(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Projekte führen häufig neue Prozesse, Systeme, Technologien oder organisatorische Veränderungen ein und können dadurch erhebliche Auswirkungen auf die Informationssicherheit haben. Werden Sicherheitsaspekte im Projektmanagement nicht frühzeitig berücksichtigt, entstehen Risiken, die sich später nur mit hohem Aufwand oder gar nicht mehr beheben lassen. Dieses Control stellt sicher, dass Informationssicherheit systematisch in das Projektmanagement integriert wird und während des gesamten Projektlebenszyklus berücksichtigt ist.

Zweck des Controls

A 5.8 soll gewährleisten, dass Informationssicherheitsanforderungen in allen Projekten angemessen berücksichtigt werden. Ziel ist es, sicherzustellen, dass Risiken frühzeitig identifiziert, bewertet und behandelt werden und dass neue oder geänderte Systeme, Prozesse und Dienstleistungen den Anforderungen des ISMS entsprechen. Dadurch wird verhindert, dass Projekte unbeabsichtigt Sicherheitslücken schaffen oder bestehende Schutzmaßnahmen unterlaufen.

Anforderungen und Maßnahmen

1. Integration von Informationssicherheit in Projektmethoden

Organisationen müssen sicherstellen, dass Informationssicherheit Bestandteil der eingesetzten Projektmanagementmethoden ist, zum Beispiel durch:

• Berücksichtigung von Sicherheitsanforderungen in Projektleitlinien
• Integration sicherheitsrelevanter Prüfungen in Projektphasen und Meilensteine
• Festlegung von Sicherheitsaufgaben im Projektplan
• Einbindung des ISMS in Projektfreigaben und -entscheidungen

So wird Informationssicherheit von Beginn an berücksichtigt.

2. Identifikation sicherheitsrelevanter Projekte

Nicht alle Projekte haben den gleichen Einfluss auf die Informationssicherheit. Daher müssen Projekte identifiziert werden, die besondere Sicherheitsanforderungen aufweisen, insbesondere solche mit:

• Einführung oder Änderung von IT-Systemen oder Anwendungen
• Verarbeitung sensibler oder personenbezogener Daten
• Nutzung externer Dienstleister oder Cloud-Services
• Auswirkungen auf kritische Geschäftsprozesse
• Änderungen an Sicherheitsarchitekturen oder -konzepten

Diese Projekte erfordern eine erhöhte sicherheitsbezogene Aufmerksamkeit.

3. Risikobewertung im Projektkontext

Für sicherheitsrelevante Projekte muss eine angemessene Risikobewertung durchgeführt werden:

• Identifikation projektspezifischer Informationssicherheitsrisiken
• Bewertung von Bedrohungen, Schwachstellen und Auswirkungen
• Berücksichtigung bestehender Sicherheitsmaßnahmen
• Dokumentation der Risiken und ihrer Behandlung

Die Risikobewertung muss in das übergeordnete Risikomanagement integriert sein.

4. Definition und Umsetzung von Sicherheitsanforderungen

Auf Basis der Risikobewertung müssen Sicherheitsanforderungen festgelegt werden, unter anderem:

• Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit
• Vorgaben zu Zugriffskontrollen, Authentifizierung und Berechtigungen
• Anforderungen an Datenschutz und rechtliche Compliance
• Vorgaben zu Logging, Monitoring und Notfallvorsorge
• Anforderungen an sichere Entwicklung, Konfiguration und Betrieb

Diese Anforderungen müssen im Projekt verbindlich umgesetzt werden.

5. Einbindung relevanter Rollen und Fachbereiche

Informationssicherheit im Projektmanagement erfordert Zusammenarbeit:

• Einbindung des ISMS oder ISB in sicherheitsrelevante Projekte
• Abstimmung mit IT, Datenschutz, Compliance und Fachbereichen
• Klare Zuweisung von Verantwortlichkeiten im Projekt
• Festlegung von Eskalationswegen bei sicherheitsrelevanten Themen

Dies stellt eine koordinierte Umsetzung sicher.

6. Überprüfung und Abnahme sicherheitsrelevanter Ergebnisse

Sicherheitsanforderungen müssen vor Projektabschluss überprüft werden:

• Durchführung sicherheitsbezogener Prüfungen oder Reviews
• Verifikation der Umsetzung definierter Sicherheitsmaßnahmen
• Bewertung verbleibender Risiken
• Dokumentierte Freigabe vor Übergang in den Betrieb

So wird sichergestellt, dass nur geprüfte Lösungen produktiv gehen.

7. Dokumentation und Nachvollziehbarkeit

Alle sicherheitsrelevanten Aspekte von Projekten müssen dokumentiert werden:

• Sicherheitsanforderungen und -konzepte
• Ergebnisse von Risikobewertungen
• Nachweise über Prüfungen und Freigaben
• Dokumentation von Abweichungen und Entscheidungen

Diese Dokumentation unterstützt Transparenz und Auditierbarkeit.

8. Berücksichtigung von Änderungen während des Projekts

Projekte unterliegen häufig Änderungen, die Auswirkungen auf die Sicherheit haben können:

• Bewertung sicherheitsrelevanter Änderungen
• Anpassung der Risikobewertung und Maßnahmen
• Dokumentation von Änderungen und deren Auswirkungen
• Sicherstellung, dass Sicherheitsanforderungen weiterhin erfüllt sind

Dies verhindert, dass Sicherheitsaspekte im Projektverlauf verloren gehen.

Zusammenfassung

A 5.8 fordert, dass Informationssicherheit systematisch in das Projektmanagement integriert wird. Durch frühzeitige Risikoanalysen, klare Sicherheitsanforderungen, abgestimmte Verantwortlichkeiten sowie regelmäßige Überprüfungen wird sichergestellt, dass Projekte keine neuen Sicherheitsrisiken schaffen. Das Control trägt wesentlich dazu bei, dass neue Systeme, Prozesse und Dienstleistungen sicher, compliant und im Einklang mit dem ISMS eingeführt werden.