TISAX® Kapitel 1.2.3
Inwieweit werden Informationssicherheitsanforderungen in Projekten berücksichtigt?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Für die Durchführung von Projekten ist es wichtig, die Informationssicherheitsanforderungen zu berücksichtigen. Dies gilt für Projekte innerhalb der Organisation, unabhängig von der Art des Projekts. Durch eine geeignete Verankerung des Informationssicherheitsprozesses in den Projektmanagementverfahren der Organisation wird sichergestellt, dass keine Anforderungen übersehen werden.
Anforderungen
- Muss
- Projekte sind unter Berücksichtigung der Anforderungen an die Informationssicherheit klassifiziert.
- Sollte
- Die Vorgehensweise und Kriterien zur Klassifizierung von Projekten sind dokumentiert.
- Sollte
- In einer frühen Phase des Projektes wird eine Risikobewertung auf Basis der definierten Vorgehensweise durchgeführt und bei Änderungen des Projektes wiederholt.
- Sollte
- Für identifizierte Informationssicherheitsrisiken werden Maßnahmen abgeleitet und im Projekt berücksichtigt.
- Schutzbedarf hoch
- Die so abgeleiteten Maßnahmen werden im Verlauf des Projektes regelmäßig überprüft und bei Änderungen der Bewertungskriterien neu bewertet. (C, I, A)
Umsetzung
Informationssicherheit im Projektmanagement
Die Informationssicherheit sollte in jedem Projektmanagementprozess berücksichtigt werden, unabhängig von der Art des Projekts. Dies bedeutet, dass die Sicherheitsanforderungen und -risiken in jedem Projekt, ob es sich um Kerngeschäftsprozesse, IT, Gebäudemanagement oder unterstützende Prozesse handelt, von Anfang an berücksichtigt werden sollten.
Um die Informationssicherheit in die Projektmanagementmethoden Ihrer Organisation zu integrieren, sollten Sie die folgenden Schritte befolgen:
- Einbeziehung von Informationssicherheitszielen in den Projektzielen: Stellen Sie sicher, dass die Ziele Ihres Projekts auch die Informationssicherheitsziele berücksichtigen. Dies stellt sicher, dass die Sicherheit von Anfang an in den Projektplan integriert ist und nicht als nachträglicher Gedanke behandelt wird.
- Durchführung einer Informationssicherheitsrisikobewertung in einem frühen Stadium des Projekts: Eine frühzeitige Risikobewertung ermöglicht es Ihnen, potenzielle Sicherheitsrisiken zu identifizieren und geeignete Maßnahmen zur Risikominderung zu planen. Dies sollte ein kontinuierlicher Prozess sein, der während des gesamten Projektlebenszyklus wiederholt wird.
- Integration der Informationssicherheit in alle Phasen der angewandten Projektmethodik: Die Informationssicherheit sollte in jeder Phase des Projekts berücksichtigt werden, von der Planung über die Durchführung bis hin zur Überwachung und Kontrolle. Dies stellt sicher, dass die Sicherheit während des gesamten Projekts gewährleistet ist.
Darüber hinaus sollten die Auswirkungen der Informationssicherheit regelmäßig für alle Projekte angesprochen und überprüft werden. Es ist wichtig, klare Verantwortlichkeiten für die Informationssicherheit zu definieren und diese spezifischen Rollen innerhalb des Projektteams zuzuweisen. Dies stellt sicher, dass jeder im Team die Bedeutung der Informationssicherheit versteht und seine Rolle bei der Gewährleistung der Sicherheit kennt.