Österreich
Secure Your Business
 

NeuE ISO 27002: Projektmanagement
UM Security-Aspekte erweitern

 

Informationssicherheit soll in die Projektmanagement-Methoden einer Organisation integriert werden - fallweise über den Scope hinaus.

 

(CIS-Newsletter März 2014)  Die novellierte Version des Code of Practice ISO/IEC 27002:2013, publiziert im vergangenen September, bringt eine Reihe von Neuerungen, die fallweise über den gewählten Scope hinaus in das gesamte Unternehmen einfließen und die betriebliche Informationssicherheit auf ein neues Niveau heben. Zu den wichtigsten novellierten Punkten gehören die Controls oder Maßnahmenvorschläge:

  • Projektmanagement, in Kapitel 6.1.5.
  • Privileged Account Management, in Kapitel 9.2.3, 9.2.5
  • IS als Anforderung zum Business Continuity Management, in Kapitel 17
  • Supplier Management in Kapitel 15

In den kommenden Ausgaben des CIS-Newsletters werden wir jeweils eines dieser Themen detaillierter vorstellen. In der aktuellen Ausgabe finden Sie unseren ersten Beitrag zum Thema „Projektmanagement und Informationssicherheit“ – von CIS-Auditor DI Herfried Geyer.


Projektmanagement & Informationssicherheit
Der revidierte Implementierungsleitfaden ISO/IEC 27002:2013 fordert eine wesentlich umfassendere Sichtweise zum Thema Projektmanagement, als die Vorgängerversion. Im Unterpunkt 6.1.5. heißt es DI_HerfriedGeyer_CISAuditor_web mit Randsinngemäß übersetzt: „Die Informationssicherheit sollte in die Projektmanagement-Methoden der Organisation integriert werden – ohne Unterschiede zwischen der Fachzugehörigkeit oder Beschaffenheit von Projekten zu machen (regardless of its charakter).“ Auch die Auflistung von Rollen für IS-Verantwortlichkeiten wurde umfassender angelegt und führt nun neben den Klassikern wie CISO oder CSO auch Projektmanager und Projekt-Delegierte an. Damit kommt die klare Intention der Autoren zum Ausdruck, dass Informationssicherheit durchgängig in alle Projekte eines Unternehmens integriert werden soll – und nicht nur im Rahmen des Geltungsbereichs der ISO-27001-Zertifizierung. Dies gilt zumindest für jene Organisationen, die Projektmanagement in ihrem Statement of Applicability unter den für die Zertifizierung relevanten Controls anführen.


IT-unterstützte Projekte
Diese Anforderung der ISO 27002 macht insofern Sinn, als heutzutage nahezu jedes Projekt IT-unterstützt ist und von einem nennenswerten Informationsfluss begleitet wird. Ob es sich um die Entwicklung eines neue Versicherungsproduktes handelt, um eine neue Banken-Software oder um neue Produktionsverfahren für die KFZ-Industrie – bei all diesen Projekten steht Geheimhaltung, Datenintegrität und -verfügbarkeit an oberster Stelle.


Security Check im Projektplan
Vor diesem Hintergrund ist das Methoden-Framework einer Organisation gemäß ISO 27002 um IS-Aspekte zu erweitern, so dass jedes Projekt künftig eine zusätzliche Bewertungsschleife dazu durchläuft. Es bietet sich an, zusätzlich zu den bestehenden Tollgates oder Kontrollpunkten im Projektmanagementplan wie Qualität, Kostenrahmen, Zeitaufwand oder Ergebniserreichung auch die Informationssicherheit hinzuzufügen. Für die Evaluierung eines Projektes hinsichtlich seiner IS-Relevanz ist die Erstellung von Fragenlisten gemäß ISO 27001 empfehlenswert. Beispielsweise: Klassifizierung – welche Informationen des Projekts sind öffentlich, kritisch oder geheim? Welche Verfügbarke

it wird im Notfall oder in einer Krise benötigt? Welche internen und

PM

externen Partner sind involviert – wer darf welche Daten unter

welchen Voraussetzungen austauschen? U.a.


Geringer Aufwand – großer Nutzen
Die Integration der Informationssicherheitsaspekte in das Projektmanagement-Framework ist in der Praxis weniger Aufwand als es auf den ersten Blick scheinen mag, bringt der Organisation aber eine wesentliche Verbesserung des allgemeinen Niveaus an Informationssicherheit und damit Wettbewerbsvorteile.

 
 

DI Herfried Geyer fungiert als CIS-Auditor für ISO 27001 und ISO 20000. Zudem ist er ist als international anerkannter Berater im Bereich Informationssicherheit tätig.
 

______________________

Für den Inhalt verantwortlich:

CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com
 

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB