Wat is Controle 5.8 – Informatiebeveiliging in projectmanagement?
Controle 5.8 gaat over de noodzaak voor organisaties om daarvoor te zorgen informatiebeveiliging is geïntegreerd in projectmanagement.
Informatiebeveiliging uitgelegd
Informatiebeveiliging, soms afgekort tot InfoSec, is de praktijk van het verdedigen van informatie tegen ongeoorloofde toegang, gebruik, openbaarmaking, verstoring, wijziging, inzage, inspectie, opname of vernietiging. Het is een algemene term die kan worden gebruikt ongeacht de vorm waarin de gegevens zich bevinden (bijvoorbeeld elektronisch, fysiek).
De primaire focus van informatiebeveiliging is de evenwichtige bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens (ook bekend als de CIA-triade), terwijl de focus blijft liggen op een efficiënte beleidsimplementatie, en dit alles zonder de productiviteit van de organisatie te belemmeren.
Het vakgebied omvat alle processen en mechanismen waarmee digitale apparatuur, informatie en diensten worden beschermd tegen onbedoelde of ongeoorloofde toegang, wijziging of vernietiging. Informatiebeveiligingsprofessionals zijn werkzaam in veel verschillende sectoren: van de financiële sector tot de overheid, de gezondheidszorg en academici, en van kleine eenmansbedrijven tot grote multinationale organisaties.
Projectmanagement uitgelegd
Projectmanagement is een groot onderdeel van het ondernemen. Het gaat over het plannen, organiseren en beheren van middelen voor de voltooiing van een specifiek doel.
Projectmanagement richt zich op een project: een geïdentificeerd werkstuk dat input van verschillende mensen of groepen vereist om specifieke output te produceren.
Kortom, het gaat om het bepalen van het doel van het project en het opdelen ervan in verschillende subtaken. Een projectmanager werkt vervolgens samen met het team om elke taak op tijd af te ronden zodat het algemene doel kan worden bereikt.
Projectmanagement klinkt misschien als iets dat alleen een groot bedrijf nodig heeft. Maar het is waardevol voor elk soort bedrijf. Zelfs kleine bedrijven hebben immers projecten die ze moeten voltooien.
Informatiebeveiliging in projectmanagement
Nu steeds meer bedrijven hun activiteiten online afhandelen, is het geen verrassing dat informatiebeveiliging in projectmanagement een hot topic is geworden. Projectmanagers hebben te maken met een toenemend aantal mensen die buiten kantoor werken, en met werknemers die hun persoonlijke apparaten voor werkdoeleinden gebruiken.
Door een beveiligingsbeleid voor uw bedrijf, kunt u het risico op een inbreuk of gegevensverlies minimaliseren en ervoor zorgen dat u op elk moment nauwkeurige rapporten over de projectstatus en financiën kunt produceren.
De beste manier om op te nemen informatiebeveiliging in het projectplannings- en uitvoeringsproces is:
- Definieer de informatiebeveiligingsvereisten voor het project, inclusief zakelijke behoeften en wettelijke verplichtingen.
- Beoordeel de risico-effecten van informatiebeveiliging bedreigingen.
- Beheer de risico-impact door passende controles en processen te implementeren.
- Monitor en rapporteer over de effectiviteit van deze controles.
Om uw zakelijke projecten te beschermen, moet u ervoor zorgen dat dit allemaal gebeurt projectmanagers zijn zich bewust van informatiebeveiliging en volg het terwijl ze hun werk voltooien.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Attributen Controletabel 5.8
Besturingselementen worden geclassificeerd met behulp van attributen. Hiermee kunt u uw besturingsselectie snel afstemmen op veelgebruikte termen en specificaties in de branche. In controle 5.8 zijn de attributen:
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Identificeren | #Bestuur | #Governance en ecosysteem |
| #Integriteit | #Beschermen | #Bescherming | ||
| #Beschikbaarheid |
Wat is het doel van controle 5.8?
Het doel van dit controle volgens ISO 27002:2022 is het waarborgen van informatiebeveiliging risico's die verband houden met projecten en resultaten worden effectief aangepakt in projectmanagement gedurende de gehele levenscyclus van het project.
Informatiebeveiliging is een belangrijke overweging voor projectmanagement en projecten.
Controle 5.8 behandelt de controle-, doel- en implementatierichtlijnen voor het integreren van informatiebeveiliging in projectmanagement volgens het raamwerk zoals gedefinieerd door ISO 27001.
Controle 5.8 begrijpt dat projectmanagement de coördinatie van middelen vereist, inclusief informatiemiddelen, om een gedefinieerd bedrijfsdoel te bereiken. Dit komt omdat projecten vaak nieuwe bedrijfsprocessen en -systemen omvatten, die gevolgen hebben voor de informatiebeveiliging.
Projecten kunnen ook meerdere afdelingen en organisaties bestrijken, wat betekent dat de controledoelstellingen, die er allemaal op gericht zijn ervoor te zorgen dat de juiste informatiebeveiligingsprotocollen aanwezig zijn, moeten worden gecoördineerd tussen interne en externe belanghebbenden.
Deze controle kan worden gezien als een richtlijn die informatiebeveiligingsproblemen in projecten identificeert en ervoor zorgt dat deze problemen gedurende de hele levenscyclus van het project worden aangepakt.
Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan
Het is belangrijk om informatiebeveiliging te integreren in projectmanagement, omdat dit organisaties de mogelijkheid biedt ervoor te zorgen dat informatiebeveiligingsrisico's worden geïdentificeerd, geëvalueerd en aangepakt als onderdeel van het projectmanagement.
Als een organisatie bijvoorbeeld een nieuw productontwikkelingssysteem wil implementeren, kan zij de informatiebeveiligingsrisico's identificeren die gepaard gaan met een nieuw productontwikkelingssysteem – zoals ongeoorloofde openbaarmaking van bedrijfseigen bedrijfsinformatie – en stappen ondernemen om deze risico's te beperken.
Daarom, om te voldoen aan de eisen voor de nieuwe ISO 27002:2022moet de informatiebeveiligingsmanager samenwerken met de projectmanager om ervoor te zorgen dat informatiebeveiligingsrisico's worden geïdentificeerd, beoordeeld en aangepakt als onderdeel van de projectmanagementprocessen. Informatiebeveiliging moet worden geïntegreerd in projectmanagement, zodat het een ‘deel van het project’ wordt en niet iets dat ‘met het project wordt gedaan’.
Volgens controle 5.8 zou het gebruikte projectmanagement moeten vereisen dat:
- informatiebeveiligingsrisico's worden in een vroeg stadium en periodiek beoordeeld en behandeld als onderdeel van projectrisico's gedurende de gehele projectlevenscyclus.
- vereisten voor informatiebeveiliging [bijvoorbeeld vereisten voor applicatiebeveiliging (8.26), vereisten voor het voldoen aan intellectuele-eigendomsrechten (5.32), enz.] komen aan bod in de vroege stadia van
projecten. - informatiebeveiligingsrisico's die verband houden met de uitvoering van projecten, zoals de beveiliging van interne en externe communicatieaspecten, worden gedurende de gehele levenscyclus van het project in overweging genomen en behandeld.
- de voortgang op het gebied van de behandeling van informatiebeveiligingsrisico's wordt beoordeeld en de effectiviteit van de behandeling wordt geëvalueerd en getest.
De projectmanager (PM) zou dat moeten doen het vaststellen van de informatiebeveiligingseisen voor alle soorten projecten, ongeacht de complexiteit, omvang, duur, discipline of toepassingsgebied, niet alleen ICT-ontwikkelprojecten. Premiers moeten zich bewust zijn van de Informatiebeveiligingsbeleid en aanverwante procedures, en het belang van informatiebeveiliging.
Meer details over de implementatierichtlijnen zijn te vinden in de herziene ISO 27002:2022.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Verschillen tussen ISO 27002:2013 en ISO 27002:2022
Informatiebeveiliging in projectmanagement is herzien in ISO 27002:2022 om meer verduidelijkingen weer te geven in de implementatierichtlijnen vergeleken met die van ISO 27002:2013. In ISO 27002:2013 zijn er bijvoorbeeld drie punten die elke projectmanager moet weten, aangezien dit van invloed is op de informatiebeveiliging. Maar in de versie van 3 werd dit uitgebreid naar 2022 punten.
Bovendien is controle 5.8 in ISO 27002:2022 geen nieuwe controle, maar een combinatie van controles 6.1.5 en 14.1.1 in ISO 27002:2013.
Controle 14.1.1 in ISO 27002: 2013 spreekt over informatiebeveiligingsgerelateerde eisen voor nieuwe informatiesystemen of verbeteringen aan bestaande informatiesystemen. De implementatierichtlijnen voor controle 14.1.1 zijn vergelijkbaar met het gedeelte van controle 5.8 waarin wordt gesproken over het garanderen dat de architectuur en het ontwerp van informatiesystemen worden beschermd tegen bekende bedreigingen op basis van de operationele omgeving.
Controle 5.8, hoewel geen nieuwe controle, brengt enkele belangrijke wijzigingen in de standaard met zich mee. Bovendien maakt de combinatie van de twee controles in ISO 27002:2022 de standaard gebruiksvriendelijker.
Wie is verantwoordelijk voor dit proces?
De Project Manager (PM) is ervoor verantwoordelijk dat informatiebeveiliging wordt geïmplementeerd in de levenscyclus van elk project. De premier kan het echter nuttig vinden om een Informatiebeveiligingsfunctionaris (ISO) om te beslissen welke informatiebeveiligingseisen nodig zijn voor verschillende soorten projecten.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wat betekenen deze veranderingen voor u?
Er zijn geen wijzigingen in de ISO/IEC 27001-norm, waardoor bestaande ISMS niet hoeven te worden bijgewerkt. Bovendien is er een uitstelperiode van twee jaar voordat organisaties de nieuwe standaard moeten omarmen.
Echter, omdat Bijlage A van ISO/IEC 27001 tegen eind 27002 zullen worden gekoppeld aan de nieuwe ISO/IEC 2022-controles, wordt aanbevolen dat de activiteiten op basis van de momenteel beschikbare informatie over de nieuwe ISO/IEC 27002-controles worden voltooid.
Organisaties kunnen bijvoorbeeld:
- Kijk eens naar de reikwijdte van hun ISMS.
- Vernieuw het informatiebeveiligingsbeleid van de organisatie en alle andere regels om ervoor te zorgen dat de relevante referenties en controles worden geïmplementeerd.
- Zorg ervoor dat u uw standpunt met betrekking tot nieuwe controles en de nieuwe structuur van de norm begrijpt door een hiaatanalyse uit te voeren.
- Neem de nieuwe informatiebeveiligingscontroles op in uw risicobeoordelingsaanpak.
Nieuwe ISO 27002-controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | NIEUW | Bedreigingsintelligentie |
| 5.23 | NIEUW | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | NIEUW | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 8.9 | NIEUW | Configuratiebeheer |
| 8.10 | NIEUW | Verwijdering van informatie |
| 8.11 | NIEUW | Gegevensmaskering |
| 8.12 | NIEUW | Preventie van gegevenslekken |
| 8.16 | NIEUW | Monitoring activiteiten |
| 8.23 | NIEUW | Web filtering |
| 8.28 | NIEUW | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Hoe ISMS.online helpt
Een cloudgebaseerd platform voor ISO 27002-implementatie, ISMS.online, helpt u uw informatiebeveiligingsrisicobeheerprocessen eenvoudig en effectief te beheren.
Met ons cloudgebaseerde platform heeft u toegang tot een bibliotheek met vooraf geschreven beleid, procedures, werkinstructies en formulieren die voor u klaar staan.
Het ISMS.online-platform biedt een reeks krachtige tools die de manier vereenvoudigen waarop u uw informatiebeveiligingsbeheersysteem (ISMS) kunt documenteren, implementeren, onderhouden en verbeteren en naleving van ISO 27002 kunt bereiken.
Het uitgebreide pakket aan tools biedt u één centrale plek waar u een op maat gemaakte set beleid en procedures kunt creëren die aansluiten bij uw wensen specifieke risico's en behoeften van de organisatie. Het maakt ook samenwerking mogelijk tussen collega's en externe partners zoals leveranciers of externe auditors.
Door een webapp te gebruiken die speciaal is ontworpen om bedrijven te helpen bij het implementeren van een Information Security Management System (ISMS) op basis van ISO 27001, bespaart u niet alleen tijd, maar verhoogt u ook de veiligheid van uw organisatie.
Neem vandaag nog contact op met boek een demo.
