bedieningselementen de standaard gebruiksvriendelijker.
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
| Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Om ervoor te zorgen dat informatiebeveiliging gedurende de hele levenscyclus van elk project wordt geïmplementeerd, is de Project Manager verantwoordelijk.
Niettemin kan de PM het nuttig vinden om met een Information Security Officer (ISO) te overleggen om te bepalen welke informatiebeveiligingseisen voor elk project nodig zijn.
Met ISMS.online kunt u uw informatiebeveiligingsrisicobeheerprocessen efficiënt en effectief beheren.
Door de ISMS.online-platformheeft u toegang tot diverse krachtige tools die zijn ontworpen om het proces van het documenteren, implementeren, onderhouden en verbeteren van uw Information Security Management System (ISMS) en het bereiken van naleving van ISO 27001 te vereenvoudigen.
Het is mogelijk om een op maat gemaakte set beleid en procedures te creëren met behulp van het uitgebreide pakket aan tools dat door het bedrijf wordt geleverd. Dit beleid en deze praktijken worden afgestemd op de specifieke risico's en behoeften van uw organisatie. Bovendien, ons platform maakt samenwerking mogelijk tussen collega's en externe partners, inclusief leveranciers en externe auditors.
Naast DPIA en andere gerelateerde beoordelingen van persoonsgegevens, bijvoorbeeld Legitimate Interest Assessments (LIA's), biedt ISMS.online eenvoudige, praktische kaders en sjablonen voor de beveiliging van informatie in projectmanagement.
Naar een demo plannen, neem dan vandaag nog contact met ons op.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
