Valvonta 5.8 kattaa organisaatioiden tarpeen varmistaa tämä tietoturva on integroitu projektinhallintaan.
Tietoturva, joskus lyhennettynä InfoSec, on käytäntö, jolla suojataan tietoja luvattomalta käytöltä, käytöltä, paljastamiselta, häiriöltä, muuttamiselta, tutkimiselta, tarkastukselta, tallentamiselta tai tuhoamiselta. Se on yleinen termi, jota voidaan käyttää riippumatta siitä, missä muodossa tiedot ovat (esim. sähköinen, fyysinen).
Tietoturvan pääpaino on tasapainoisessa suojauksessa Tietojen luottamuksellisuuden, eheyden ja saatavuuden (tunnetaan myös nimellä CIA-kolmio) samalla kun keskitytään tehokkaaseen politiikan täytäntöönpanoon ilman, että organisaation tuottavuus heikkenee.
Ala kattaa kaikki prosessit ja mekanismit, joilla digitaaliset laitteet, tiedot ja palvelut suojataan tahattomalta tai luvattomalta käytöltä, muutoksilta tai tuhoutumiselta. Tietoturva-ammattilaisia työskentelee monilla eri aloilla – rahoituksesta julkishallinnon terveydenhuoltoon akateemikoihin ja pienistä yhden hengen yrityksistä suuriin monikansallisiin organisaatioihin.
Projektinhallinta on iso osa liiketoimintaa. Kyse on resurssien suunnittelusta, järjestämisestä ja hallinnasta tietyn tavoitteen saavuttamiseksi.
Projektinhallinta keskittyy projektiin, joka on tunnistettu työ, joka vaatii eri ihmisten tai ryhmien panoksia tiettyjen tulosten tuottamiseksi.
Pohjimmiltaan se sisältää projektin tavoitteen määrittämisen ja sen jakamisen useisiin osatehtäviin. Projektipäällikkö työskentelee sitten tiimin kanssa suorittaakseen jokaisen tehtävän ajoissa yleistavoitteen saavuttamiseksi.
Projektinhallinta saattaa kuulostaa sellaiselta, jota vain suuryritys tarvitsee. Mutta se on arvokasta kaikenlaiselle yritykselle. Loppujen lopuksi jopa pienillä yrityksillä on projekteja, jotka heidän on saatettava päätökseen.
Kun yhä useammat yritykset hoitavat toimintaansa verkossa, ei ole yllätys, että projektinhallinnan tietoturvasta on tullut kuuma aihe. Projektipäälliköt ovat tekemisissä yhä useamman toimiston ulkopuolella työskentelevien sekä henkilökohtaisia laitteitaan työtarkoituksiinsa käyttävien työntekijöiden kanssa.
Luomalla yrityksesi turvallisuuspolitiikka, pystyt minimoimaan tietomurron tai tietojen menetyksen riskin ja varmistamaan, että pystyt tuottamaan tarkkoja raportteja projektin tilasta ja taloudesta milloin tahansa.
Paras tapa sisällyttää tietoturva projektin suunnittelu- ja toteutusprosessissa on:
Suojellaksesi liiketoimintaprojektejasi sinun on varmistettava, että kaikki projektipäälliköt ovat tietoisia tietoturvasta ja seurata sitä, kun he suorittavat työnsä.
Kontrollit luokitellaan attribuuttien avulla. Näiden avulla voit nopeasti yhdistää ohjausvalintasi yleisesti käytettyihin alan termeihin ja spesifikaatioihin. Ohjauksessa 5.8 määritteet ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Rehellisyys #Saatavuus | #Tunnista #Suojaa | #Hallinto | #Hallinto ja ekosysteemi #suojelu |
Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.
Olemme kustannustehokkaita ja nopeita
Tämän tarkoituksen ISO 27002:2022 -standardin mukaisen ohjauksen tarkoituksena on varmistaa tietoturva projekteihin ja suoritteisiin liittyvät riskit huomioidaan tehokkaasti projektinhallinnassa koko projektin elinkaaren ajan.
Tietoturva on keskeinen näkökohta projektinhallinnassa ja projekteissa.
Ohjaus 5.8 kattaa ohjauksen, tarkoituksen ja toteutusohjeet tietoturvan integroimiseksi projektinhallintaan ISO 27001:n määrittelemän viitekehyksen mukaisesti.
Control 5.8 ymmärtää, että projektinhallinta edellyttää resurssien, mukaan lukien tietovarallisuuden, koordinointia määritellyn liiketoimintatavoitteen saavuttamiseksi. Tämä johtuu siitä, että projektit sisältävät usein uusia liiketoimintaprosesseja ja järjestelmiä, joilla on tietoturvavaikutuksia.
Projektit voivat myös kattaa useita osastoja ja organisaatioita, mikä tarkoittaa, että hallinnan 5.8 tavoitteet, joiden tarkoituksena on varmistaa, että asianmukaiset tietoturvaprotokollat ovat käytössä, on koordinoitava sisäisten ja ulkoisten sidosryhmien kesken.
Tätä ohjausta voidaan pitää ohjeena, joka tunnistaa tietoturvaongelmat projekteissa ja varmistaa, että näitä asioita käsitellään koko projektin elinkaaren ajan.
Tietoturvan integrointi projektinhallintaan on tärkeää, koska se tarjoaa organisaatioille mahdollisuuden varmistaa, että tietoturvariskit tunnistetaan, arvioidaan ja käsitellään osana projektinhallintaa.
Jos organisaatio esimerkiksi haluaa ottaa käyttöön uuden tuotekehitysjärjestelmän, se voi tunnistaa uuteen tuotekehitysjärjestelmään liittyvät tietoturvariskit – kuten yritystietojen luvaton luovuttaminen – ja ryhtyä toimiin näiden riskien vähentämiseksi.
Siksi täyttääkseen vaatimukset uusi ISO 27002:2022, tietoturvapäällikön tulee työskennellä projektipäällikön kanssa varmistaakseen, että tietoturvariskit tunnistetaan, arvioidaan ja käsitellään osana projektinhallintaprosesseja. Tietoturva tulisi integroida projektinhallintaan niin, että se on "osa projektia" eikä jotain, joka tehdään "projektille".
Ohjauksen 5.8 mukaan käytössä olevan projektinhallinnan tulee edellyttää, että:
Projektipäällikön (PM) pitäisi määrittää tietoturvavaatimukset kaikentyyppisille projekteille niiden monimutkaisuudesta, koosta, kestosta, tieteenalasta tai sovellusalueesta riippumatta, ei vain ICT-kehitysprojekteihin. PM:n tulee olla tietoinen Tietoturvapolitiikka ja niihin liittyvät menettelyt sekä tietoturvan merkitys.
Tarkemmat tiedot toteutusohjeista löytyvät uudistetusta ISO 27002:2022 -standardista.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Siirron jälkeen olemme pystyneet vähentämään hallintoon käytettyä aikaa.
Projektinhallinnan tietoturva uudistettiin ISO 27002:2022:ssa, jotta toteutusohjeissa on enemmän selvennyksiä kuin ISO 27002:2013:ssa. Esimerkiksi ISO 27002:2013:ssa on 3 kohtaa, jotka jokaisen projektipäällikön tulee tietää, koska se vaikuttaa tietoturvaan. Mutta vuoden 2022 versiossa tämä laajennettiin 4 pisteeseen.
Myöskään ISO 5.8:27002:n ohjaus 2022 ei ole uusi ohjausobjekti, vaan se on yhdistelmä ISO 6.1.5:14.1.1:n säätimiä 27002 ja 2013.
Ohjaus 14.1.1 ISO 27002: 2013 puhuu uusien tietojärjestelmien tietoturvaan liittyvät vaatimukset tai parannuksia olemassa oleviin tietojärjestelmiin. Ohjauksen 14.1.1 toteutusohje on samanlainen kuin hallinnan 5.8 kohta, jossa puhutaan tietojärjestelmien arkkitehtuurin ja suunnittelun suojasta toimintaympäristöön perustuvilta tunnetuilta uhilta.
Ohjaus 5.8, vaikka se ei ole uusi ohjausobjekti, tuo joitakin tärkeitä muutoksia standardiin. Lisäksi kahden säätimen yhdistäminen standardissa ISO 27002:2022 tekee standardista käyttäjäystävällisemmän.
Projektipäällikkö (PM) vastaa siitä, että tietoturva toteutuu jokaisen projektin elinkaaren aikana. Pääministeri saattaa kuitenkin pitää hyödyllisenä neuvoa Tietoturvavastaava (ISO) päättää, mitä tietoturvavaatimuksia erityyppisiin projekteihin tarvitaan.
Ei muutoksia ISO/IEC 27001 -standardi, joten olemassa olevaa ISMS:ää ei tarvitse päivittää. Lisäksi on kahden vuoden lisäaika, ennen kuin organisaatioiden on omaksuttava uusi standardi.
Koska kuitenkin ISO/IEC 27001:n liite A sovitetaan uusiin ISO/IEC 27002 -ohjaimiin vuoden 2022 loppuun mennessä, on suositeltavaa, että uusista ISO/IEC 27002 -ohjaimista tällä hetkellä saatavilla oleviin tietoihin perustuvat toiminnot saatetaan päätökseen.
Organisaatiot voivat esimerkiksi:
Pilvipohjainen ISO 27002 -toteutusalusta, ISMS.online, auttaa hallitsemaan tietoturvariskinhallintaprosessejasi helposti ja tehokkaasti.
Pilvipohjaisen alustamme avulla pääset käsiksi kirjastoon valmiita käytäntöjä, menettelytapoja, työohjeita ja lomakkeita.
- ISMS.online-alusta tarjoaa joukon tehokkaita työkaluja, jotka yksinkertaistavat tapaa, jolla voit dokumentoida, toteuttaa, ylläpitää ja parantaa tietoturvan hallintajärjestelmääsi (ISMS) ja saavuttaa ISO 27002 -standardin mukaisuus.
Kattava työkalupaketti tarjoaa sinulle yhden keskeisen paikan, jossa voit luoda räätälöityjä käytäntöjä ja menettelytapoja, jotka sopivat organisaation erityiset riskit ja tarpeet. Se mahdollistaa myös yhteistyön kollegoiden sekä ulkoisten kumppanien, kuten tavarantoimittajien tai ulkopuolisten tilintarkastajien, välillä.
Käyttämällä verkkosovellusta, joka on erityisesti suunniteltu auttamaan yrityksiä ottamaan käyttöön ISO 27001 -standardiin perustuva tietoturvan hallintajärjestelmä (ISMS), säästät aikaa, mutta lisäät myös organisaatiosi turvallisuutta.
Ota yhteyttä jo tänään varaa esittely.
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
