5.8 - Informatiebeveiliging in projectmanagement

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Wat is Controle 5.8 – Informatiebeveiliging in projectmanagement?

Controle 5.8 gaat over de noodzaak voor organisaties om daarvoor te zorgen informatiebeveiliging is geïntegreerd in projectmanagement.

Informatiebeveiliging uitgelegd

Informatiebeveiliging, soms afgekort tot InfoSec, is de praktijk van het verdedigen van informatie tegen ongeoorloofde toegang, gebruik, openbaarmaking, verstoring, wijziging, inzage, inspectie, opname of vernietiging. Het is een algemene term die kan worden gebruikt ongeacht de vorm waarin de gegevens zich bevinden (bijvoorbeeld elektronisch, fysiek).

De primaire focus van informatiebeveiliging is de evenwichtige bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens (ook bekend als de CIA-triade), terwijl de focus blijft liggen op een efficiënte beleidsimplementatie, en dit alles zonder de productiviteit van de organisatie te belemmeren.

Het vakgebied omvat alle processen en mechanismen waarmee digitale apparatuur, informatie en diensten worden beschermd tegen onbedoelde of ongeoorloofde toegang, wijziging of vernietiging. Informatiebeveiligingsprofessionals zijn werkzaam in veel verschillende sectoren: van de financiële sector tot de overheid, de gezondheidszorg en academici, en van kleine eenmansbedrijven tot grote multinationale organisaties.

Projectmanagement uitgelegd

Projectmanagement is een groot onderdeel van het ondernemen. Het gaat over het plannen, organiseren en beheren van middelen voor de voltooiing van een specifiek doel.

Projectmanagement richt zich op een project: een geïdentificeerd werkstuk dat input van verschillende mensen of groepen vereist om specifieke output te produceren.

Kortom, het gaat om het bepalen van het doel van het project en het opdelen ervan in verschillende subtaken. Een projectmanager werkt vervolgens samen met het team om elke taak op tijd af te ronden zodat het algemene doel kan worden bereikt.

Projectmanagement klinkt misschien als iets dat alleen een groot bedrijf nodig heeft. Maar het is waardevol voor elk soort bedrijf. Zelfs kleine bedrijven hebben immers projecten die ze moeten voltooien.

Informatiebeveiliging in projectmanagement

Nu steeds meer bedrijven hun activiteiten online afhandelen, is het geen verrassing dat informatiebeveiliging in projectmanagement een hot topic is geworden. Projectmanagers hebben te maken met een toenemend aantal mensen die buiten kantoor werken, en met werknemers die hun persoonlijke apparaten voor werkdoeleinden gebruiken.

Door een beveiligingsbeleid voor uw bedrijf, kunt u het risico op een inbreuk of gegevensverlies minimaliseren en ervoor zorgen dat u op elk moment nauwkeurige rapporten over de projectstatus en financiën kunt produceren.

De beste manier om op te nemen informatiebeveiliging in het projectplannings- en uitvoeringsproces is:

Definieer de informatiebeveiligingsvereisten voor het project, inclusief zakelijke behoeften en wettelijke verplichtingen.
Beoordeel de risico-effecten van informatiebeveiliging bedreigingen.
Beheer de risico-impact door passende controles en processen te implementeren.
Monitor en rapporteer over de effectiviteit van deze controles.

Om uw zakelijke projecten te beschermen, moet u ervoor zorgen dat dit allemaal gebeurt projectmanagers zijn zich bewust van informatiebeveiliging en volg het terwijl ze hun werk voltooien.

Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen

Attributen Controletabel 5.8

Besturingselementen worden geclassificeerd met behulp van attributen. Hiermee kunt u uw besturingsselectie snel afstemmen op veelgebruikte termen en specificaties in de branche. In controle 5.8 zijn de attributen:

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Identificeren	#Bestuur	#Governance en ecosysteem
	#Integriteit	#Beschermen		#Bescherming
	#Beschikbaarheid

Wat is het doel van controle 5.8?

Het doel van dit controle volgens ISO 27002:2022 is het waarborgen van informatiebeveiliging risico's die verband houden met projecten en resultaten worden effectief aangepakt in projectmanagement gedurende de gehele levenscyclus van het project.

Informatiebeveiliging is een belangrijke overweging voor projectmanagement en projecten.

Controle 5.8 behandelt de controle-, doel- en implementatierichtlijnen voor het integreren van informatiebeveiliging in projectmanagement volgens het raamwerk zoals gedefinieerd door ISO 27001.

Controle 5.8 begrijpt dat projectmanagement de coördinatie van middelen vereist, inclusief informatiemiddelen, om een gedefinieerd bedrijfsdoel te bereiken. Dit komt omdat projecten vaak nieuwe bedrijfsprocessen en -systemen omvatten, die gevolgen hebben voor de informatiebeveiliging.

Projecten kunnen ook meerdere afdelingen en organisaties bestrijken, wat betekent dat de controledoelstellingen, die er allemaal op gericht zijn ervoor te zorgen dat de juiste informatiebeveiligingsprotocollen aanwezig zijn, moeten worden gecoördineerd tussen interne en externe belanghebbenden.

Deze controle kan worden gezien als een richtlijn die informatiebeveiligingsproblemen in projecten identificeert en ervoor zorgt dat deze problemen gedurende de hele levenscyclus van het project worden aangepakt.

Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan

Het is belangrijk om informatiebeveiliging te integreren in projectmanagement, omdat dit organisaties de mogelijkheid biedt ervoor te zorgen dat informatiebeveiligingsrisico's worden geïdentificeerd, geëvalueerd en aangepakt als onderdeel van het projectmanagement.

Als een organisatie bijvoorbeeld een nieuw productontwikkelingssysteem wil implementeren, kan zij de informatiebeveiligingsrisico's identificeren die gepaard gaan met een nieuw productontwikkelingssysteem – zoals ongeoorloofde openbaarmaking van bedrijfseigen bedrijfsinformatie – en stappen ondernemen om deze risico's te beperken.

Daarom, om te voldoen aan de eisen voor de nieuwe ISO 27002:2022moet de informatiebeveiligingsmanager samenwerken met de projectmanager om ervoor te zorgen dat informatiebeveiligingsrisico's worden geïdentificeerd, beoordeeld en aangepakt als onderdeel van de projectmanagementprocessen. Informatiebeveiliging moet worden geïntegreerd in projectmanagement, zodat het een ‘deel van het project’ wordt en niet iets dat ‘met het project wordt gedaan’.

Volgens controle 5.8 zou het gebruikte projectmanagement moeten vereisen dat:

informatiebeveiligingsrisico's worden in een vroeg stadium en periodiek beoordeeld en behandeld als onderdeel van projectrisico's gedurende de gehele projectlevenscyclus.
vereisten voor informatiebeveiliging [bijvoorbeeld vereisten voor applicatiebeveiliging (8.26), vereisten voor het voldoen aan intellectuele-eigendomsrechten (5.32), enz.] komen aan bod in de vroege stadia van
projecten.
informatiebeveiligingsrisico's die verband houden met de uitvoering van projecten, zoals de beveiliging van interne en externe communicatieaspecten, worden gedurende de gehele levenscyclus van het project in overweging genomen en behandeld.
de voortgang op het gebied van de behandeling van informatiebeveiligingsrisico's wordt beoordeeld en de effectiviteit van de behandeling wordt geëvalueerd en getest.

De projectmanager (PM) zou dat moeten doen het vaststellen van de informatiebeveiligingseisen voor alle soorten projecten, ongeacht de complexiteit, omvang, duur, discipline of toepassingsgebied, niet alleen ICT-ontwikkelprojecten. Premiers moeten zich bewust zijn van de Informatiebeveiligingsbeleid en aanverwante procedures, en het belang van informatiebeveiliging.

Meer details over de implementatierichtlijnen zijn te vinden in de herziene ISO 27002:2022.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen

Verschillen tussen ISO 27002:2013 en ISO 27002:2022

Informatiebeveiliging in projectmanagement is herzien in ISO 27002:2022 om meer verduidelijkingen weer te geven in de implementatierichtlijnen vergeleken met die van ISO 27002:2013. In ISO 27002:2013 zijn er bijvoorbeeld drie punten die elke projectmanager moet weten, aangezien dit van invloed is op de informatiebeveiliging. Maar in de versie van 3 werd dit uitgebreid naar 2022 punten.

Bovendien is controle 5.8 in ISO 27002:2022 geen nieuwe controle, maar een combinatie van controles 6.1.5 en 14.1.1 in ISO 27002:2013.

Controle 14.1.1 in ISO 27002: 2013 spreekt over informatiebeveiligingsgerelateerde eisen voor nieuwe informatiesystemen of verbeteringen aan bestaande informatiesystemen. De implementatierichtlijnen voor controle 14.1.1 zijn vergelijkbaar met het gedeelte van controle 5.8 waarin wordt gesproken over het garanderen dat de architectuur en het ontwerp van informatiesystemen worden beschermd tegen bekende bedreigingen op basis van de operationele omgeving.

Controle 5.8, hoewel geen nieuwe controle, brengt enkele belangrijke wijzigingen in de standaard met zich mee. Bovendien maakt de combinatie van de twee controles in ISO 27002:2022 de standaard gebruiksvriendelijker.

Wie is verantwoordelijk voor dit proces?

De Project Manager (PM) is ervoor verantwoordelijk dat informatiebeveiliging wordt geïmplementeerd in de levenscyclus van elk project. De premier kan het echter nuttig vinden om een Informatiebeveiligingsfunctionaris (ISO) om te beslissen welke informatiebeveiligingseisen nodig zijn voor verschillende soorten projecten.

Compliance hoeft niet ingewikkeld te zijn.

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen

Wat betekenen deze veranderingen voor u?

Er zijn geen wijzigingen in de ISO/IEC 27001-norm, waardoor bestaande ISMS niet hoeven te worden bijgewerkt. Bovendien is er een uitstelperiode van twee jaar voordat organisaties de nieuwe standaard moeten omarmen.

Echter, omdat Bijlage A van ISO/IEC 27001 tegen eind 27002 zullen worden gekoppeld aan de nieuwe ISO/IEC 2022-controles, wordt aanbevolen dat de activiteiten op basis van de momenteel beschikbare informatie over de nieuwe ISO/IEC 27002-controles worden voltooid.

Organisaties kunnen bijvoorbeeld:

Kijk eens naar de reikwijdte van hun ISMS.
Vernieuw het informatiebeveiligingsbeleid van de organisatie en alle andere regels om ervoor te zorgen dat de relevante referenties en controles worden geïmplementeerd.
Zorg ervoor dat u uw standpunt met betrekking tot nieuwe controles en de nieuwe structuur van de norm begrijpt door een hiaatanalyse uit te voeren.
Neem de nieuwe informatiebeveiligingscontroles op in uw risicobeoordelingsaanpak.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	Nieuw	Bedreigingsintelligentie
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
7.4	Nieuw	Fysieke beveiligingsmonitoring
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.16	Nieuw	Monitoring activiteiten
8.23	Nieuw	Web filtering
8.28	Nieuw	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	Nieuw	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	Nieuw	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Nieuw	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	Nieuw	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	Nieuw	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Een cloudgebaseerd platform voor ISO 27002-implementatie, ISMS.online, helpt u uw informatiebeveiligingsrisicobeheerprocessen eenvoudig en effectief te beheren.

Met ons cloudgebaseerde platform heeft u toegang tot een bibliotheek met vooraf geschreven beleid, procedures, werkinstructies en formulieren die voor u klaar staan.

Uw partner voor ISMS.online-platform biedt een reeks krachtige tools die de manier vereenvoudigen waarop u uw informatiebeveiligingsbeheersysteem (ISMS) kunt documenteren, implementeren, onderhouden en verbeteren en naleving van ISO 27002 kunt bereiken.

Het uitgebreide pakket aan tools biedt u één centrale plek waar u een op maat gemaakte set beleid en procedures kunt creëren die aansluiten bij uw wensen specifieke risico's en behoeften van de organisatie. Het maakt ook samenwerking mogelijk tussen collega's en externe partners zoals leveranciers of externe auditors.

Door een webapp te gebruiken die speciaal is ontworpen om bedrijven te helpen bij het implementeren van een Information Security Management System (ISMS) op basis van ISO 27001, bespaart u niet alleen tijd, maar verhoogt u ook de veiligheid van uw organisatie.

Neem vandaag nog contact op met boek een demo.