當看到「專案管理」這四個字時，相信應該不少懂的人會心頭一驚，畢竟專案管理 (Project Management) 本身就是一門很大的學問，大到有專門的學術組織 (PMI)，也有專門的證照 (PMP)，光是專案管理本身就有5大階段、10大知識領域，專案管理本身也包含了風險管理，那麼「專案管理之資訊安全」要做什麼？

ISO 27001:2022附錄A的A.5.8，定義專案管理之資訊安全的目標為：

Information security shall be integrated into project management. (ISO 27001:2022 A.5.8)
資訊安全應整合於專案管理之中。

由定義來看，A.5.8的目標是組織在執行專案時，要將專案範疇內相關的資訊安全納入管理過程中，簡言之，若專案範疇與專案過程中與「對組織有價值的事物」有關聯的任何活動，都要受到應有的保護，無論是有形的或無形的事物，均屬之。因此，組織要檢視自己的專案管理過程，辨識出有價值的事物，施予相關的控制措施並留存執行記錄，即可符合本項控制措施的要求。

ISO 27002:2022 5.8節對本控制措施的指引，已明白指出「專案」不限於ICT類型的專案 (也就是不只是軟體開發、系統導入這種資通訊類型的專案)，而是不限型式、規模、複雜度、持續期間、專業或應用領域等，基本上只要屬於「專案」，就屬於本控制措施的範疇。

專案執行的五大階段都可能會出現資訊安全相關的議題，而常見的資訊安全相關組織控制措施有：法律、法令、法規與契約要求事項 (A.5.31)、智慧財產權 (A.5.32)、與利害關係人聯繫 (A.5.6)、供應者關係 (A.5.19~A.5.22)、隱私與個資保護 (A.5.34)、資訊傳遞 (A.5.14) 等，而在不同的專案類型下則可能會套用不同的人員與技術控制措施。

風險管理在這個控制措施中相當重要，雖然專案管理本身已包含風險管理這個知識領域，但它主要針對的是專案的過程之中所產生的風險，對專案本身的工作產出 (Working Product) 反而著墨較少，因此除了可利用ISO 31000:2018之風險管理機制外，亦可適當運用ISO 27005:2022所指引的資訊安全風險管理機制併含ISO 27001:2022附錄A的控制措施予以管控，以防止專案管理本身的資訊安全風險。

變更管理 (Change Management) 在專案管理的活動內會影響到專案範疇、成本、時程、資源等因素，它同樣的也會影響到資訊安全，在主條文6.3中已經明確要求任何變更都要經過控制，專案的變更管理當然亦包含其中，組織要在專案的變更過程中加入資訊安全評鑑的控制，要求在變更時一併評估與處理資訊安全的相關風險，以確保變更不會影響應有之資訊安全。

由於不同的專案著力的地方不同，也有著不同的知識領域，我無法為各種不同的專案列舉要注意或使用哪些控制措施，只有管理、規劃與執行專案的團隊才會知道，總的來說，ISMS並沒有要求一定要做到什麼程度，只要組織針對專案中「對組織有價值的事物」相關的過程使用必要的控制措施進行管理 (要求、監督、審查) 基本上即可滿足這項控制措施的要求。