Controle 5.8 gaat over de noodzaak voor organisaties om daarvoor te zorgen informatiebeveiliging is geïntegreerd in projectmanagement.
Informatiebeveiliging, soms afgekort tot InfoSec, is de praktijk van het verdedigen van informatie tegen ongeoorloofde toegang, gebruik, openbaarmaking, verstoring, wijziging, inzage, inspectie, opname of vernietiging. Het is een algemene term die kan worden gebruikt ongeacht de vorm waarin de gegevens zich bevinden (bijvoorbeeld elektronisch, fysiek).
De primaire focus van informatiebeveiliging is de evenwichtige bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens (ook bekend als de CIA-triade), terwijl de focus blijft liggen op een efficiënte beleidsimplementatie, en dit alles zonder de productiviteit van de organisatie te belemmeren.
Het vakgebied omvat alle processen en mechanismen waarmee digitale apparatuur, informatie en diensten worden beschermd tegen onbedoelde of ongeoorloofde toegang, wijziging of vernietiging. Informatiebeveiligingsprofessionals zijn werkzaam in veel verschillende sectoren: van de financiële sector tot de overheid, de gezondheidszorg en academici, en van kleine eenmansbedrijven tot grote multinationale organisaties.
Projectmanagement is een groot onderdeel van het ondernemen. Het gaat over het plannen, organiseren en beheren van middelen voor de voltooiing van een specifiek doel.
Projectmanagement richt zich op een project: een geïdentificeerd werkstuk dat input van verschillende mensen of groepen vereist om specifieke output te produceren.
Kortom, het gaat om het bepalen van het doel van het project en het opdelen ervan in verschillende subtaken. Een projectmanager werkt vervolgens samen met het team om elke taak op tijd af te ronden zodat het algemene doel kan worden bereikt.
Projectmanagement klinkt misschien als iets dat alleen een groot bedrijf nodig heeft. Maar het is waardevol voor elk soort bedrijf. Zelfs kleine bedrijven hebben immers projecten die ze moeten voltooien.
Nu steeds meer bedrijven hun activiteiten online afhandelen, is het geen verrassing dat informatiebeveiliging in projectmanagement een hot topic is geworden. Projectmanagers hebben te maken met een toenemend aantal mensen die buiten kantoor werken, en met werknemers die hun persoonlijke apparaten voor werkdoeleinden gebruiken.
Door een beveiligingsbeleid voor uw bedrijf, kunt u het risico op een inbreuk of gegevensverlies minimaliseren en ervoor zorgen dat u op elk moment nauwkeurige rapporten over de projectstatus en financiën kunt produceren.
De beste manier om op te nemen informatiebeveiliging in het projectplannings- en uitvoeringsproces is:
Om uw zakelijke projecten te beschermen, moet u ervoor zorgen dat dit allemaal gebeurt projectmanagers zijn zich bewust van informatiebeveiliging en volg het terwijl ze hun werk voltooien.
Besturingselementen worden geclassificeerd met behulp van attributen. Hiermee kunt u uw besturingsselectie snel afstemmen op veelgebruikte termen en specificaties in de branche. In controle 5.8 zijn de attributen:
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeer #Bescherm | #Bestuur | #Governance en ecosysteem #bescherming |
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
Het doel van dit controle volgens ISO 27002:2022 is het waarborgen van informatiebeveiliging risico's die verband houden met projecten en resultaten worden effectief aangepakt in projectmanagement gedurende de gehele levenscyclus van het project.
Informatiebeveiliging is een belangrijke overweging voor projectmanagement en projecten.
Controle 5.8 behandelt de controle-, doel- en implementatierichtlijnen voor het integreren van informatiebeveiliging in projectmanagement volgens het raamwerk zoals gedefinieerd door ISO 27001.
Controle 5.8 begrijpt dat projectmanagement de coördinatie van middelen vereist, inclusief informatiemiddelen, om een gedefinieerd bedrijfsdoel te bereiken. Dit komt omdat projecten vaak nieuwe bedrijfsprocessen en -systemen omvatten, die gevolgen hebben voor de informatiebeveiliging.
Projecten kunnen ook meerdere afdelingen en organisaties bestrijken, wat betekent dat de controledoelstellingen, die er allemaal op gericht zijn ervoor te zorgen dat de juiste informatiebeveiligingsprotocollen aanwezig zijn, moeten worden gecoördineerd tussen interne en externe belanghebbenden.
Deze controle kan worden gezien als een richtlijn die informatiebeveiligingsproblemen in projecten identificeert en ervoor zorgt dat deze problemen gedurende de hele levenscyclus van het project worden aangepakt.
Het is belangrijk om informatiebeveiliging te integreren in projectmanagement, omdat dit organisaties de mogelijkheid biedt ervoor te zorgen dat informatiebeveiligingsrisico's worden geïdentificeerd, geëvalueerd en aangepakt als onderdeel van het projectmanagement.
Als een organisatie bijvoorbeeld een nieuw productontwikkelingssysteem wil implementeren, kan zij de informatiebeveiligingsrisico's identificeren die gepaard gaan met een nieuw productontwikkelingssysteem – zoals ongeoorloofde openbaarmaking van bedrijfseigen bedrijfsinformatie – en stappen ondernemen om deze risico's te beperken.
Daarom, om te voldoen aan de eisen voor de nieuwe ISO 27002:2022moet de informatiebeveiligingsmanager samenwerken met de projectmanager om ervoor te zorgen dat informatiebeveiligingsrisico's worden geïdentificeerd, beoordeeld en aangepakt als onderdeel van de projectmanagementprocessen. Informatiebeveiliging moet worden geïntegreerd in projectmanagement, zodat het een ‘deel van het project’ wordt en niet iets dat ‘met het project wordt gedaan’.
Volgens controle 5.8 zou het gebruikte projectmanagement moeten vereisen dat:
De projectmanager (PM) zou dat moeten doen het vaststellen van de informatiebeveiligingseisen voor alle soorten projecten, ongeacht de complexiteit, omvang, duur, discipline of toepassingsgebied, niet alleen ICT-ontwikkelprojecten. Premiers moeten zich bewust zijn van de Informatiebeveiligingsbeleid en aanverwante procedures, en het belang van informatiebeveiliging.
Meer details over de implementatierichtlijnen zijn te vinden in de herziene ISO 27002:2022.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Sinds de migratie hebben we de tijd die we aan administratie besteden, kunnen terugdringen.
Informatiebeveiliging in projectmanagement is herzien in ISO 27002:2022 om meer verduidelijkingen weer te geven in de implementatierichtlijnen vergeleken met die van ISO 27002:2013. In ISO 27002:2013 zijn er bijvoorbeeld drie punten die elke projectmanager moet weten, aangezien dit van invloed is op de informatiebeveiliging. Maar in de versie van 3 werd dit uitgebreid naar 2022 punten.
Bovendien is controle 5.8 in ISO 27002:2022 geen nieuwe controle, maar een combinatie van controles 6.1.5 en 14.1.1 in ISO 27002:2013.
Controle 14.1.1 in ISO 27002: 2013 spreekt over informatiebeveiligingsgerelateerde eisen voor nieuwe informatiesystemen of verbeteringen aan bestaande informatiesystemen. De implementatierichtlijnen voor controle 14.1.1 zijn vergelijkbaar met het gedeelte van controle 5.8 waarin wordt gesproken over het garanderen dat de architectuur en het ontwerp van informatiesystemen worden beschermd tegen bekende bedreigingen op basis van de operationele omgeving.
Controle 5.8, hoewel geen nieuwe controle, brengt enkele belangrijke wijzigingen in de standaard met zich mee. Bovendien maakt de combinatie van de twee controles in ISO 27002:2022 de standaard gebruiksvriendelijker.
De Project Manager (PM) is ervoor verantwoordelijk dat informatiebeveiliging wordt geïmplementeerd in de levenscyclus van elk project. De premier kan het echter nuttig vinden om een Informatiebeveiligingsfunctionaris (ISO) om te beslissen welke informatiebeveiligingseisen nodig zijn voor verschillende soorten projecten.
Er zijn geen wijzigingen in de ISO/IEC 27001-norm, waardoor bestaande ISMS niet hoeven te worden bijgewerkt. Bovendien is er een uitstelperiode van twee jaar voordat organisaties de nieuwe standaard moeten omarmen.
Echter, omdat Bijlage A van ISO/IEC 27001 tegen eind 27002 zullen worden gekoppeld aan de nieuwe ISO/IEC 2022-controles, wordt aanbevolen dat de activiteiten op basis van de momenteel beschikbare informatie over de nieuwe ISO/IEC 27002-controles worden voltooid.
Organisaties kunnen bijvoorbeeld:
Een cloudgebaseerd platform voor ISO 27002-implementatie, ISMS.online, helpt u uw informatiebeveiligingsrisicobeheerprocessen eenvoudig en effectief te beheren.
Met ons cloudgebaseerde platform heeft u toegang tot een bibliotheek met vooraf geschreven beleid, procedures, werkinstructies en formulieren die voor u klaar staan.
De ISMS.online-platform biedt een reeks krachtige tools die de manier vereenvoudigen waarop u uw informatiebeveiligingsbeheersysteem (ISMS) kunt documenteren, implementeren, onderhouden en verbeteren en naleving van ISO 27002 kunt bereiken.
Het uitgebreide pakket aan tools biedt u één centrale plek waar u een op maat gemaakte set beleid en procedures kunt creëren die aansluiten bij uw wensen specifieke risico's en behoeften van de organisatie. Het maakt ook samenwerking mogelijk tussen collega's en externe partners zoals leveranciers of externe auditors.
Door een webapp te gebruiken die speciaal is ontworpen om bedrijven te helpen bij het implementeren van een Information Security Management System (ISMS) op basis van ISO 27001, bespaart u niet alleen tijd, maar verhoogt u ook de veiligheid van uw organisatie.
Neem vandaag nog contact op met boek een demo.
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
