Tavoitteena ISO 27001:2022 liite A Valvonta 5.8 on varmistaa, että projektinhallinta sisältää tietoturvatoimenpiteet.
Standardin ISO 27001:2022 mukaisesti tämän liitteen A valvonnan tavoitteena on varmistaa, että projekteihin ja suoritteisiin liittyvät tietoturvariskit hallitaan tehokkaasti projektinhallinnan aikana.
Projektinhallinta ja projektin turvallisuus ovat tärkeitä näkökohtia.
Koska monet projektit sisältävät päivityksiä liiketoimintaprosesseihin ja järjestelmiin vaikuttaa tietoturvaan, Liite A Valvonta 5.8 dokumentoi projektinhallintavaatimukset.
Koska hankkeet voivat kattaa useita osastoja ja organisaatioita, liitteen A valvonnan 5.8 tavoitteet on koordinoitava sisäisten ja ulkoisten sidosryhmien kesken.
Ohjeena liitteen A kontrollit tunnistavat tietoturvaongelmat projekteissa ja varmistaa niiden ratkaisun koko projektin elinkaaren ajan.
Projektinhallinnan keskeinen näkökohta on tietoturva projektityypistä riippumatta. Tietoturvan tulee olla juurtunut organisaation rakenteeseen, ja projektinhallinta on tässä avainasemassa. Mallikehystä käyttäville projekteille suositellaan yksinkertaista, toistettavaa tarkistuslistaa, joka osoittaa, että tietoturvaa harkitaan.
Tarkastajat etsivät tietoturvatietoisuutta projektin elinkaaren kaikissa vaiheissa. Tämän tulisi myös olla osa koulutusta ja tietoisuutta, joka on kohdistettu A.6.6:n HR-turvallisuuteen.
Osoittaakseen yleisen tietosuoja-asetuksen noudattamisen (GDPR) ja vuoden 2018 tietosuojalain mukaan innovatiiviset organisaatiot sisällyttävät A.5.8:aan siihen liittyvät henkilötietoja koskevat velvoitteet ja harkitsevat sisäänrakennettua turvallisuutta, Data Protection Impact Assessment (DPIA:t) ja vastaavia prosesseja.
Tietoturvavaatimukset on sisällytettävä, jos uusia tietojärjestelmiä kehitetään tai olemassa olevia tietojärjestelmiä päivitetään.
Kohtaa A.5.6 voidaan käyttää yhdessä kohdan A.5.8 kanssa tietoturvatoimenpiteenä. Se ottaisi myös huomioon vaarassa olevien tietojen arvon, mikä voisi olla yhdenmukainen kohdan A.5.12 tietojen luokittelujärjestelmän kanssa.
Riskinarviointi tulee tehdä aina, kun täysin uutta järjestelmää kehitetään tai olemassa olevaan järjestelmään tehdään muutos. Tällä määritetään tietoturvavalvonnan liiketoimintavaatimukset.
Tämän vuoksi turvallisuusnäkökohdat tulee ottaa huomioon ennen ratkaisun valintaa tai sen kehittämisen aloittamista. Oikeat vaatimukset tulee tunnistaa ennen kuin vastaus valitaan.
Turvallisuusvaatimukset tulee hahmotella ja sopia hankinta- tai kehitysprosessin aikana, jotta ne toimivat vertailukohtana.
Ei ole hyvä käytäntö valita tai luoda ratkaisu ja arvioida sen tietoturvatasoa myöhemmin. Seurauksena on yleensä korkeammat riskit ja korkeammat kustannukset. Se voi myös aiheuttaa ongelmia sovellettavan lainsäädännön kanssa, kuten GDPR, joka kannustaa turvalliseen suunnittelufilosofiaan ja tekniikoihin, kuten Data Protection Privacy Impact Assessment (DPIA) -arviointiin. Kansallinen kyberturvallisuuskeskus (NCSC) on myös hyväksynyt tiettyjä kehityskäytäntöjä ja kriittisiä periaatteita harkittavaksi. ISO 27001 sisältää myös täytäntöönpanoa koskevia ohjeita. Kaikki noudatetut määräykset on dokumentoitava.
Tarkastajan vastuulla on varmistaa, että turvallisuusnäkökohdat otetaan huomioon projektin elinkaaren kaikissa vaiheissa. Tämä pätee riippumatta siitä, onko hanke tarkoitettu vasta kehitettyyn järjestelmään vai olemassa olevan järjestelmän muuttamiseen.
Lisäksi he odottavat, että luottamuksellisuus, eheys ja saatavuus otetaan huomioon ennen valinta- tai kehitysprosessin alkamista.
Löydät lisätietoja ISO 27001 -vaatimuksista ja liitteen A ohjaimista osoitteesta ISMS.online Virtual Coach, joka täydentää puitteitamme, työkalujamme ja käytäntömateriaaliamme.
Varaa 30 minuutin chat kanssamme, niin näytämme sinulle kuinka
Verkossa toimintaansa harjoittavien yritysten lisääntyvä määrä on lisännyt tietoturvan merkitystä projektinhallinnassa. Tämän seurauksena projektipäälliköt kohtaavat yhä enemmän työntekijöitä, jotka työskentelevät toimiston ulkopuolella ja käyttävät henkilökohtaisia laitteitaan työssään.
Luomalla tietoturvapolitiikan yrityksellesi voit minimoida tietomurron tai tietojen menetyksen riskin. Lisäksi pystyt tuottamaan tarkkoja raportteja projektin tilasta ja taloudesta milloin tahansa.
Osana projektin suunnittelu- ja toteutusprosessia tietoturva tulee sisällyttää seuraavilla tavoilla:
Avain liiketoimintaprojektien turvaamiseen on varmistaa, että projektipäällikkösi ymmärtävät tietoturvan tärkeyden ja noudattavat sitä työtehtävissään.
Tietoturvan integrointi Projektinhallintaan osallistuminen on välttämätöntä, koska sen avulla organisaatiot voivat tunnistaa, arvioida ja käsitellä turvallisuusriskejä.
Harkitse esimerkkiä organisaatiosta, joka ottaa käyttöön kehittyneemmän tuotekehitysjärjestelmän.
Äskettäin kehitetyssä tuotekehitysjärjestelmässä voidaan arvioida tietoturvariskejä, mukaan lukien omistusoikeudellisten yritystietojen luvaton luovuttaminen. Näiden riskien vähentämiseksi voidaan ryhtyä toimiin.
Noudata tarkistettu ISO 27001:2022, tietoturvapäällikön tulee tehdä yhteistyötä projektipäällikön kanssa tietoturvariskien tunnistamiseksi, arvioimiseksi ja käsittelemiseksi osana projektinhallintaprosessia, jotta se täyttää tarkistetun ISO 27001:2022 -standardin vaatimukset. Projektinhallinnan tulee integroida tietoturva niin, että se ei ole jotain "tehty" projektille vaan jotain, joka on "osa projektia".
Liitteen A valvonnan kohdan 5.8 mukaan projektinhallintajärjestelmän tulee edellyttää seuraavaa:
Projektipäällikön (PM) tulee arvioida tietoturvavaatimukset kaikkien hankkeiden monimutkaisuudesta, koosta, kestosta, tieteenalasta tai sovellusalueesta riippumatta, mukaan lukien ICT-kehitysprojektit. Tietoturvajohtajien pitäisi ymmärtää tietoturvapolitiikan ja niihin liittyvät menettelyt sekä tietoturvan merkitys.
Uudistettu ISO 27001:2022 sisältää tarkempia tietoja toteutusohjeista.
In ISO 27001: 2022, Projektinhallinnan tietoturvan käyttöönotto-ohjetta on tarkistettu vastaamaan enemmän selvennyksiä kuin ISO 27001:2013. ISO 27001:2013:n mukaan jokaisen projektipäällikön tulee tietää kolme tietoturvaan liittyvää seikkaa. Tämä on kuitenkin laajennettu neljään pisteeseen ISO 27001:2022:ssa.
Ohjaus 5.8 standardin ISO 27001:2022 liitteessä A ei ole uusi, vaan se on yhdistelmä ISO 6.1.5:14.1.1:n säätimiä 27001 ja 2013.
Uusien tai parannettujen tietojärjestelmien tietoturvaan liittyviä vaatimuksia käsitellään ISO 14.1.1:27001:n liitteen A Ohjaus 2013.
Liite A ohjauksen 14.1.1 toteutusohjeet ovat samankaltaisia kuin ohjaus 5.8, jossa varmistetaan, että tietojärjestelmien arkkitehtuuri ja suunnittelu on suojattu toimintaympäristön tunnetuilta uhilta.
Huolimatta siitä, että liite A Ohjaus 5.8 ei ole uusi ohjaus, se tuo joitain merkittäviä muutoksia standardiin. Lisäksi näiden kahden säätimen yhdistäminen tekee standardista käyttäjäystävällisemmän.
Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 | Liite A 5.1.1 Liite A 5.1.2 | Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 | Liite A 6.1.5 Liite A 14.1.1 | Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 | Liite A 8.1.1 Liite A 8.1.2 | Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 | Liite A 8.1.3 Liite A 8.2.3 | Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 | Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 | Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 | Liite A 9.1.1 Liite A 9.1.2 | Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 | Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 | Todennustiedot |
| Organisaation valvonta | Liite A 5.18 | Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 | Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 | Liite A 15.2.1 Liite A 15.2.2 | Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 | Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 | Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 | Liite A 18.1.1 Liite A 18.1.5 | Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 | Liite A 18.2.2 Liite A 18.2.3 | Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 | Liite A 16.1.2 Liite A 16.1.3 | Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 | Liite A 11.1.2 Liite A 11.1.6 | Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 | Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 | Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 | Liite A 6.2.1 Liite A 11.2.8 | Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 | Liite A 12.6.1 Liite A 18.2.3 | Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 | Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 | Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttö |
| Tekniset säädöt | Liite A 8.19 | Liite A 12.5.1 Liite A 12.6.2 | Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 | Liite A 10.1.1 Liite A 10.1.2 | Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 | Liite A 14.1.2 Liite A 14.1.3 | Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 | Liite A 14.2.8 Liite A 14.2.9 | Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 | Liite A 12.1.4 Liite A 14.2.6 | Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 | Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 | Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
Projektipäällikkö vastaa siitä, että tietoturva toteutuu projektin koko elinkaaren ajan.
Pääministerille saattaa kuitenkin olla hyödyllistä kuulla tietoturvavastaavaa (ISO) selvittääkseen, mitä tietoturvavaatimuksia kullekin projektille tarvitaan.
ISMS.onlinen avulla voit hallita tietoturvariskinhallintaprosessejasi tehokkaasti ja tuloksellisesti.
Kautta ISMS.online-alusta, voit käyttää erilaisia tehokkaita työkaluja, jotka on suunniteltu yksinkertaistamaan tietoturvan hallintajärjestelmän (ISMS) dokumentointia, käyttöönottoa, ylläpitoa ja parantamista sekä ISO 27001 -standardin mukaisuuden saavuttamista.
Yrityksen tarjoaman kattavan työkalupaketin avulla on mahdollista luoda räätälöityjä käytäntöjä ja menettelytapoja. Nämä käytännöt ja käytännöt räätälöidään vastaamaan organisaatiosi erityisiä riskejä ja tarpeita. Lisäksi, meidän alustamme mahdollistaa yhteistyön kollegoiden ja ulkoisten kumppanien, mukaan lukien tavarantoimittajien ja ulkopuolisten tilintarkastajien, välillä.
DPIA:n ja muiden asiaan liittyvien henkilötietojen arviointien, kuten LIA-arviointien, lisäksi ISMS.online tarjoaa yksinkertaiset, käytännölliset puitteet ja mallit projektinhallinnan tietoturvaan.
jotta aikataulun esittely, ota meihin yhteyttä jo tänään.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
