Kiểm soát 5.8 – Bảo mật thông tin trong quản lý dự án là gì?
Kiểm soát 5.8 đề cập đến nhu cầu của các tổ chức nhằm đảm bảo bảo mật thông tin được tích hợp vào quản lý dự án .
Giải thích về bảo mật thông tin
An ninh thông tin, đôi khi được viết tắt là InfoSec , là hoạt động bảo vệ thông tin khỏi việc truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi, xem xét, kiểm tra, ghi lại hoặc phá hủy trái phép. Đây là thuật ngữ chung có thể được sử dụng bất kể dữ liệu có thể ở dạng nào (ví dụ: điện tử, vật lý).
Trọng tâm chính của bảo mật thông tin là bảo vệ cân bằng tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu (còn được gọi là bộ ba CIA) trong khi vẫn tập trung vào việc thực hiện chính sách hiệu quả, mà không cản trở năng suất của tổ chức.
Lĩnh vực này bao gồm tất cả các quy trình và cơ chế mà thiết bị kỹ thuật số, thông tin và dịch vụ được bảo vệ khỏi việc truy cập, thay đổi hoặc phá hủy không mong muốn hoặc trái phép. Các chuyên gia bảo mật thông tin được tuyển dụng trong nhiều ngành công nghiệp khác nhau — từ tài chính đến chính phủ, chăm sóc sức khỏe đến học thuật và từ các công ty nhỏ một người đến các tổ chức đa quốc gia lớn.
Giải thích về Quản lý dự án
Quản lý dự án là một phần lớn của kinh doanh. Đó là việc lập kế hoạch, tổ chức và quản lý các nguồn lực để hoàn thành một mục tiêu cụ thể.
Quản lý dự án tập trung vào một dự án, là một phần công việc được xác định, đòi hỏi sự tham gia của nhiều người hoặc nhiều nhóm khác nhau để tạo ra kết quả cụ thể.
Về cơ bản, nó bao gồm việc xác định mục tiêu của dự án và chia thành nhiều nhiệm vụ nhỏ. Sau đó, người quản lý dự án làm việc với nhóm để hoàn thành từng nhiệm vụ đúng thời hạn để mục tiêu chung được hoàn thành.
Quản lý dự án có thể nghe giống như thứ mà chỉ một tập đoàn lớn mới cần. Nhưng nó có giá trị đối với bất kỳ loại hình doanh nghiệp nào. Xét cho cùng, ngay cả các doanh nghiệp nhỏ cũng có những dự án cần hoàn thành.
An ninh thông tin trong quản lý dự án
Khi ngày càng nhiều doanh nghiệp xử lý các hoạt động của mình trực tuyến, không có gì ngạc nhiên khi bảo mật thông tin trong quản lý dự án đã trở thành chủ đề nóng. Các nhà quản lý dự án đang phải đối phó với ngày càng nhiều người làm việc bên ngoài văn phòng, cũng như nhân viên sử dụng thiết bị cá nhân của họ cho mục đích công việc.
Bằng cách tạo chính sách bảo mật cho doanh nghiệp của mình , bạn sẽ có thể giảm thiểu rủi ro vi phạm hoặc mất dữ liệu và đảm bảo rằng bạn có thể tạo báo cáo chính xác về tình hình và tài chính của dự án tại bất kỳ thời điểm nào.
Cách tốt nhất để đưa vấn đề bảo mật thông tin vào quá trình lập kế hoạch và thực hiện dự án là:
- Xác định các yêu cầu về bảo mật thông tin cho dự án, bao gồm nhu cầu kinh doanh và nghĩa vụ pháp lý.
- Đánh giá tác động rủi ro từ các mối đe dọa an ninh thông tin.
- Quản lý tác động rủi ro bằng cách thực hiện các biện pháp kiểm soát và quy trình phù hợp.
- Theo dõi và báo cáo về hiệu quả của các biện pháp kiểm soát này.
Để bảo vệ các dự án kinh doanh của bạn, bạn cần đảm bảo rằng tất cả người quản lý dự án đều nhận thức được vấn đề bảo mật thông tin và tuân thủ khi hoàn thành công việc.
Bảng Thuộc tính
Các điều khiển được phân loại bằng các thuộc tính. Sử dụng các thuộc tính này, bạn có thể nhanh chóng khớp lựa chọn điều khiển của mình với các thuật ngữ và thông số kỹ thuật thường dùng trong ngành. Trong điều khiển 5.8, các thuộc tính là:
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Xác định #Bảo vệ | #Quản trị | #Quản trị và Hệ sinh thái #Bảo vệ |
Mục đích của Control 5.8 là gì?
Mục đích của biện pháp kiểm soát này theo ISO 27002:2022 là đảm bảo các rủi ro về an ninh thông tin liên quan đến dự án và sản phẩm được giải quyết hiệu quả trong quản lý dự án trong suốt vòng đời của dự án.
Bảo mật thông tin là yếu tố quan trọng cần cân nhắc khi quản lý dự án và các dự án.
Tiêu chuẩn 5.8 bao gồm hướng dẫn kiểm soát, mục đích và triển khai để tích hợp bảo mật thông tin vào quản lý dự án theo khuôn khổ được định nghĩa bởi ISO 27001.
Kiểm soát 5.8 hiểu rằng quản lý dự án đòi hỏi sự phối hợp các nguồn lực, bao gồm cả tài sản thông tin, để đạt được mục tiêu kinh doanh đã xác định. Điều này là do các dự án thường bao gồm các quy trình và hệ thống kinh doanh mới, có tác động đến bảo mật thông tin.
Các dự án cũng có thể bao gồm nhiều phòng ban và tổ chức, nghĩa là các mục tiêu kiểm soát 5.8, liên quan đến việc đảm bảo các giao thức bảo mật thông tin phù hợp được áp dụng, cần được phối hợp giữa các bên liên quan nội bộ và bên ngoài.
Kiểm soát này có thể được xem như một hướng dẫn xác định các vấn đề bảo mật thông tin trong các dự án và đảm bảo các vấn đề này được giải quyết trong suốt vòng đời của dự án.
Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu
Việc tích hợp bảo mật thông tin vào quản lý dự án rất quan trọng vì điều này giúp các tổ chức có cơ hội đảm bảo rằng các rủi ro bảo mật thông tin được xác định, đánh giá và giải quyết như một phần của quản lý dự án.
Ví dụ, nếu một tổ chức muốn triển khai hệ thống phát triển sản phẩm mới, họ có thể xác định các rủi ro về bảo mật thông tin liên quan đến hệ thống phát triển sản phẩm mới – chẳng hạn như tiết lộ trái phép thông tin độc quyền của công ty – và thực hiện các bước để giảm thiểu những rủi ro đó.
Do đó, để đáp ứng các yêu cầu của ISO 27002:2022 mới , người quản lý bảo mật thông tin nên làm việc với người quản lý dự án để đảm bảo rằng rủi ro bảo mật thông tin được xác định, đánh giá và giải quyết như một phần của quy trình quản lý dự án. Bảo mật thông tin nên được tích hợp vào quản lý dự án để nó trở thành “một phần của dự án” chứ không phải là thứ được thực hiện “cho dự án”.
Theo điều khiển 5.8, quản lý dự án đang sử dụng phải yêu cầu rằng:
- rủi ro an ninh thông tin được đánh giá và xử lý ở giai đoạn đầu và định kỳ như một phần của rủi ro dự án trong suốt vòng đời của dự án.
- các yêu cầu về bảo mật thông tin [ví dụ: yêu cầu bảo mật ứng dụng (8.26), yêu cầu tuân thủ quyền sở hữu trí tuệ (5.32), v.v.] được giải quyết trong giai đoạn đầu của
dự án. - rủi ro về an ninh thông tin liên quan đến việc thực hiện dự án, chẳng hạn như vấn đề an ninh của các khía cạnh truyền thông nội bộ và bên ngoài, được xem xét và xử lý trong suốt vòng đời của dự án.
- tiến độ xử lý rủi ro an ninh thông tin được xem xét và hiệu quả xử lý được đánh giá và kiểm tra.
Quản lý dự án (PM) phải xác định các yêu cầu về bảo mật thông tin cho mọi loại dự án, bất kể mức độ phức tạp, quy mô, thời gian, chuyên ngành hay lĩnh vực ứng dụng, không chỉ các dự án phát triển ICT. PM phải nhận thức được Chính sách bảo mật thông tin và các thủ tục liên quan, cũng như tầm quan trọng của bảo mật thông tin.
Có thể tìm thấy thông tin chi tiết hơn về hướng dẫn triển khai trong ISO 27002:2022 đã sửa đổi.
Sự khác biệt giữa ISO 27002:2013 và ISO 27002:2022
Bảo mật thông tin trong quản lý dự án đã được sửa đổi trong ISO 27002:2022 để phản ánh nhiều giải thích hơn trong hướng dẫn triển khai so với ISO 27002:2013. Ví dụ, trong ISO 27002:2013, có 3 điểm mà mọi nhà quản lý dự án cần biết vì nó ảnh hưởng đến bảo mật thông tin. Nhưng trong phiên bản 2022, điều này đã được mở rộng thành 4 điểm.
Ngoài ra, biện pháp kiểm soát 5.8 trong ISO 27002:2022 không phải là biện pháp kiểm soát mới, mà là sự kết hợp của biện pháp kiểm soát 6.1.5 và 14.1.1 trong ISO 27002:2013.
Kiểm soát 14.1.1 trong ISO 27002: 2013 nói về các yêu cầu liên quan đến bảo mật thông tin cho các hệ thống thông tin mới hoặc các cải tiến cho các hệ thống thông tin hiện có. Các hướng dẫn triển khai cho kiểm soát 14.1.1 tương tự như phần kiểm soát 5.8 nói về việc đảm bảo kiến trúc và thiết kế của các hệ thống thông tin được bảo vệ chống lại các mối đe dọa đã biết dựa trên môi trường hoạt động.
Control 5.8, mặc dù không phải là control mới, nhưng mang lại một số thay đổi quan trọng cho tiêu chuẩn. Thêm vào đó, việc kết hợp hai control trong ISO 27002:2022 giúp tiêu chuẩn thân thiện hơn với người dùng.
Ai là người chịu trách nhiệm cho quá trình này?
Quản lý dự án (PM) chịu trách nhiệm đảm bảo bảo mật thông tin được triển khai trong vòng đời của mọi dự án. Tuy nhiên, PM có thể thấy hữu ích khi tham khảo ý kiến của Cán bộ an ninh thông tin (ISO) để quyết định các yêu cầu bảo mật thông tin nào là cần thiết cho các loại dự án khác nhau.
Những thay đổi này có ý nghĩa gì đối với bạn?
Không có thay đổi nào đối với tiêu chuẩn ISO/IEC 27001 , do đó ISMS hiện tại không cần phải cập nhật. Bên cạnh đó, có thời gian gia hạn là hai năm trước khi các tổ chức cần áp dụng tiêu chuẩn mới.
Tuy nhiên, vì Phụ lục A của ISO/IEC 27001 sẽ phù hợp với các biện pháp kiểm soát mới của ISO/IEC 27002 vào cuối năm 2022, nên khuyến nghị nên hoàn thành các hoạt động dựa trên thông tin hiện có về các biện pháp kiểm soát mới của ISO/IEC 27002.
Ví dụ, các tổ chức có thể:
- Hãy xem xét phạm vi ISMS của họ.
- Làm mới chính sách bảo mật thông tin của tổ chức và tất cả các quy tắc khác để đảm bảo các tham chiếu và biện pháp kiểm soát có liên quan được thực hiện.
- Hãy đảm bảo bạn hiểu rõ vị trí của mình liên quan đến các biện pháp kiểm soát mới và cấu trúc mới của tiêu chuẩn bằng cách đánh giá khoảng cách.
- Kết hợp các biện pháp kiểm soát bảo mật thông tin mới vào phương pháp đánh giá rủi ro của bạn.
