iT邦幫忙

2024 iThome 鐵人賽

DAY 27
0
Security

資訊安全管理系統制度白手起家系列 第 28

[Day 27] 專案管理之資訊安全

  • 分享至 

  • xImage
  •  

當看到「專案管理」這四個字時,相信應該不少懂的人會心頭一驚,畢竟專案管理 (Project Management) 本身就是一門很大的學問,大到有專門的學術組織 (PMI),也有專門的證照 (PMP),光是專案管理本身就有5大階段、10大知識領域,專案管理本身也包含了風險管理,那麼「專案管理之資訊安全」要做什麼?

ISO 27001:2022附錄A的A.5.8,定義專案管理之資訊安全的目標為:

Information security shall be integrated into project management. (ISO 27001:2022 A.5.8)
資訊安全應整合於專案管理之中。

由定義來看,A.5.8的目標是組織在執行專案時,要將專案範疇內相關的資訊安全納入管理過程中,簡言之,若專案範疇與專案過程中與「對組織有價值的事物」有關聯的任何活動,都要受到應有的保護,無論是有形的或無形的事物,均屬之。因此,組織要檢視自己的專案管理過程,辨識出有價值的事物,施予相關的控制措施並留存執行記錄,即可符合本項控制措施的要求。

ISO 27002:2022 5.8節對本控制措施的指引,已明白指出「專案」不限於ICT類型的專案 (也就是不只是軟體開發、系統導入這種資通訊類型的專案),而是不限型式、規模、複雜度、持續期間、專業或應用領域等,基本上只要屬於「專案」,就屬於本控制措施的範疇。

專案執行的五大階段都可能會出現資訊安全相關的議題,而常見的資訊安全相關組織控制措施有:法律、法令、法規與契約要求事項 (A.5.31)、智慧財產權 (A.5.32)、與利害關係人聯繫 (A.5.6)、供應者關係 (A.5.19~A.5.22)、隱私與個資保護 (A.5.34)、資訊傳遞 (A.5.14) 等,而在不同的專案類型下則可能會套用不同的人員與技術控制措施。

風險管理在這個控制措施中相當重要,雖然專案管理本身已包含風險管理這個知識領域,但它主要針對的是專案的過程之中所產生的風險,對專案本身的工作產出 (Working Product) 反而著墨較少,因此除了可利用ISO 31000:2018之風險管理機制外,亦可適當運用ISO 27005:2022所指引的資訊安全風險管理機制併含ISO 27001:2022附錄A的控制措施予以管控,以防止專案管理本身的資訊安全風險。

變更管理 (Change Management) 在專案管理的活動內會影響到專案範疇、成本、時程、資源等因素,它同樣的也會影響到資訊安全,在主條文6.3中已經明確要求任何變更都要經過控制,專案的變更管理當然亦包含其中,組織要在專案的變更過程中加入資訊安全評鑑的控制,要求在變更時一併評估與處理資訊安全的相關風險,以確保變更不會影響應有之資訊安全。

由於不同的專案著力的地方不同,也有著不同的知識領域,我無法為各種不同的專案列舉要注意或使用哪些控制措施,只有管理、規劃與執行專案的團隊才會知道,總的來說,ISMS並沒有要求一定要做到什麼程度,只要組織針對專案中「對組織有價值的事物」相關的過程使用必要的控制措施進行管理 (要求、監督、審查) 基本上即可滿足這項控制措施的要求。


上一篇
[Day 26] 組態管理
下一篇
[Day 28] 系統開發之控制措施 (上)
系列文
資訊安全管理系統制度白手起家32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言