5.8 - אבטחת מידע בניהול פרויקטים

ISO 27002:2022 – בקרה 5.8 – אבטחת מידע בניהול פרויקטים

ISO 27002:2022 בקרה 5.8 מחייב שילוב אבטחת מידע בניהול הפרויקט על ידי זיהוי סיכונים, הטמעת בקרות והבטחת ניטור רציף לאורך מחזור החיים של הפרויקט. הוא מאחד בקרות אבטחה קודמות כדי לשפר את התיאום והאפקטיביות בין מחזיקי העניין.

מהי בקרה 5.8 – אבטחת מידע בניהול פרויקטים?

בקרה 5.8 מכסה את הצורך של ארגונים להבטיח זאת אבטחת מידע משולבת בניהול פרויקטים.

אבטחת מידע הסבר

אבטחת מידע, לפעמים מקוצר ל Infosec, הוא הנוהג של הגנה על מידע מפני גישה בלתי מורשית, שימוש, חשיפה, שיבוש, שינוי, עיון, בדיקה, הקלטה או השמדה. זהו מונח כללי שניתן להשתמש בו ללא קשר לצורת הנתונים (למשל, אלקטרונית, פיזית).

המוקד העיקרי של אבטחת מידע הוא הגנה מאוזנת של הסודיות, היושרה והזמינות של נתונים (המכונה גם שלישיית ה-CIA) תוך שמירה על התמקדות ביישום מדיניות יעיל, כל זאת מבלי לפגוע בפריון הארגון.

התחום מכסה את כל התהליכים והמנגנונים שבאמצעותם מוגנים ציוד, מידע ושירותים דיגיטליים מפני גישה, שינוי או הרס לא מכוונים או לא מורשית. מקצועני אבטחת מידע מועסקים בתעשיות רבות ושונות - מפיננסים ועד ממשלתיים ועד שירותי בריאות ועד אקדמאים ומחברות קטנות של אדם אחד ועד ארגונים רב לאומיים גדולים.

הסבר על ניהול פרויקטים

ניהול פרויקטים הוא חלק גדול מהעסק. מדובר בתכנון, ארגון וניהול משאבים להשלמת מטרה ספציפית.

ניהול פרויקטים מתמקד בפרויקט, שהוא יצירה מזוהה הדורשת תשומות מאנשים או קבוצות שונות כדי לייצר תפוקות ספציפיות.

בעצם, זה כרוך בקביעת מטרת הפרויקט וחלוקתו למספר משימות משנה. לאחר מכן, מנהל פרויקט עובד עם הצוות כדי להשלים כל משימה בזמן כדי שהמטרה הכוללת תושלם.

ניהול פרויקטים עשוי להישמע כמו משהו שרק תאגיד גדול צריך. אבל זה בעל ערך לכל סוג של עסק. אחרי הכל, אפילו לעסקים קטנים יש פרויקטים שהם צריכים להשלים.

אבטחת מידע בניהול פרויקטים

ככל שיותר ויותר עסקים מטפלים בפעילות שלהם באינטרנט, אין זה מפתיע שאבטחת מידע בניהול פרויקטים הפכה לנושא חם. מנהלי פרויקטים מתמודדים עם מספר הולך וגדל של אנשים העובדים מחוץ למשרד, כמו גם עובדים המשתמשים במכשיריהם האישיים לצורכי עבודה.

על ידי יצירת מדיניות אבטחה עבור העסק שלך, תוכל למזער את הסיכון של פריצה או אובדן נתונים ולהבטיח שאתה מסוגל להפיק דוחות מדויקים על מצב הפרויקט והכספים בכל זמן נתון.

הדרך הטובה ביותר לכלול אבטחת מידע בתהליך תכנון וביצוע הפרויקט J post

הגדירו את דרישות אבטחת המידע לפרויקט, לרבות צרכים עסקיים וחובות משפטיות.
הערכת השפעות הסיכון מאבטחת מידע איומים.
נהל את השפעות הסיכון על ידי הטמעת בקרות ותהליכים מתאימים.
לפקח ולדווח על יעילותן של בקרות אלו.

כדי להגן על הפרויקטים העסקיים שלך, אתה צריך לוודא שהכל מנהלי פרויקטים מודעים לאבטחת מידע ולעקוב אחריו כשהם משלימים את עבודתם.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

טבלת בקרה של תכונות 5.8

בקרות מסווגות באמצעות תכונות. באמצעות אלה, אתה יכול להתאים במהירות את בחירת הבקרה שלך למונחים ומפרטים בתעשייה הנפוצים. בפקד 5.8, התכונות הן:

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לזהות	#ממשל	#ממשל ומערכת אקולוגית
	#יושרה	#לְהַגֵן		#הֲגָנָה
	#זמינות

מהי מטרת בקרה 5.8?

המטרה של זה בקרה לפי ISO 27002:2022 היא להבטיח אבטחת מידע סיכונים הקשורים לפרויקטים ולתוצרים מטופלים ביעילות בניהול הפרויקט לאורך מחזור החיים של הפרויקט.

אבטחת מידע היא שיקול מרכזי בניהול פרויקטים ופרויקטים.

בקרה 5.8 מכסה את הנחיית הבקרה, המטרה והיישום לשילוב אבטחת מידע בניהול פרויקטים על פי המסגרת כפי שהוגדרה ב-ISO 27001.

בקרה 5.8 מבינה שניהול פרויקטים דורש תיאום של משאבים, כולל נכסי מידע, כדי להשיג מטרה עסקית מוגדרת. הסיבה לכך היא שפרויקטים כוללים לרוב תהליכים ומערכות עסקיים חדשים, שיש להם השלכות אבטחת מידע.

פרויקטים עשויים גם להשתרע על מחלקות וארגונים מרובים, כלומר יש לתאם שליטה ביעדי 5.8, שנועדה להבטיח שקיימים פרוטוקולי אבטחת מידע נאותים, בין בעלי עניין פנימיים וחיצוניים.

ניתן לראות בקרה זו קו מנחה המזהה בעיות אבטחת מידע בפרויקטים, ומבטיח שהבעיות הללו יטופלו לאורך כל מחזור החיים של הפרויקט.

מה כרוך ואיך לעמוד בדרישות

חשוב לשלב אבטחת מידע בניהול פרויקטים מכיוון שזה מספק הזדמנות לארגונים להבטיח שסיכוני אבטחת מידע מזוהים, מוערכים ומטופלים כחלק מניהול הפרויקט.

לדוגמה, אם ארגון מעוניין להטמיע מערכת פיתוח מוצר חדשה, הוא יכול לזהות את סיכוני אבטחת המידע הקשורים למערכת פיתוח מוצר חדשה - כגון חשיפה לא מורשית של מידע קנייני של החברה - ולנקוט בצעדים כדי להפחית סיכונים אלו.

לכן, כדי לעמוד בדרישות עבור ISO 27002:2022 חדש, על מנהל אבטחת המידע לעבוד עם מנהל הפרויקט כדי לוודא שסיכון אבטחת מידע מזוהה, מוערך ומטופל כחלק מתהליכי ניהול הפרויקט. אבטחת מידע צריכה להיות משולבת בניהול הפרויקט כך שהיא תהיה "חלק מהפרויקט" ולא משהו שנעשה "לפרויקט".

על פי בקרה 5.8, ניהול הפרויקט בשימוש צריך לדרוש כי:

סיכוני אבטחת מידע מוערכים ומטופלים בשלב מוקדם ומדי תקופה כחלק מסיכוני הפרויקט לאורך מחזור חיי הפרויקט.
דרישות אבטחת מידע [כגון דרישות אבטחת יישומים (8.26), דרישות לעמידה בזכויות קניין רוחני (5.32 וכו'] מטופלות בשלבים הראשונים של
פרויקטים.
סיכוני אבטחת מידע הקשורים בביצוע פרויקטים, כגון אבטחת היבטי תקשורת פנימיים וחיצוניים, נחשבים ומטופלים לאורך כל מחזור חיי הפרויקט.
ההתקדמות בטיפול בסיכוני אבטחת מידע נבדקת ויעילות הטיפול מוערכת ונבדקת.

מנהל הפרויקט (PM) צריך לקבוע את דרישות אבטחת המידע לכל סוגי הפרויקטים, ללא קשר למורכבות, גודל, משך, משמעת או תחום יישום, לא רק פרויקטי פיתוח ICT. ראשי הממשלה צריכים להיות מודעים ל מדיניות אבטחת מידע ונהלים קשורים, והחשיבות של אבטחת מידע.

פרטים נוספים על הנחיות היישום ניתן למצוא ב-ISO 27002:2022 המתוקן.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

הבדלים בין ISO 27002:2013 ל-ISO 27002:2022

אבטחת מידע בניהול פרויקטים תוקנה ב-ISO 27002:2022 כדי לשקף יותר הבהרות בהנחיית היישום בהשוואה לזה של ISO 27002:2013. לדוגמה, ב-ISO 27002:2013, יש 3 נקודות שכל מנהל פרויקט צריך לדעת שכן זה משפיע על אבטחת המידע. אבל בגרסת 2022, זה הורחב ל-4 נקודות.

כמו כן, פקד 5.8 ב-ISO 27002:2022 אינו פקד חדש, אלא הוא שילוב של פקדים 6.1.5 ו- 14.1.1 ב-ISO 27002:2013.

פקד 14.1.1 ב-ISO 27002: 2013 מדבר על דרישות הקשורות לאבטחת מידע עבור מערכות מידע חדשות או שיפורים למערכות מידע קיימות. הנחיות היישום לבקרה 14.1.1 דומות לסעיף של בקרה 5.8 שמדבר על הבטחת הארכיטקטורה והעיצוב של מערכות מידע מוגנים מפני איומים ידועים המבוססים על הסביבה התפעולית.

בקרה 5.8, למרות שאינה בקרה חדשה, מביאה כמה שינויים חשובים לתקן. בנוסף, שילוב שני הפקדים ב-ISO 27002:2022 הופך את התקן לידידותי יותר למשתמש.

מי אחראי על התהליך הזה?

מנהל הפרויקט (PM) אחראי לוודא שאבטחת מידע מיושמת במחזור החיים של כל פרויקט. עם זאת, ראש הממשלה עשוי למצוא שימושי להתייעץ עם א קצין אבטחת מידע (ISO) כדי להחליט אילו דרישות אבטחת מידע נדרשות עבור סוגים שונים של פרויקטים.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

מה המשמעות של השינויים הללו עבורך?

אין שינויים ב תקן ISO/IEC 27001, לכן אין צורך לעדכן ISMS קיים. חוץ מזה, יש תקופת חסד של שנתיים לפני שארגונים צריכים לאמץ את התקן החדש.

עם זאת, בגלל נספח A של ISO/IEC 27001 יותאמו לבקרי ה-ISO/IEC 27002 החדשים עד סוף 2022, מומלץ להשלים פעילויות המבוססות על המידע הזמין כעת על בקרי ה-ISO/IEC 27002 החדשים.

לדוגמה, ארגונים יכולים:

תסתכל על היקף ה-ISMS שלהם.
רענן את מדיניות אבטחת המידע של הארגון ואת כל הכללים האחרים כדי להבטיח שההפניות והבקרות הרלוונטיות מיושמות.
ודא שאתה מבין את עמדתך ביחס לבקרות חדשות ולמבנה החדש של התקן על ידי ביצוע הערכת פערים.
שלב את בקרות אבטחת המידע החדשות בגישת הערכת הסיכונים שלך.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

פלטפורמה מבוססת ענן להטמעת ISO 27002, ISMS.online, עוזרת לך לנהל את תהליכי ניהול סיכוני אבטחת המידע שלך בקלות וביעילות.

עם הפלטפורמה מבוססת הענן שלנו, תהיה לך גישה לספריית מדיניות, נהלים, הוראות עבודה וטפסים כתובים מראש המוכנים עבורך.

השמיים פלטפורמת ISMS.online מספק מגוון של כלים רבי עוצמה המפשטים את הדרך שבה אתה יכול לתעד, ליישם, לתחזק ולשפר את מערכת ניהול אבטחת המידע שלך (ISMS) ולהשיג עמידה בתקן ISO 27002.

חבילת הכלים המקיפה מעניקה לך מקום מרכזי אחד בו תוכל ליצור סט מדיניות ונהלים בהתאמה אישית הסיכונים והצרכים הספציפיים של הארגון. זה גם מאפשר שיתוף פעולה בין עמיתים כמו גם שותפים חיצוניים כגון ספקים או מבקרי צד שלישי.

על ידי שימוש באפליקציית אינטרנט שתוכננה במיוחד כדי לעזור לחברות ליישם מערכת ניהול אבטחת מידע (ISMS) המבוססת על ISO 27001, לא רק תחסוך זמן, אלא גם תגביר את האבטחה של הארגון שלך.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו